뉴스12. ‘폴더 여는 순간 끝’ 북한 해커, VS Code 자동 실행 악용해 공급망 공격

 

 

 

기사 요약: 코딩을 할 때 쓰는 메모장 같은 프로그램인 'VS Code(비주얼 스튜디오 코드)'의 기능을 악용해, 폴더를 여는 순간 자동으로 바이러스가 실행되게 만든 신종 공격이 시작됐다.

 

1. 공격 수법

취업 면접을 미끼로 해커가 블록체인 프로젝트인 척하며 개발자에게 가짜 과제(프로젝트 폴더)를 보낸다. 면접 과정에서 자연스럽게 폴더를 열게끔 유도합니다.

 

 2. 감염 방식

클릭도 필요 없으며 폴더 안의 특정 설정 파일.vscode/tasks.json을 조작해 둔다. 사용자가 VS Code로 폴더를 여는 순간, 아무 버튼도 안 눌렀는데 악성코드가 자동 실행된다.(Near-frictionless 공격)

 

3. 주요 피해

브라우저 비밀번호: 크롬, 파이어폭스 등에 저장된 모든 비번 탈취.

코인 지갑: 브라우저 확장 프로그램에 저장된 가상화폐 정보 탈취.

맥(macOS) 유저: 아이클라우드 키체인 비번까지 털어감.

원격 제어: 해커가 내 PC를 마음대로 조종하는 통로(RAT) 개설.

 

4.피해 예방

피해 예방을 위해서 이용자들은 VS Code에서 폴더 열 때 뜨는 팝업을 주의해야 하며, VS코드를 최신 버전으로 업데이트 해야 한다. 또한, 구인 과정에서 받은 파일이라도 함부로 열지 말고 가상환경에서 먼저 확인하는 습관이 필요하다.

개인의견: 구직을 하는 입장에서 이러한 파일들은 그냥 지나칠 수 없는 상황이다. 이러한 사회공학적 기법이 계속하여 발전하기에 결국에는 개개인의 주의 말고는 다른 대책이 없다고 본다.

 

<용어 정리>

Near-frictionless 공격: 사용자 입장에서 해킹을 당하기 위해 거쳐야 하는 '귀찮은 과정'이 거의 없는 공격을 말합니다. VS Code(Visual Studio Code): 전 세계 개발자들이 가장 많이 사용하는 '코딩용 메모장'이라고 생각하시면 됩니다.

마찰이 없다: 경고창도 없고, 추가 클릭도 필요 없습니다. 그냥 평소 하던 대로 파일을 열었을 뿐인데 공격이 성공하므로, 사용자가 방어할 틈이 전혀 없는 상태를 말합니다.

ㄴ이번 사건에서의 의미

이번 북한 해커의 공격이 '마찰 없는' 공격인 이유는 다음과 같습니다.

1. 자동 실행: 폴더를 여는 행위는 개발자에게 숨 쉬듯 당연한 일입니다.
2. 심리적 무장 해제: '채용 면접'이라는 상황을 이용해 사용자가 파일을 의심 없이 열어보게 만듭니다.
3. 은밀함: 악성코드가 실행될 때 화면에 검은 창이 뜨거나 멈추는 현상이 거의 없이 배경에서 몰래 작동합니다.