악성 VS Code 확장 프로그램, 소스 코드 유출로 중국 서버로 전송

악성 VS Code 확장 프로그램, 소스 코드 유출로 중국 서버 전송

사이버 보안 연구진들이 마이크로소프트 비주얼 스튜디오 코드(VS Code) 확장 프로그램 두 종이 AI 기반 코딩 도우미로 위장하면서 개발자의 소스 코드를 중국에 위치한 서버로 은밀히 유출하고 있다는 사실을 확인했다. 이 확장 프로그램들은 공식 비주얼 스튜디오 마켓플레이스에서 여전히 다운로드가 가능하며, 총 150만 회 이상 설치된 것으로 집계되었다.

기술적 세부 사항

이 악성 확장 프로그램들은 보안 업체 Aqua Security에 의해 발견되었으며, 주요 내용은 다음과 같다:

• 확장 프로그램 이름: 두 확장 프로그램은 코딩 효율성을 높이는 AI 기반 도구로 마케팅되고 있으나, 추가적인 악용을 방지하기 위해 정확한 이름은 공개되지 않았다.
• 데이터 유출: 이 확장 프로그램들은 개발자의 프로젝트에서 소스 코드를 수집하여 중국에 위치한 원격 서버로 전송하는 숨겨진 기능을 포함하고 있다.
• 지속성: 확장 프로그램들은 백그라운드에서 지속적으로 활성화되어 사용자 몰래 데이터를 모니터링하고 유출한다.
• 마켓플레이스 존재: 악성임에도 불구하고, 이 확장 프로그램들은 공식 VS Code 마켓플레이스에서 여전히 접근 가능하며, 플랫폼의 검증 프로세스에 대한 우려를 제기하고 있다.

영향 분석

이러한 확장 프로그램의 발견은 개발자와 조직에 중대한 위험을 초래한다:

• 지적 재산권 도용: 소스 코드에 대한 무단 접근은 독점 알고리즘, 영업 비밀 및 민감한 비즈니스 로직의 도용으로 이어질 수 있다.
• 공급망 위험: 손상된 개발 환경은 백도어 삽입이나 소프트웨어 프로젝트에 악성 코드 삽입 등 추가 공격의 진입점으로 작용할 수 있다.
• 규제 및 준수 위반: 민감하거나 규제 대상 데이터를 포함하는 소스 코드가 유출될 경우, 조직은 법적 제재를 받을 수 있다.

권장 사항

보안 전문가와 개발자들은 다음 조치를 취할 것을 권장한다:

1. 설치된 확장 프로그램 감사: 설치된 VS Code 확장 프로그램들을 검토하고, 특히 AI 기반 기능을 주장하는 낯선 또는 의심스러운 도구는 제거한다.
2. 네트워크 트래픽 모니터링: 네트워크 모니터링 도구를 사용하여 해외 서버로의 비정상적인 아웃바운드 연결을 탐지한다.
3. 최소 권한 원칙 적용: VS Code 확장 프로그램의 권한을 제한하여 악성 도구로 인한 잠재적 피해를 최소화한다.
4. 의심스러운 확장 프로그램 신고: 악성 확장 프로그램이 발견될 경우, 비주얼 스튜디오 마켓플레이스를 통해 마이크로소프트에 신고하여 제거를 돕는다.
5. 정보 습득: 사이버 보안 연구진 및 공급업체의 업데이트를 따라 개발 환경에서 발생하는 새로운 위협에 대해 인지한다.

마이크로소프트는 공식 마켓플레이스 내 이러한 확장 프로그램의 존재에 대해 아직 언급하지 않았다. 이번 사건은 널리 사용되는 개발 플랫폼 내 서드파티 확장 프로그램과 관련된 위험이 증가하고 있음을 강조한다.