[보안뉴스 강현주 기자] 1000만 명 이상이 설치한 구글 크롬용 유명 광고 차단 확장 프로그램에서 임의의 자바스크립트(JavaScript) 코드를 실행할 수 있는 잠재적 위험이 발견돼 주의를 요한다.
보안 기업 아일랜드(Island)의 최근 분석에 따르면, 크롬 웹스토어에서 1000만 회 이상 다운로드되며 ‘피처드’(Featured) 배지까지 획득한 확장 프로그램 ‘애드블록 포 유튜브’(Adblock for YouTube)의 내부에 심각한 구조적 결함이 포함된 것으로 밝혀졌다.
[출처: 크롬 웹스토어]
이 프로그램은 유튜브 플랫폼 및 외부 사이트에 삽입된 영상의 광고를 차단하는 기능을 정상적으로 수행하지만, 그 이면에는 개발자가 원격으로 자바스크립트 코드를 주입하고 실행할 수 있는 경로를 숨겨두고 있었다.
아일랜드는 보고서를 통해 “이 확장 프로그램은 구글의 공식 보안 심사나 업데이트 과정을 거치지 않고도, 개발자가 서버 측 설정 변경만으로 사용자의 모든 웹사이트에서 임의의 스크립트를 실행할 수 있는 구조를 취하고 있다”며 “이 과정에서 사용자가 인지할 수 있는 시각적 징후는 전혀 없다”고 경고했다.
이러한 권한은 사용자가 방문하는 페이지의 데이터를 탈취하거나, 개인 계정 및 기업 업무용 패널 등 민감한 브라우저 세션에서 사용자를 사칭해 활동할 수 있음을 의미한다.
현재까지 해당 기능을 이용해 사용자들에게 악성 코드가 실제로 유포된 정황은 포착되지 않았다. 하지만 원격으로 스크립트를 주입할 수 있다는 사실과 이미 악성코드 유포로 크롬 웹스토어에서 퇴출당한 타 광고 차단 프로그램들과의 연관성이 확인되면서 우려가 커지고 있다.
이 프로그램은 2014년 최초 등록 이후 소유권이 한 차례 변경되었으며, 과거 광고를 강제로 삽입하는 SDK가 포함되었다가 삭제되는 등의 이력이 있는 것으로 확인됐다.
2025년 2월부터 유지되어 온 원격 제어 스크립트 삽입 경로는 분석 당시 서버 응답에서 비활성화돼 있었다. 하지만 이는 기능이 없는 것이 아니라 단지 잠복 상태일 뿐이며, 서버 설정 하나만으로 언제든 활성화될 수 있는 시한폭탄과 같다는 게 보고서의 내용이다.
광고 차단 프로그램의 특성상 웹페이지를 수정해야 하므로 광범위한 브라우저 권한을 요구하는 경우가 많다. 하지만 이 프로그램은 이름과 달리 사용자가 방문하는 모든 웹사이트에서 작동하도록 설계된 것으로 드러났다.
내부적으로 주소창에 youtube.com이 포함돼 있는지 확인하는 검증 절차가 존재하지만, 이는 정상적인 유튜브 접속 여부를 판별하지 못하는 허술한 구조다. 가령 일반 금융 사이트나 기업 내부망 주소 뒤에 ?q=youtube.com과 같은 단순 파라미터 문자열만 붙여도 검증을 우회하여 스크립트를 실행할 수 있는 상태다.
아일랜드 측은 “단순히 의심스러운 코드 한 줄이 문제가 아니라, 모든 사이트 접근 권한을 가진 대규모 프로그램이 원격 제어 경로를 보유하고 있다는 점, 그리고 과거의 광고 삽입 이력과 퇴출당한 자매 프로그램들의 존재 등 모든 정황이 심각한 위협을 가리키고 있다”고 설명했다.
이 프로그램 개발자는 현재 해명을 요구 받은 상태다. 구글의 공식적인 조치가 내려지기 전까지 사용자들은 해당 확장 프로그램을 비활성화하거나 삭제하는 것이 안전할 것으로 보인다.
[강현주 기자(jjoo@boannews.com)]
보안 기업 아일랜드(Island)의 최근 분석에 따르면, 크롬 웹스토어에서 1000만 회 이상 다운로드되며 ‘피처드’(Featured) 배지까지 획득한 확장 프로그램 ‘애드블록 포 유튜브’(Adblock for YouTube)의 내부에 심각한 구조적 결함이 포함된 것으로 밝혀졌다.
[출처: 크롬 웹스토어]
이 프로그램은 유튜브 플랫폼 및 외부 사이트에 삽입된 영상의 광고를 차단하는 기능을 정상적으로 수행하지만, 그 이면에는 개발자가 원격으로 자바스크립트 코드를 주입하고 실행할 수 있는 경로를 숨겨두고 있었다.
아일랜드는 보고서를 통해 “이 확장 프로그램은 구글의 공식 보안 심사나 업데이트 과정을 거치지 않고도, 개발자가 서버 측 설정 변경만으로 사용자의 모든 웹사이트에서 임의의 스크립트를 실행할 수 있는 구조를 취하고 있다”며 “이 과정에서 사용자가 인지할 수 있는 시각적 징후는 전혀 없다”고 경고했다.
이러한 권한은 사용자가 방문하는 페이지의 데이터를 탈취하거나, 개인 계정 및 기업 업무용 패널 등 민감한 브라우저 세션에서 사용자를 사칭해 활동할 수 있음을 의미한다.
현재까지 해당 기능을 이용해 사용자들에게 악성 코드가 실제로 유포된 정황은 포착되지 않았다. 하지만 원격으로 스크립트를 주입할 수 있다는 사실과 이미 악성코드 유포로 크롬 웹스토어에서 퇴출당한 타 광고 차단 프로그램들과의 연관성이 확인되면서 우려가 커지고 있다.
이 프로그램은 2014년 최초 등록 이후 소유권이 한 차례 변경되었으며, 과거 광고를 강제로 삽입하는 SDK가 포함되었다가 삭제되는 등의 이력이 있는 것으로 확인됐다.
2025년 2월부터 유지되어 온 원격 제어 스크립트 삽입 경로는 분석 당시 서버 응답에서 비활성화돼 있었다. 하지만 이는 기능이 없는 것이 아니라 단지 잠복 상태일 뿐이며, 서버 설정 하나만으로 언제든 활성화될 수 있는 시한폭탄과 같다는 게 보고서의 내용이다.
광고 차단 프로그램의 특성상 웹페이지를 수정해야 하므로 광범위한 브라우저 권한을 요구하는 경우가 많다. 하지만 이 프로그램은 이름과 달리 사용자가 방문하는 모든 웹사이트에서 작동하도록 설계된 것으로 드러났다.
내부적으로 주소창에 youtube.com이 포함돼 있는지 확인하는 검증 절차가 존재하지만, 이는 정상적인 유튜브 접속 여부를 판별하지 못하는 허술한 구조다. 가령 일반 금융 사이트나 기업 내부망 주소 뒤에 ?q=youtube.com과 같은 단순 파라미터 문자열만 붙여도 검증을 우회하여 스크립트를 실행할 수 있는 상태다.
아일랜드 측은 “단순히 의심스러운 코드 한 줄이 문제가 아니라, 모든 사이트 접근 권한을 가진 대규모 프로그램이 원격 제어 경로를 보유하고 있다는 점, 그리고 과거의 광고 삽입 이력과 퇴출당한 자매 프로그램들의 존재 등 모든 정황이 심각한 위협을 가리키고 있다”고 설명했다.
이 프로그램 개발자는 현재 해명을 요구 받은 상태다. 구글의 공식적인 조치가 내려지기 전까지 사용자들은 해당 확장 프로그램을 비활성화하거나 삭제하는 것이 안전할 것으로 보인다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
