400만 설치 기록 VS Code 확장 프로그램 ‘뚫렸다’… 한국 개발자 소스코드 유출 및 RCE 비상

전 세계 개발자들이 가장 사랑하는 에디터, 비주얼 스튜디오 코드(Visual Studio Code, VS Code)의 생태계가 위협받고 있습니다. 최근 보안 연구 결과에 따르면, 누적 설치 수 400만 건을 넘어서는 4개의 핵심 확장 프로그램에서 치명적인 보안 결함이 발견되었습니다. 이는 단순히 개인의 실수를 넘어 IT 산업 전반의 소스코드 보안을 위협하는 중대한 사안입니다.

1. 발견된 취약점의 실체: 무엇이 문제인가?

보안 연구팀 ‘Synopsys’가 공개한 보고서에 따르면, 이번 취약점은 주로 사용자 입력값을 적절히 검증하지 않아 발생하는 원격 코드 실행(RCE)과 경로 탐색(Path Traversal) 결함입니다. 공격자는 특수하게 제작된 프로젝트 파일을 통해 개발자의 PC에서 악성 스크립트를 실행하거나 민감한 파일을 탈취할 수 있습니다.

• 영향받는 주요 확장 프로그램: LaTeX Workshop, Rainbow CSV, Open in Browser 등.
• 위험 요소: 원격 서버로부터 악성 명령을 전달받아 실행하거나 환경 변수(.env) 등 기밀 정보 유출.
• 공격 시나리오: 오픈 소스 프로젝트에 기여하거나 공유된 코드를 열람하는 것만으로 공격이 시작될 수 있음.

2. ‘확장 프로그램’이라는 새로운 공격 벡터

과거의 해킹이 운영체제(OS)나 웹 브라우저의 허점을 노렸다면, 이제 해커들은 개발자가 직접 설치하는 ‘도구’에 주목하고 있습니다. 개발 환경은 보통 방화벽 내부의 민감한 자산에 접근할 수 있는 권한을 가지고 있기 때문입니다. 이것은 공급망 공격(Supply Chain Attack)의 변종이며, 개발자의 신뢰를 악용하는 비겁하고도 치명적인 방식입니다.

3. 대응 방안: 보안은 업데이트로부터 시작된다

즉각적인 버전 확인 및 패치

발견된 모든 취약점은 최신 버전에서 수정되었습니다. VS Code의 확장 프로그램 탭을 열어 모든 확장 프로그램이 최신 상태인지 확인하고, 만약 업데이트가 불가능한 오래된 버전을 사용 중이라면 즉시 삭제 후 대체 프로그램을 찾아야 합니다.

신뢰할 수 없는 프로젝트 열람 주의

인터넷에서 내려받은 출처 불분명한 프로젝트 폴더를 VS Code로 열 때는 ‘신뢰할 수 있는 작업 영역(Trusted Workspace)’ 기능을 적극 활용하십시오. 권한을 부여하기 전 확장 프로그램의 작동 범위를 제한하는 것이 최선의 방어책입니다.

원문 출처: The Hacker News – Critical Flaws Found in Four VS Code Extensions