[중요] 후속 안내: EmEditor 설치 관리자 다운로드 링크 관련 보안 사고 공지

앞서 공지드린 “[중요] EmEditor 설치 관리자 다운로드 링크 관련 보안 사고 공지”(www.emeditor.com)에 이어, 추가 조사로 확인된 사항과 이전 공지를 보완하는 추가 정보를 공유드립니다.

이번 사고로 인해 심각한 우려와 불편을 끼쳐 드린 점, 다시 한 번 진심으로 사과드립니다.

1. 잠재적 영향 기간(미국 태평양 시간 / UTC)

이전 공지에서는 미국 태평양 시간 기준으로 기간을 안내드렸습니다. 참고를 위해 협정 세계시(UTC)도 함께 표기합니다.

• 2025년 12월 19일 18:39 – 2025년 12월 22일 12:50 (미국 태평양 시간)
• 2025-12-20 02:39 – 2025-12-22 20:50 (UTC)

위 기간 동안 EmEditor 웹사이트의 다운로드 경로(예: “Download Now” 버튼)를 통해 설치 관리자를 다운로드하신 경우, 당사(Emurasoft, Inc.)가 제공한 정식 설치 관리자가 아닌 파일을 다운로드했을 가능성이 있습니다.

위 기간은 만일의 경우를 대비해 의도적으로 넓게 잡아 안내드린 것입니다. 실제 영향 시간은 더 짧았으며 특정 시점에 한정되었을 수 있습니다.

2. 의심 파일에 대하여(확인된 차이점)

emed64_25.4.3.msi 파일과 관련해, 최소 2개의 의심 파일이 존재함을 확인했습니다.

또한 두 의심 파일 모두 Microsoft 발급 디지털 서명으로 서명되어 있음을 확인했습니다. 유효 기간이 매우 짧았(수일)기 때문에, 개발자 대상 발급과 유사한 방식으로 인증서가 발급되었을 가능성이 높다고 판단하고 있습니다.

당사는 Microsoft에 본 사고를 보고하고 의심 파일을 제공했으며, 관련 서명의 폐기(Revocation)를 요청했습니다. 현재 두 서명 모두 폐기되었음을 확인했습니다. 이에 따라 MSI 실행 시 서명이 유효하지 않다는 경고가 표시되어 설치가 어려워질 것입니다.

정상 파일(EmEditor 공식 설치 관리자)

• 파일명: emed64_25.4.3.msi
• 크기: 80,376,832 bytes
• 디지털 서명 — 주체(Subject): Emurasoft, Inc.
• 디지털 서명 — 발급자(Issuer): Sectigo Public Code Signing CA R36
• 디지털 서명 — 유효 기간: 2023-04-09 ~ 2026-04-09
• SHA-256: e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
• VirusTotal: https://www.virustotal.com/gui/file/e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
• 공식 배포 원본: https://download.emeditor.info/emed64_25.4.3.msi

문제 파일 #1

• 파일명: emed64_25.4.3.msi
• 크기: 80,380,416 bytes
• 디지털 서명 — 주체(Subject): WALSHAM INVESTMENTS LIMITED
• 디지털 서명 — 발급자(Issuer): Microsoft ID Verified CS EOC CA 02
• 디지털 서명 — 유효 기간: 2025-12-21 ~ 2025-12-24
• SHA-256: 4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98
• VirusTotal: https://www.virustotal.com/gui/file/4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98

문제 파일 #2

• 파일명: emed64_25.4.3.msi
• 크기: 80,380,416 bytes
• 디지털 서명 — 주체(Subject): WALSHAM INVESTMENTS LIMITED
• 디지털 서명 — 발급자(Issuer): Microsoft ID Verified CS EOC CA 01
• 디지털 서명 — 유효 기간: 2025-12-20 ~ 2025-12-23
• SHA-256: 3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc
• VirusTotal: https://www.virustotal.com/gui/file/3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc

3. 이미 다운로드한 파일을 삭제한 경우

다운로드한 파일(emed64_25.4.3.msi)이 아직 남아 있다면, (이전에 공지드린 대로) 디지털 서명 및/또는 SHA-256 확인으로 검증할 수 있습니다.

이미 파일을 삭제하셨더라도, Windows가 설치 과정에서 사용된 MSI의 사본을 C:\Windows\Installer 아래에 다른 이름으로 보관하고 있을 수 있습니다.

이 폴더는 숨김 및 OS 보호 대상이므로, 파일 탐색기에서 일반적으로 찾기 어렵습니다. 다음을 직접 입력하여 열어주시기 바랍니다: C:\Windows\Installer.

폴더를 연 뒤 아래 절차를 권장합니다. MSI 파일을 더블클릭하거나 실행하지 않도록 각별히 주의해 주세요.

1. 날짜 기준 정렬(예: “수정한 날짜”)
2. 최근 파일 위주로 확인
3. 대상 파일의 디지털 서명 확인(우클릭 → 속성 → 디지털 서명)

4. 컴퓨터 감염 가능성 확인 방법

의심 파일이 실행되었더라도, 아래와 같은 환경에서는 감염이 반드시 발생한다고 단정할 수 없습니다.

• 장치가 오프라인 상태였다
• VPN/프록시가 필요했다
• Windows 기능 또는 정책에 의해 의심스러운 PowerShell 동작이 차단되었다
• PowerShell 실행이 제한되어 있었다
• 백신/보안 소프트웨어가 활동을 차단했다

그러나 아래 항목 중 하나라도 해당하면 감염 가능성이 매우 높아집니다.

• C:\ProgramData\tmp_mojo.log 존재
• 예약 작업(스케줄 작업) 중 Google Drive Caching 이라는 이름이 존재
• %LOCALAPPDATA%\Google Drive Caching\에 background.vbs 존재
• Chrome/Microsoft Edge 등 Chromium 기반 브라우저에 Google Drive Caching 라는 확장 프로그램이 존재(Google 제작이라고 표시하더라도) — 특히 “모든 웹사이트의 데이터를 읽고 변경” 권한 및 클립보드 접근 권한이 있는 경우
• 네트워크 로그에서 아래 도메인 중 하나로의 연결이 확인됨:
• cachingdrive.com
• emeditorde.com
• emeditorgb.com
• emeditorjp.com
• emeditorsb.com

위 항목이 모두 해당하지 않으면 위험도는 낮지만, 공격의 일부는 메모리에서 실행되어 파일 기반 흔적을 거의 남기지 않을 수 있으므로 위험이 0은 아닙니다.

5. 확인된 동작(대상 도메인 등)

이전에 공지드린 바와 같이, 의심 설치 관리자는 실행 시 외부 도메인에서 추가 파일을 다운로드하여 실행하는 동작이 확인되었습니다.

이전에는 emeditorjp.com으로의 접근을 확인했으며, 이후 조사에서 emeditorde.com, emeditorgb.com, emeditorsb.com으로의 추가 접근도 확인했습니다.

이 4개 도메인(emeditorjp.com, emeditorde.com, emeditorgb.com, emeditorsb.com)은 모두 당사(Emurasoft, Inc.)가 운영하는 것이 아닙니다.

또한 이전 공지에서 설명한 PowerShell 명령이 외부 도메인에서 파일을 다운로드/실행한다는 점과, 그 결과 악성코드 감염 및 비밀번호 등 개인 정보 탈취로 이어질 수 있음을 확인했습니다.

추가 상세 내용은 Luca Palermo 씨와 Mario Ciccarelli 씨가 작성한 분석 보고서를 참고해 주시기 바랍니다. Palermo 씨는 해당 보고서를 당사에 제공하고 공개 게시를 허가해 주셨으며, 이에 협조해 주신 두 분께 진심으로 감사드립니다.

• [악성코드 분석 보고서 – Luca Palermo, Mario Ciccarelli의 다단계 인포스틸러]()

6. 왜 “식별하기 어려웠는가”

기본적으로 도메인과 디지털 서명은 특정 조건 하에서 제3자가 취득할 수 있습니다.

• 도메인은 미사용이거나 갱신되지 않으면 비교적 저렴하게 구매되는 경우가 많습니다.
• 코드 서명 인증서는(이번 경우 발급자는 Microsoft) 여러 인증 기관에서 일반적으로 발급받을 수 있습니다.
• 문제가 발견되면 가능한 주요 대응은 발급자/인증 기관에 연락하여 폐기를 요청하는 것입니다.

기술적으로 MSI 설치 관리자는 사용자 지정 동작(Custom Actions)을 통해 임의의 스크립트(예: PowerShell 포함)를 포함할 수 있습니다. 공격자는 충분한 지식을 바탕으로, 널리 배포되는 정상 설치 관리자와 매우 유사한 설치 관리자에 악성 로더를 주입할 수 있습니다.

설치 관리자가 MSI가 아니라 EXE였다 하더라도 유사한 공격은 가능합니다.

안타깝게도 이는 정상 설치 관리자를 정교하게 모방한 악성 설치 관리자가 생성·유포되는 것을 소프트웨어 회사가 완전히 방지하기 어렵다는 뜻입니다. 향후에도 유사한 수준의 정교한 다단계 악성 설치 관리자가 다시 나타날 수 있다고 가정해야 합니다.

다만, 이번 사고의 핵심 문제는 다음 두 가지로 요약된다고 판단합니다.

1. 당사 웹사이트에서 사용하던 편리한 리다이렉트(다운로드 경로) 가 탐지되지 않은 채 변경됨
2. 외부에 의해 당사 웹사이트에 악성 설치 관리자가 업로드됨

이 두 가지가 동시에 발생했기 때문에, 고객이 당사 공식 웹사이트에서 다운로드한 후 피해를 입게 된 점에 대해 당사는 전적인 책임을 통감하며, 향후 예방 대책에 반영하겠습니다.

6-1. EmEditor 웹사이트에 업로드된 악성 파일

악성 설치 관리자 emed64_25.4.3.msi 외에도, 플러그인 디렉터리 아래에서 base64.php라는 파일을 발견했습니다. base64.php를 분석한 결과 전형적인 백도어(원격 코드 실행/RCE)로 판단했습니다.

또한 footer.php(WordPress 테마 디렉터리 내)에 스크립트가 추가된 것도 확인했습니다. 이 스크립트는 아래의 정상 URL로 향해야 하는 클릭을 가로채:

• https://support.emeditor.com/ja/downloads/latest/installer/64

아래로 리다이렉트했습니다:

• https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi

그 결과 홈페이지의 “Download Now” 버튼을 클릭하면 악성 파일이 다운로드될 수 있었습니다.

더 악의적인 점은, 이 스크립트가 로그인하지 않은 방문자에게만 동작하도록 구성되어 있었던 것입니다. 이로 인해 관리자 측에서 재현 및 탐지가 어려웠고, 당사에서 직접 사이트를 확인했을 때도 리다이렉트 변경을 즉시 알아채지 못했습니다.

7. 원인(현재 평가)

현재도 조사를 진행 중이며 최종 결론에는 이르지 못했습니다. 다만 아래 가능성을 검토하고 있습니다.

WordPress는 코어, 플러그인, 테마 등 여러 구성 요소로 이루어져 있으며, 다양한 개발자가 이를 유지·관리합니다. 이 구성 요소들에서는 취약점이 정기적으로 발견되고 시간이 지나며 업데이트가 배포됩니다.

당사는 플러그인과 테마를 정기적으로 업데이트하고 있으나, 경우에 따라 취약점이 장기간 패치되지 않은 채 남아 있을 수 있습니다. 공격이 이러한 취약점을 악용했을 가능성이 있습니다.

또한 사용 중인 SFTP 계정이 공격 대상이 되었을 가능성도 있습니다.

8. 당사의 대응(완료/예정)

당사는 즉시 악성 파일 emed64_25.4.3.msi를 삭제했습니다. 또한 파일 변경 로그를 검토하여 base64.php의 추가 및 footer.php 변경을 확인했습니다. base64.php를 백도어로 식별한 뒤 사이트 전체를 스캔했습니다.

이후 웹사이트를 재구축하고, 모든 플러그인을 재설치했으며 불필요한 플러그인을 제거했습니다. 또한 내부 PC를 스캔하고, 모든 WordPress 사이트 및 관련 서비스의 로그인 비밀번호를 변경했습니다. 로그를 확인하여 사용 중인 여러 서비스에 대한 감사(Audit)도 수행했습니다.

추가로 “Download Now”와 같은 다운로드 버튼에 리다이렉트를 사용하지 않도록 변경하고, 검증된 안전 파일로의 직접 링크로 교체했습니다. 또한 다운로드 페이지에 MSI의 SHA-256을 명확히 표시하고, 사용자가 디지털 서명 검증을 하도록 권장하는 안내를 추가했습니다.

EmEditor 홈페이지의 다운로드 경로를 더욱 강화하기 위해, 가까운 시일 내 WordPress 대신 커스텀/정적(static) 웹사이트로 이전하는 방안도 검토 중입니다.

9. 맺음말

위에서 설명한 것처럼, 변조된 설치 관리자는 실행 시 매우 위험한 동작을 수행할 수 있습니다. 동시에, 제3자가 정상 설치 관리자를 모방한 악성 설치 관리자를 만들어 배포하는 것 자체를 근본적으로 막는 것은 어렵습니다.

따라서 당사의 최우선 과제는, 주요 배포 채널인 당사 웹사이트를 통해 누구도 악성코드를 획득하지 못하도록 하는 것입니다.

이번 사고를 통해 Xoops, WordPress와 같은 대중적 CMS가 편리한 반면, 확장성이 취약점 노출을 증가시킬 수 있고, 플러그인/테마를 최신으로 유지하는 것만으로는 위험이 완전히 제거되지 않는다는 점을 다시 한 번 깨달았습니다.

다행히 Emurasoft 고객 센터(Customer Center)는 침해되지 않았고 데이터베이스도 안전하게 유지되었습니다. 고객 데이터베이스에 누군가 접근했다는 증거는 확인되지 않았습니다.

이번 사고를 통해 얻은 정보가 다른 소프트웨어 회사에도 도움이 되길 바라며, 간단한 보고로 제한하지 않고 가능한 한 많은 세부 사항과 맥락을 포함했습니다.

다시 한 번 이번 사고로 우려와 불편을 끼쳐 드린 점 깊이 사과드리며, 특히 감염 관련 피해를 입으신 분들께 진심으로 사과드립니다.

EmEditor를 계속 성원해 주셔서 감사합니다.