VS코드 서드파티 스토어 통해 퍼지는 맥용 글래스웜 주의보
- 요 근래 네 번째로 퍼지는 글래스웜
- 이번 것은 맥 전용
- 오픈VSX라는 신뢰 받는 스토어를 통해 유포 중
글래스웜(GlassWorm)이라는 악성코드를 유포하는 캠페인이 다시 한 번 시작됐다. 두 달만에 네 번째로 나타나는 현상인데, 이번에는 기존 세 번의 공격과 달리 맥 생태계만 노린다는 특징을 가지고 있다고 보안 기업 코이시큐리티(Koi Security)가 경고했다.
오픈VSX?
코이 측에 의하면 글래스웜은 현재 VS코드(VS Code)의 ‘대체 시장’인 오픈VSX(Open VSX)를 통해 퍼지는 중이라고 한다. VS코드 생태계의 ‘공식 시장’은 마켓플레이스(Marketplace)다. 이는 마이크로소프트가 인정한 곳으로, VS코드를 사용하는 개발자들은 여기서 각종 플러그인과 확장 프로그램들을 다운로드 받거나 업로드 한다. 오픈VSX는 ‘비공식 마켓플레이스’ 혹은 ‘서드파티 플러그인 시장’ 정도로 볼 수 있다.
공식 시장이 존재하는데 왜 굳이 대체 시장이 있어야 할까? 여기에는 여러 가지 이유가 있다. 마켓플레이스를 이용하려면 반드시 MS 계정을 가지고 있어야 하며, MS가 정한 약관을 준수해야만 한다. 이는 일부 예외적인 상황에서 일종의 ‘제약 요소’로서 작용하기도 한다. 일부 예외적인 상황 중 대표적인 것은, VS코드에서 파생된 비공식 혹은 커스텀 편집기를 사용하는 경우다. 이런 편집기 중 일부는 마켓플레이스와 호환이 되지 않는다.
결국 일부 개발자들의 특수한 상황을 고려, 보다 편리하게 해 주기 위해 에클립스재단(Eclipse Foundation)이라는 곳에서 오픈VSX를 출범했고, 현재까지도 이곳에서 운영하고 있다. 상업성이 전혀 없으며, 에클립스재단 자체도 영리 단체가 아니기에 오픈VSX는 정말로 ‘개발자들에게 필요한 플러그인을 퍼주기 위한 용도’로만 사용되고 있다. 그래서 개발자들 사이에서 오픈VSX는 좋은 인식과 평판을 가지고 있다.
신뢰가 있는 곳에 마수가 뻗친다
수많은 사람들이 신뢰해 마지 않는 곳은 머잖아 위험해진다는 법칙이 있다. 가장 많이 사랑과 신뢰를 받는 브랜드들은 반드시 사칭범의 재료가 된다. MS와 구글을 사칭하는 사이버 범죄는 매일 발생하고, 소비자들은 단지 이 회사들의 로고가 있다는 이유만으로 피싱 공격 등의 수상한 접근 시도를 의심하지 않는다.
개발자들도 이런 함정에 자주 빠진다. 개발자들의 경우 각종 오픈소스들이 공유되는 리포지터리 혹은 코드 저장소들을 신뢰하고 애용한다. 깃허브, NPM, PyPI 등이 대표적인 저장소다. 공격자들은 이러한 신뢰를 노리고, 여러 저장소에 악성코드를 올려 개발자들이 나쁜 재료로 각자의 소프트웨어 개발 프로젝트를 완성하도록 유도한다.
오픈VSX도 비슷한 연유로 비슷하게 당했다는 게 이번 코이시큐리티의 발표 내용이다. “공격자들은 VS코드 사용자들 대다수가 신뢰하는 오픈VSX에 악성 요소가 심긴 플러그인 세 개를 등록했습니다. 겉으로는 멀쩡해 보이는 프로그램이지만 트로이목마 기능을 내포하고 있는 것들이었습니다. 이 세 개 플러그인의 총 다운로드 수는 5만 회 이상입니다만, 공격자들이 플러그인을 그럴듯하게 보이기 위해 다운로드 수를 조작하기도 하니 이 5만이라는 숫자를 곧이 곧대로 믿기는 힘듭니다.”
코이 측에 의하면 이번에 발견된 세 개의 악성 플러그인은 다음과 같다.
1) studio-velte-distributor.pro-svelte-extension
2) cudra-production.vsce-prettier-pro
3) Puccin-development.full-access-catppuccin-pro-extension
이 세 가지 중 하나라도 설치하면 시스템 내에 결국 글래스웜이 안착한다는 게 코이의 설명이다.
글래스웜, 무엇을 훔치나?
현재까지 분석된 바에 의하면 글래스웜은 각종 데이터를 훔쳐낸다고 한다. 여기에는 다음과 같은 것들이 포함돼 있다.
1) 암호화폐 지갑 관련 정보
2) 깃허브 및 NPM용 크리덴셜
3) SSH 키
4) 브라우저 쿠키
5) 맥OS 키체인 비밀번호
6) 소스코드
7) 개발자용 크리덴셜
그렇다면 코이는 왜 이번 캠페인은 ‘맥만을 노리고 있다’고 결론을 내렸을까? “맥OS 사용자들이 많이 분포되어 있는 환경을 노렸기 때문입니다. 암호화폐, 웹3, 스타트업과 같은 환경의 개발자들이 주요 표적인데, 이들은 개인 노트북 사용 비율이 높은 것으로 알려져 있습니다. 그리고 그 개인 노트북 중 상당수가 애플의 맥북이죠. 웹3와 블록체인 분야와 스타트업에 있는 개발자들 사이에서 맥북은 일종의 문화처럼 자리를 잡았습니다.”
그렇게 맥북 사용 비율이 높은 분야를 파고 든 글래스웜 운영자들은, 그 중에서도 맥OS를 실제로 사용하고 있는 사람들만 집중적으로 노리기도 했다. “이번 글래스웜 변종은 맥OS 전용입니다. 애플스크립트(AppleScript)를 사용하고 있으며, 맥OS 키체인에 직접 접근할 수도 있습니다. 윈도 코드는 하나도 존재하지 않습니다. 큰 틀에서 맥OS 사용자들을 노리고 접근한 후, 다시 한 번 범위를 좁혀 맥OS 사용자들을 실질적으로 겨냥했음을 알 수 있습니다.”
방어에의 노력
코이는 “글래스웜이 빠르게 진화하고 있다는 사실 그 자체가 큰 위협”이라고 짚는다. “10월에 처음 발견됐는데, 그 후 러스트로 다시 작성되고 기능이 추가되는 등 여러 가지 변화를 겪었습니다. 그러다 이번처럼 맥 전용 버전이 나온 것이고요. 앞으로도 또 어떤 모습으로 등장할지 아무도 예측할 수 없습니다.”
글래스웜의 공격을 효과적으로 방어하려면 ‘예방’이 최선이라고 코이는 강조한다. “오픈VSX에서 악성 플러그인을 처음부터 받지 않는 게 가장 안전한 방어법이라는 의미죠. 이는 VS코드 생태계에서 활동할 때 오픈VSX와 같은 곳에 있는 아무 코드나 신뢰하지 않는다는 원칙을 지키는 것으로 실천할 수 있습니다. 플러그인 제작자가 활동 이력이 있는지, 실제 깃허브 계정을 보유하고 있는지, 커밋 내역이 정상적인지, 갑작스러운 대규모 코드 추가가 있지는 않았는지 등을 하나하나 확인함으로써 ‘아무 것이나 신뢰하지 않는다’를 행동으로 옮길 수 있습니다.”
VS코드 역시 좀 더 안전하게 설정한 후에 사용하는 것이 권장된다. 불필요한 플러그인들은 제거하고, 플러그인 자동 업데이트는 비활성화 해야 한다. 공격자들이 멀쩡한 플러그인을 올려두고, 추후 업데이트를 통해 악성코드를 추가하기도 하기 때문이다.
코이는 “맥OS 자체도 더 튼튼하게 방어해야 한다”고 강조한다. “항상 게이트키퍼를 켜 두고, SIP도 활성화시키는 게 안전합니다. 시스템 설정을 통해 개인정보 보호 및 보안 옵션에서 키체인 접근 요청 기록을 확인하여, VS코드나 관련 플러그인이 요청한 이력이 있다면 이미 감염됐음을 의심해야 합니다. 감염이 의심된다면 해당 시스템을 즉시 네트워크에서 분리하고 VS코드를 종료하는 것부터 시작해야 합니다. 그런 후 최근 설치된 플러그인들을 죄다 삭제하는 게 좋습니다. 그런 후 개발자들이 개발 환경에서 사용하는 비밀번호도 전부 교체하는 게 안전합니다.”🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- GlassWorm Malware Hits macOS via Trojanized Crypto Wallets - Technijian, 2026년 (macOS 개발자를 대상으로 VS Code 확장과 지갑 앱을 위장한 GlassWorm의 전술과 Keychain·지갑 탈취 기능을 분석)
- GlassWorm Malware Abuses Open Source VS Code Extensions to Target Macs - Open Source For U, 2026년 (Open VSX의 악성 확장으로 macOS 전용 GlassWorm 배포, AES 암호화·지연 실행·Solana C2를 사용한 고도화된 기법을 설명)
- 맥 사용자 노리는 악성코드 '글래스웜' 비상... VS Code 확장 통해 배포 - 보안뉴스, 2026년 (Open VSX에서 5만 건 이상 다운로드된 GlassWorm 확장의 자기 복제 기능과 macOS 개발자 자격 증명 탈취를 한글로 정리)
- GlassWorm Malware Targets macOS via Trojan Crypto Wallets - Anavem, 2026년 (GlassWorm의 macOS 전용 멀티스테이지 구조와 LaunchAgent 지속성, 암호화폐 지갑·브라우저 확장 탈취를 상세히 분석)
문가용 기자
