뉴스로 돌아가기
속보

VSCode 마켓플레이스, 개발자 데이터 유출하는 악성 AI 확장 프로그램 발견

3분 읽기출처: BleepingComputer

VSCode 마켓플레이스에서 150만 건 설치된 악성 AI 확장 프로그램이 개발자 데이터를 중국 서버로 유출한 사실이 밝혀졌습니다. 공급망 위험과 대응 방안을 알아보세요.

VSCode 마켓플레이스 악성 AI 확장 프로그램, 개발자 데이터 유출 확인

보안 연구진은 마이크로소프트의 Visual Studio Code(VSCode) 마켓플레이스에서 두 개의 악성 확장 프로그램을 발견했습니다. 이들은 150만 건 이상의 설치를 기록한 후 제거되었으며, AI 기반 코딩 도구로 위장해 개발자의 민감한 데이터를 중국 기반 서버로 유출한 것으로 밝혀졌습니다. 이번 사건은 널리 사용되는 개발 환경에서 발생할 수 있는 공급망 위험에 대한 우려를 높이고 있습니다.

공격의 주요 내용

  • 확장 프로그램 식별: 악성 확장 프로그램은 합법적인 AI 기반 코딩 도우미로 위장했으며, 인기 키워드를 활용해 개발자를 유인했습니다.
  • 설치 건수: 두 확장 프로그램은 발견 및 제거되기 전까지 총 150만 회 이상 설치되었습니다.
  • 데이터 유출: 유출된 데이터는 중국 기반 명령 및 제어(C2) 서버로 전송되었으며, 유출된 데이터 유형(예: 소스 코드, 자격 증명, 시스템 메타데이터 등)은 아직 공개되지 않았습니다.
  • 발견 및 제거: 마이크로소프트는 위협을 인지한 후 VSCode 마켓플레이스에서 해당 확장 프로그램을 제거했습니다. 현재까지 이 사건에 CVE ID는 할당되지 않았습니다.

위협의 기술적 분석

전체 기술적 세부 사항은 아직 제한적이지만, 보안 전문가들은 악성 확장 프로그램이 다음과 같은 전술을 사용했을 가능성이 있다고 분석했습니다:

  1. 난독화된 악성 코드: 확장 프로그램은 JavaScript 또는 TypeScript 기반 페이로드를 사용해 정적 분석을 회피했으며, 악성 기능을 AI 기능으로 위장한 것으로 보입니다.
  2. 데이터 수집 메커니즘: 유출 대상이 되었을 가능성이 있는 데이터는 다음과 같습니다:
    • 소스 코드 스니펫(클립보드 모니터링 또는 파일 접근을 통해).
    • 환경 변수(예: API 키, 토큰, 구성 파일 등).
    • 사용자 활동 로그(예: 키스트로크, 프로젝트 경로, IDE 사용 패턴 등).
  3. C2 통신: 확장 프로그램은 암호화된 HTTP/HTTPS 요청을 사용해 공격자가 제어하는 인프라로 데이터를 전송했으며, 이는 정상적인 트래픽으로 위장되었을 가능성이 높습니다.

개발자와 조직에 미치는 영향

이번 사건은 개발자 커뮤니티에 다음과 같은 중대한 위험을 강조합니다:

  • 공급망 침해: 악성 확장 프로그램은 IDE 내에서 기본적으로 신뢰받기 때문에 전통적인 보안 제어를 우회할 수 있습니다.
  • 지적 재산 도용: 유출된 소스 코드나 독점 알고리즘은 경쟁 우위를 확보하거나 추가 공격을 수행하는 데 악용될 수 있습니다.
  • 자격 증명 노출: 환경 변수나 구성 파일이 공격 대상이 되었다면, 공격자는 클라우드 서비스, 데이터베이스 또는 내부 시스템에 접근할 수 있습니다.
  • 평판 손상: 악성 확장 프로그램을 사용한 조직은 민감한 데이터 유출 시 GDPR, CCPA 등 규제 위반으로 인한 처벌을 받을 수 있습니다.

위험 완화 및 권장 사항

보안 팀과 개발자는 다음과 같은 조치를 취해 위험을 완화해야 합니다:

  1. 설치된 확장 프로그램 감사:

    • 인식되지 않거나 의심스러운 확장 프로그램, 특히 AI 관련 기능을 가진 확장 프로그램을 검토하세요.
    • 마이크로소프트의 VSCode 확장 프로그램 마켓플레이스를 통해 설치된 확장 프로그램의 신뢰성을 확인하세요.

  2. 네트워크 트래픽 모니터링:

    • 개발 환경에서 발생하는 이상한 아웃바운드 연결, 특히 해외 IP 대역으로의 연결을 탐지할 수 있는 네트워크 모니터링 도구를 배포하세요.
    • 이 캠페인과 관련된 악성 도메인을 차단하기 위해 방화벽 또는 EDR 솔루션을 사용하세요.

  3. 최소 권한 접근:

    • 불필요한 파일 시스템 또는 클립보드 접근을 비활성화하는 등 데이터 노출을 최소화하도록 VSCode의 권한을 제한하세요.
    • 가능하면 개발 환경을 운영 시스템과 분리하세요.

  4. 사고 대응:

    • 악성 확장 프로그램이 설치된 경우, 노출된 자격 증명(예: API 키, 토큰, 비밀번호)을 교체하고 영향을 받은 시스템에 대한 포렌식 분석을 수행하세요.
    • 사건을 마이크로소프트 보안 대응 센터(MSRC) 또는 관련 기관에 보고하세요.

  5. 선제적 방어:

    • 확장 프로그램 서명 검증과 같은 VSCode의 기본 보안 기능을 활성화하세요.
    • 개발자에게 공급망 위험과 안전한 확장 프로그램 설치 방법에 대해 교육하세요.

결론

이번 사건은 악성 IDE 확장 프로그램이 데이터 유출 및 공급망 공격의 경로로 활용되고 있다는 증가하는 위협을 보여줍니다. 개발자와 조직은 제로 트러스트 접근 방식을 확장 프로그램 관리에 적용해야 하며, 기술적 제어와 지속적인 모니터링을 통해 이러한 위협을 탐지하고 완화해야 합니다. 마이크로소프트의 신속한 확장 프로그램 제거 조치는 긍정적이지만, 150만 건의 설치 기록은 검증되지 않은 서드파티 도구가 초래할 수 있는 위험을 상기시키는 사례입니다.

지속적인 업데이트는 마이크로소프트의 보안 권고 및 신뢰할 수 있는 위협 인텔리전스 출처를 통해 확인하세요.

공유

TwitterLinkedIn