[데일리시큐]오픈 VSX 레지스트리 치명적 보안취약점...SW 개발 환경 위협 심각

내용 요약

Eclipse Foundation에서 운영하는 오픈소스 VS Code 확장 프로그램 마켓플레이스인 Open VSX Registry에서 심각한 취약점이 발견되었습니다. 이 취약점을 통해 공격자는 악성코드가 포함된 확장 프로그램 업데이트를 배포하여 전 세계 수백만 개발자의 시스템을 감염시킬 수 있었습니다. 해당 취약점은 패치되었으며, 아직 악용된 증거는 없습니다.

핵심 포인트

• Open VSX Registry에서 치명적인 취약점 발견
• 공격자가 악성 확장 프로그램 업데이트 배포 가능
• 전 세계 수백만 개발자 시스템 감염 위험
• Cursor, Windsurf, Google Cloud Shell Editor, Gitpod 등 다수 클라우드 IDE 영향
• 취약점은 패치 완료
• 현재까지 악용된 증거 없음

기술 세부 내용

1️⃣ Open VSX Registry 취약점 분석

• 취약점 종류: 공격자는 Open VSX Registry의 취약점을 악용하여 모든 확장 프로그램을 제어하고 악성 업데이트를 배포할 수 있었습니다. 이는 공급망 공격(Supply Chain Attack)의 한 형태로, 개발자가 신뢰하는 확장 프로그램을 통해 악성코드를 퍼뜨리는 방식입니다.
• 영향 범위: Open VSX Registry를 사용하는 모든 VS Code 확장 프로그램과 이를 사용하는 개발자, Cursor, Windsurf, Google Cloud Shell Editor, Gitpod 등의 클라우드 IDE 사용자들이 영향을 받을 수 있었습니다.
• 공격 시나리오: 공격자는 이 취약점을 통해 악성 코드가 포함된 확장 프로그램 업데이트를 배포할 수 있었고, 개발자가 이 업데이트를 설치하면 시스템이 감염될 수 있었습니다. 예를 들어, 키로깅, 데이터 유출, 시스템 제어권 탈취 등의 악의적인 활동이 가능했습니다.
• 패치 및 대응: Eclipse Foundation은 해당 취약점을 인지하고 즉시 패치를 배포했습니다. ✅ Open VSX Registry를 사용하는 개발자는 최신 버전으로 업데이트하여 시스템을 보호해야 합니다. ️ 현재까지 이 취약점이 악용된 증거는 발견되지 않았습니다.

2️⃣ VS Code 확장 프로그램 보안

• VS Code 확장 프로그램은 개발 생산성을 높여주지만, 보안 위협에 노출될 수 있습니다. 개발자는 확장 프로그램을 설치할 때 주의해야 하며, 신뢰할 수 있는 출처에서 제공하는 확장 프로그램만 설치하는 것이 중요합니다.
• 확장 프로그램의 권한을 확인하고 필요 이상의 권한을 요구하는 확장 프로그램은 설치하지 않아야 합니다.
• 정기적으로 VS Code 및 확장 프로그램을 업데이트하여 최신 보안 패치를 적용하는 것이 중요합니다.
• 오픈소스 확장 프로그램의 경우, 코드를 검토하고 보안 취약점이 있는지 확인하는 것이 좋습니다.

3️⃣ 공급망 공격(Supply Chain Attack)

• 이번 Open VSX Registry 취약점은 공급망 공격의 한 예입니다. 공급망 공격은 소프트웨어 개발 및 배포 과정의 취약점을 악용하여 악성코드를 퍼뜨리는 공격 방식입니다.
• 공급망 공격은 광범위한 피해를 야기할 수 있으므로, 개발자와 기업은 공급망 보안에 대한 인식을 높이고 적절한 보안 조치를 취해야 합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167406