엠에디터 공식 다운로드 버튼, 4일 동안 멀웨어 퍼트려

인기 높은 작문 및 코딩 도구인 엠에디터(EmEditor)의 공식 웹사이트가 침해되면서 4일 동안이나 멀웨어 보급로로서 작동했다는 사실이 밝혀졌다. 공격자들은 웹사이트 메인 페이지의 ‘지금 다운로드(Download Now)’ 버튼을 조작함으로써, 엠에디터를 사용하고자 하는 방문자가 이 버튼을 누르면 악성 소프트웨어가 설치되도록 했다. 엠에디터 측도 이 사실을 인지하고 조치를 취했다.

엠에디터의 개발사 에뮤라소프트(Emurasoft)는 공지를 통해 “2025년 12월 19일부터 22일까지 사이트를 방문해 프로그램 설치 파일을 다운로드 받았다면 얼른 삭제해야 한다”고 강조했다. 그러면서 “가짜 파일이 진짜처럼 보이도록 만들어졌다”고도 경고했다. “일단 파일 이름이 동일합니다. 파일 크기도 거의 같습니다. 일반 사용자들이 눈으로만 확인해서는 진짜와 가짜의 구분이 어렵습니다. 하지만 ‘디지털 서명’에서 차이를 보입니다. 정상 파일은 Emurasoft, Inc로 서명돼 있고, 가짜 파일은 WALSHAM INVESTMENTS LIMITED라는 기업의 명의로 서명돼 있습니다.”

가짜 파일, 정보 탈취형 멀웨어

보안 기업 치안신(QiAnXin)에 의하면 엠에디터를 통해 전파된 가짜 파일은 정보 탈취형 멀웨어라고 한다. 피해자 시스템에 침투한 뒤 슬랙(Slack), 디스코드(Discord), 스팀(Steam)과 같은 애플리케이션의 로그인 정보, 브라우저 내 저장된 기록, VPN 설정 등 각종 데이터를 훔쳐낸다고 경고했다. “피해자는 이러한 사실을 모릅니다. 왜냐하면 화면에서는 엠에디터가 정상적으로 설치되기 때문입니다. 악성 행위는 배경에서 진행됩니다.”

누군가 무작위로 각종 데이터를 모으려 이 같은 짓을 벌인 것일까? 치안신의 분석 결과는 ‘그렇지 않다’에 가깝다. “기술 분야의 전문가들과 정부 기관의 요원들이 주요 표적인 것으로 보입니다. 왜냐하면 일단 엠에디터 자체가 일반 대중들을 위한 소프트웨어가 아니기 때문입니다. 코딩을 주로 하는 개발자나 보안 담당자, 데이터 분석가가 사용하죠. 공공 기관의 연구직 요원들도 많이 사용하고요.” 치안신 측의 설명이다.

게다가 엠에디터를 통해 전파되는 멀웨어가 기술과 행정 업무와 관련이 깊은 정보들을 훔치는 것으로 분석되기도 했다. “슬랙의 경우 다양한 기업에서 사용하는 협업 도구입니다. 각종 기술 정보들이 교환되기도 하죠. 서버 접속 도구인 윈SCP(WinSCP)와 퍼티(PuTTY), 업무 진행 공유 도구인 에버노트(Evernote)와 노션(Notion)도 멀웨어가 주력으로 노리는 애플리케이션입니다. 윈SCP나 퍼티는 일반 사용자들이 거의 사용할 일이 없는 도구입니다.”

훔치기만? 아니, 설치하기도

멀웨어는 이런 전문 정보를 훔치는 데서 그치지 않는다. 가짜 브라우저 플러그인도 설치한다. “악성 플러그인의 이름은 구글 드라이브 캐싱(Google Drive Caching)입니다. 공격자들은 이 플러그인을 통해 원격에서 피해자의 브라우저를 제어할 수 있게 됩니다. 피해자가 브라우저로 암호화폐 결제나 거래를 진행할 때, 공격자가 지갑 주소를 자신의 것으로 바꿔치기 할 수 있습니다. 정보 탈취와 함께 금전적 피해도 일으킬 수 있을 만한 공격이 동시에 진행된 것입니다.”

이것 역시 개발자나 연구자 등 전문 인력들을 노린 공격의 흔적으로 풀이된다. “개발자나 연구자, IT 계통의 프리랜서, 국제적 협업을 진행하는 인력 중 암호화폐를 사용하는 사람이 많은 편입니다. 어쩌면 공격자들은 처음부터 IT 전문 인력이 가지고 있는 정보보다, IT 전문 인력이 사용할 확률이 높은 ‘암호화폐’를 노린 것일 수도 있습니다.”

사이트 침해, 어떻게?

공격자들이 엠에디터 웹사이트의 다운로드 버튼을 조작한 방법은 생각보다 간단했다. 개발사 공지에 따르면 “다운로드 버튼 클릭 시 연결되는 URL을 불법적으로 수정”했다고 한다. “클릭하면 엠에디터의 고객 지원 페이지로 연결되어야 할 것이, 엉뚱한 사이트에 호스팅 되어 있는 msi 파일로 연결됐습니다.”

그렇다면 공격자는 버튼의 URL을 어떻게 바꾼 것일까? 아직 정확히 분석되지 않았지만 엠에디터 다운로드 사이트가 워드프레스 기반이라는 것이 중요한 힌트로 보인다. “워드프레스 사이트를 공략하는 기법은 이미 여러 가지로 공개돼 있습니다. 취약한 플러그인을 통해서, 혹은 관리자 계정을 탈취해서, 혹은 서버 계정 크리덴셜을 훔쳐서 조작할 수 있죠.”

이런 여러 방법 중 하나로 사이트 구성 파일들에 접근한 공격자는 테마파일인 footer.php와 또 다른 별도의 php 스크립트인 base64.php에 악성 코드를 삽입했다. “로그인 하지 않은 일반 사용자가 다운로드 버튼을 누르면 악성 MSI 파일로 연결해 주는 기능을 가진 코드였습니다. 로그인 하지 않은 사용자일 때만 악성 기능이 발동되기 때문에 웹사이트 관리자나 운영자가 접속했을 때는 문제를 발견하지 못했을 겁니다.”

엠에디터를 최근에 다운로드 받았다면?

최근 엠에디터를 다운로드 받았다면, 어떻게 후속 처리를 해야 할까? 제일 먼저는 다운로드 된 설치 파일이 여전히 존재하는지 확인해야 한다. “이름은 emed64_25.4.3.msi입니다. 이 파일이 있다면 우클릭 하세요. 속성을 확인하여 디지털 서명을 봅니다. Emurasoft. Inc가 아니라면 당장 삭제해야 합니다.”

이미 실행해 설치했다면? “제일 먼저 인터넷 연결을 차단합니다. 와이파이를 비활성화시키거나 랜선을 뽑는 게 안전합니다. 그 다음 백신으로 시스템 전체를 검사합니다. 윈도 디펜더를 사용해도 좋습니다. 그러면서 제어판의 프로그램 제거 창으로 이동해 엠에디터를 제거합니다.”

문제는 이미 설치된 악성코드가 각종 데이터를 빼돌렸을 수 있다는 것이다. “각종 비밀번호나 암호화폐 지갑 정보 등이 이미 유출됐다고 보는 게 맞습니다. 감염되지 않은 다른 PC나 모바일 장치를 통해 주요 비밀번호를 전부 교체하고, 되도록 이중인증을 활성화하는 게 안전합니다. 감염이 의심되는 PC로는 되도록 민감한 작업을 당분간 하지 않는 게 좋습니다. 회사 PC라면 보안 담당자에게 얼른 신고하는 것도 잊지 않아야 합니다.”

이 사건이 남긴 교훈

치안신은 “HTTPS로 연결되는 공식 사이트라고 해서 100% 안전한 건 아니라는 사실이 증명됐다”고 지적한다. “사이트의 그런 외관적 특징은 얼마든지 공격자가 흉내 낼 수 있고, 그런 그럴 듯한 외형 속에 공격 도구를 숨겨두는 것도 가능합니다. 그러므로 겉으로 보이는 특징들이 아니라 파일 서명과 같은, 보다 속에 숨겨져 있는 특징들을 확인하는 게 중요합니다. 파일 서명 확인이 조금 귀찮을 수 있지만 난이도가 매우 높은 것도 아니라 일반 사용자들도 얼마든지 할 수 있습니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• EmEditor Homepage Download Button Served Malware for 4 Days - HackRead, 2025년 (2025년 12월 19~22일, 공식 홈페이지의 “Download Now” 버튼이 정식 설치파일 대신 악성 MSI를 제공한 공급망 공격 타임라인과 위조 서명 특징을 설명)
• [Important] Follow‑up: Security Incident Notice Regarding the EmEditor Installer Download Link - Emurasoft 공식 공지, 2025년 (emed64_25.4.3.msi 다운로드 링크가 악성 파일로 교체된 사실, base64.php 웹셸·footer.php 변조 등 웹 서버 침해 내역과 대응 조치를 상세히 공지)
• EmEditor Editor Website Hacked to Deliver Infostealer Malware in Supply Chain Attack - Cyber Security News, 2025년 (공식 사이트 리다이렉트 설정이 변조되어 인포스틸러가 포함된 설치파일이 제공됐고, 브라우저·메신저·VPN·SSH 자격 증명 탈취 및 악성 확장 프로그램 설치까지 이어진 점을 분석)
• Infostealer Malware Delivered in EmEditor Supply Chain Attack - SecurityWeek, 2025년 (텍스트 편집기 EmEditor를 겨냥한 공급망 공격 전반과, 짧은 기간이지만 전 세계 개발자·관리자를 위험에 노출시킨 인포스틸러 페이로드의 위협성을 정리)

멀웨어에서 플랫폼으로 진화한 속골리시 주의보

💡Editor’s Pick - 2017년 처음 나왔을 때만 해도 단일 멀웨어였는데 - 이제는 대형 해커들이 대여해 쓰는 공격 인프라 - IAB로 전환하는 게 다크웹에서 유행 전 세계적으로 광범위하게 펼쳐져 있는 사이버 공격용 네트워크를 통해 랜섬웨어와 정보 탈취 멀웨어가 퍼지고 있다. 보안 기업 트러스트웨이브(Trustwave)에 따르면 이 악성 인프라는 속골리시(SocGholish)

The Tech Edge문가용 기자