VSCode 확장 프로그램에서 발견된 악성 코드: 마이크로소프트의 강경 대응과 개발자의 반발

최근 마이크로소프트가 VSCode 확장 프로그램 마켓플레이스에서 악성 코드가 발견된 두 개의 인기 확장 프로그램을 삭제하고 개발자를 차단하는 사건이 발생했습니다. 하지만 해당 확장 프로그램의 개발자는 마이크로소프트의 대응 방식에 강하게 반발하며 논란이 일고 있습니다.

문제의 확장 프로그램과 악성 코드 발견

문제의 확장 프로그램은 "Material Theme – Free"와 "Material Theme Icons – Free"로, 개발자는 Mattia Astorino입니다. 보안 연구원 Amit Assaraf와 Itay Kruk은 자체 개발한 스캐너를 통해 이 확장 프로그램들에서 난독화된 악성 코드를 발견했습니다. BleepingComputer의 분석 결과, "release-notes.js" 파일에 있는 자바스크립트 코드는 매우 난독화되어 있었으며, 사용자 이름과 비밀번호에 대한 참조가 다수 포함되어 있었습니다.

마이크로소프트의 신속한 대응

악성 코드가 포함된 확장 프로그램의 누적 다운로드 수가 약 900만 건에 달하자, 마이크로소프트는 신속하게 대응했습니다. 문제의 확장 프로그램을 마켓플레이스에서 삭제하고 개발자를 차단하는 조치를 취했습니다. 마이크로소프트는 커뮤니티의 보안 분석과 자체 조사를 통해 악성 의도를 확인했으며, 저작권이나 라이선스 문제가 아닌 악성 코드 자체에 대한 우려 때문에 이러한 조치를 취했다고 밝혔습니다.

개발자의 반발과 주장

개발자 Mattia Astorino는 마이크로소프트가 사전에 연락 없이 일방적으로 확장 프로그램을 삭제한 것에 대해 강하게 비판했습니다. 그는 "Material Theme"에 유해한 코드가 포함된 적이 없으며, 2016년부터 사용해 온 sanity.io 종속성이 문제가 되었을 뿐이라고 주장했습니다. 이 종속성은 2016년부터 사용되었으며, 그동안 모든 검사를 통과했지만, 이번에 문제가 된 것으로 보인다고 밝혔습니다.

Astorino는 문제 해결에 30초밖에 걸리지 않는 간단한 수정이었지만, 마이크로소프트는 아무런 연락 없이 모든 확장 프로그램을 삭제하여 수백만 명의 사용자에게 문제를 일으켰다고 비판했습니다. 그는 또한 확장 프로그램의 명령과 로직을 포함하는 index.js 파일을 난독화한 것은 소스 코드를 비공개로 유지하기 위한 조치였으며, 해당 파일을 삭제해도 확장 프로그램은 정상적으로 작동한다고 해명했습니다.

새로운 확장 프로그램 삭제와 논란 지속

Astorino는 문제의 종속성을 제거하고 "Fanny Themes"라는 새로운 확장 프로그램을 출시했지만, 마이크로소프트는 이 또한 삭제한 것으로 알려졌습니다. 마이크로소프트의 강경한 대응과 개발자의 반발이 계속되면서 논란은 더욱 커지고 있습니다. 이번 사건은 오픈 소스 소프트웨어의 보안 취약점과 공급망 공격의 위험성, 그리고 마이크로소프트와 같은 플랫폼 제공 업체의 대응 방식에 대한 중요한 질문을 제기하고 있습니다.

맺음말

이번 VSCode 확장 프로그램 사건은 개발자와 플랫폼 제공 업체 간의 소통 부족이 얼마나 큰 문제를 야기할 수 있는지 보여주는 사례입니다. 마이크로소프트는 사용자 보호를 위해 신속하게 대응했지만, 개발자와의 소통을 통해 문제 해결에 더 나은 접근 방식을 취할 수 있었을 것입니다. 앞으로 유사한 사건이 발생하지 않도록 개발자와 플랫폼 제공 업체 간의 협력과 소통이 더욱 강화되어야 할 것입니다.