--- title: "옵시디언 플러그인으로 원격제어 악성코드 심은 공격 캠페인 발견" published: 2026-05-10T22:02:43.000Z canonical: https://jeff.news/article/2553 --- # 옵시디언 플러그인으로 원격제어 악성코드 심은 공격 캠페인 발견 공격자들이 옵시디언 공유 볼트와 커뮤니티 플러그인을 미끼로 PHANTOMPULSE라는 원격 접근 트로이목마를 배포한 사례가 나왔다. 타깃은 금융·가상자산 업계 종사자였고, 링크드인과 텔레그램으로 신뢰를 쌓은 뒤 악성 볼트에 초대하는 식이었다. 특히 C2 주소를 이더리움 블록체인 트랜잭션에서 가져오는 방식이라 인프라 차단이 꽤 까다롭다. - 옵시디언(Obsidian) 플러그인 생태계를 악용한 꽤 정교한 표적 공격이 발견됨 - 캠페인 이름은 REF6598, 배포된 악성코드는 PHANTOMPULSE라는 신규 원격 접근 트로이목마(RAT) - 타깃은 금융·가상자산 분야 종사자고, 윈도우와 맥OS를 모두 노림 - 공격 흐름은 전형적인 “툴 취약점”보다 “사람을 설득해서 권한을 열게 하는” 쪽에 가까움 - 공격자는 벤처캐피털 관계자인 척 링크드인에서 접근하고, 이후 텔레그램 비공개 그룹으로 대화를 옮김 - 최종 미끼는 클라우드로 공유된 옵시디언 볼트 협업 초대 - 사용자가 볼트를 열고 `Installed community plugins` 동기화를 켜면, 공유 볼트 안의 악성 커뮤니티 플러그인이 활성화됨 - 핵심은 옵시디언의 커뮤니티 플러그인이 로컬에서 코드 실행 경로가 될 수 있다는 점임 - 악용된 플러그인은 정상 플러그인처럼 보이는 `Shell Commands`와 `Hider`의 악성 버전 - `Shell Commands` 플러그인을 통해 파워셸, cmd, bash, osascript 같은 쉘 실행으로 이어짐 - 보안 관점에서는 `Obsidian.exe`가 갑자기 `powershell.exe`, `cmd.exe`, `osascript`를 실행하는 게 강한 이상 징후임 > [!WARNING] > 협업용 공유 볼트에서 커뮤니티 플러그인까지 같이 켜라는 요청은 그냥 편의 기능이 아니라 로컬 코드 실행 권한을 넘기는 행위가 될 수 있음. - PHANTOMPULSE가 까다로운 이유는 C2 주소를 이더리움 블록체인에서 가져온다는 점임 - 악성코드는 하드코딩된 지갑 주소의 최신 트랜잭션을 조회함 - 그 트랜잭션 데이터 안에 C2 서버 IP가 들어 있고, 악성코드는 이를 이용해 명령을 받아옴 - 일반적인 도메인 차단이나 서버 압수보다 끊어내기 어려운 구조라 꽤 귀찮은 방식임 - 감염 이후 권한은 사실상 “내 장비를 공격자에게 빌려준” 수준까지 올라감 - 키 입력 캡처, 스크린샷 촬영, 파일 유출, 임의 명령 실행이 가능함 - 금융·가상자산 업계라면 회사 내부 자료, 투자 전략, 지갑 키, 거래소 계정 정보가 바로 털릴 수 있음 - 크로스플랫폼이라 윈도우 사용자만 조심하면 되는 얘기도 아님 - 방어는 결국 플러그인 권한과 앱 실행 정책을 조이는 쪽으로 가야 함 - 옵시디언 같은 생산성 앱이 파워셸이나 쉘을 실행하지 못하게 애플리케이션 제어 정책을 걸면 공격 체인을 끊을 수 있음 - 서드파티 플러그인 설치나 동기화는 기본 차단 또는 강한 승인 절차를 두는 게 맞음 - 사용자는 갑작스러운 협업 초대, 특히 링크드인·텔레그램에서 이어지는 “투자/협업” 시나리오를 의심해야 함 --- ## 기술 맥락 - 이번 공격에서 중요한 선택은 옵시디언 자체를 깨는 게 아니라 플러그인 신뢰 모델을 이용한 거예요. 사용자가 직접 커뮤니티 플러그인을 켜야 하므로 겉으로는 정상 승인 흐름처럼 보이는데, 그 순간 로컬 쉘 실행까지 이어질 수 있거든요. - 공격자가 블록체인 기반 C2를 쓴 이유는 인프라를 쉽게 바꾸고 차단을 어렵게 만들기 위해서예요. 방어팀이 특정 IP를 막아도, 악성코드가 다음 트랜잭션에서 새 주소를 읽어오면 다시 살아날 수 있어요. - 실무에서는 `Obsidian.exe` 같은 노트 앱이 `powershell.exe`나 `osascript`를 띄우는지를 보는 탐지가 꽤 실용적이에요. 이 조합은 일반 사용 패턴에서는 흔하지 않아서, EDR이나 SIEM 룰로 잡아낼 만한 신호가 돼요. - 플러그인 기반 도구를 많이 쓰는 개발 조직이라면 “플러그인은 코드다”라는 전제를 두는 게 좋아요. 마켓플레이스에서 받은 플러그인뿐 아니라 공유 워크스페이스에 딸려오는 설정까지 실행 경로가 될 수 있기 때문이에요. ## 핵심 포인트 - 링크드인·텔레그램으로 접근한 뒤 악성 옵시디언 공유 볼트에 초대 - 사용자가 커뮤니티 플러그인 동기화를 켜면 악성 Shell Commands·Hider 플러그인이 실행 - PHANTOMPULSE는 키로깅, 스크린샷, 파일 탈취, 임의 명령 실행을 지원 - C2 서버 주소를 이더리움 블록체인 트랜잭션 데이터에서 동적으로 조회 ## 인사이트 옵시디언 자체 취약점이라기보다, 생산성 도구의 플러그인 생태계를 신뢰 경계 밖으로 끌고 나간 공격임. 개발자나 보안 담당자가 쓰는 로컬 도구가 쉘 실행 권한을 갖는 순간, 협업 초대 하나가 바로 침투 경로가 될 수 있다는 게 포인트다.