CPU-Z 다운로드했을 뿐인데 — CPUID 공식 사이트 해킹, 공급망 공격의 새로운 국면

PC를 조립하거나 시스템 정보를 확인할 때 한 번쯤 써봤을 겁니다. CPU-Z, HWMonitor. 이 도구들을 만드는 CPUID 공식 사이트가 해킹당했다는 소식이 전해지고 있습니다. 문제는 이게 단순한 웹사이트 변조가 아니라, 다운로드 파일 자체가 변조된 공급망 공격이라는 점입니다.

무슨 일이 벌어졌나

CPUID는 CPU-Z, HWMonitor, HWInfo 등 시스템 하드웨어 정보를 확인하는 유틸리티를 만드는 프랑스 소프트웨어 회사입니다. 이 회사의 공식 웹사이트(cpuid.com)가 공격자에 의해 침해되었고, 사이트에서 배포되는 설치 파일이 악성코드가 포함된 버전으로 교체된 것으로 알려졌습니다.

사용자 입장에서 가장 무서운 부분은 이겁니다. 공식 사이트에서 공식 프로그램을 다운로드했을 뿐인데, 그 안에 멀웨어가 들어 있었다는 것. 피싱 사이트도 아니고, 검색 광고 함정도 아닙니다. 정식 도메인에서 벌어진 일입니다.

CPU-Z가 왜 특별한 타깃인가

CPU-Z는 전 세계적으로 수백만 회 이상 다운로드된, PC 하드웨어 커뮤니티의 사실상 표준 도구입니다. 오버클러커, 시스템 관리자, 일반 사용자까지 폭넓은 사용자층을 갖고 있습니다.

공격자 입장에서 이런 도구는 이상적인 타깃입니다. 첫째, 사용자가 관리자 권한으로 실행하는 경우가 많습니다. 하드웨어 정보를 읽으려면 시스템 레벨 접근이 필요하니까요. 둘째, 보안 소프트웨어가 이미 신뢰하는 프로그램이라 탐지가 어렵습니다. 셋째, 설치 후 바로 실행하는 패턴이 일반적이라 감염 속도가 빠릅니다.

공급망 공격, 이제 어디까지 왔나

공급망 공격은 더 이상 새로운 이야기가 아닙니다. 하지만 그 범위가 계속 넓어지고 있다는 점은 주목할 만합니다.

2020년 SolarWinds 사태는 기업용 네트워크 관리 소프트웨어가 표적이었습니다. 2021년에는 Codecov, 2024년에는 xz-utils 같은 오픈소스 라이브러리가 공격당했습니다. 그리고 이제는 일반 사용자가 직접 다운로드하는 데스크톱 유틸리티까지 타깃이 된 겁니다.

패턴이 보입니다. 공격자들은 “많은 사람이 의심 없이 신뢰하는 소프트웨어"를 노립니다. 기업 인프라에서 개발자 도구로, 다시 일반 사용자 유틸리티로. 신뢰의 체인에서 가장 약한 고리를 찾아 내려오고 있는 셈입니다.

사실 이전에도 CPU-Z는 노려졌다

CPU-Z를 둘러싼 보안 위협은 이번이 처음이 아닙니다. 2023년에는 구글 검색 광고를 악용해 CPU-Z 가짜 다운로드 페이지로 유도하는 멀버타이징(Malvertising) 캠페인이 대규모로 적발된 바 있습니다. 당시에는 “공식 사이트에서 직접 받으세요"가 해결책이었습니다.

그런데 이번에는 그 공식 사이트 자체가 뚫렸습니다. “공식 경로만 믿으면 안전하다"는 기존 보안 상식이 더 이상 충분하지 않다는 뜻입니다.

사용자가 할 수 있는 것

완벽한 방어법은 없지만, 피해를 줄이는 습관은 있습니다.

다운로드 후 해시값 검증을 하는 것이 첫 번째입니다. 배포 사이트가 해킹당해도, 별도 채널(GitHub, 공식 포럼 등)에서 해시를 교차 확인할 수 있습니다. 다만 해시값 자체가 사이트에만 게시되어 있다면 이것도 같이 변조될 수 있으니, 독립된 출처에서 확인하는 것이 핵심입니다.

코드 서명(Code Signing) 인증서를 확인하는 것도 방법입니다. 정상적인 CPU-Z는 CPUID의 유효한 디지털 서명이 포함되어 있어야 합니다. 설치 전 파일 속성에서 서명 상태를 확인하는 습관을 들이면 변조된 파일을 걸러낼 확률이 높아집니다.

그리고 시스템 유틸리티라 하더라도, 가능하면 가상 환경이나 샌드박스에서 먼저 실행해보는 것을 권장합니다.

더 큰 질문

이번 사건은 소프트웨어 배포 방식 자체에 대한 근본적인 질문을 던집니다. 우리가 매일 쓰는 도구들, 그 도구를 배포하는 웹사이트의 보안은 누가 책임지고 있을까요? 소규모 개발사나 개인 개발자가 만든 유틸리티의 배포 인프라가 국가 수준의 공격을 버텨낼 수 있을까요?

CPU-Z처럼 커뮤니티에서 오랫동안 사랑받아 온 도구일수록, 사용자의 신뢰도가 높고, 그래서 공격자에게는 더 매력적인 표적이 됩니다. 소프트웨어를 설치한다는 행위가 곧 신뢰의 행위라면, 그 신뢰를 보호할 구조적 장치가 지금보다 훨씬 더 필요한 시점입니다.