.gif)
관심 밖에 있는 플러그인을 통해서도 악의적인 흐름은 이어지고 있다. 최근 한 보안 회사의 플러그인이 악성 버전으로 뒤바뀌는 사건이 있었는데, 알고 보니 그런 플러그인이 한두 개가 아니었다.
3줄 요약
1. 크롬 생태계에서 악성 플러그인들이 대거 퍼지고 있었음.
2. 이 플러그인들의 목표는 페이스북 광고 플랫폼 크리덴셜을 빼앗는 것.
3. 플러그인이라는 ‘약한 고리’에 대한 사용자들과 보안 업계의 관심 필요.
[보안뉴스 문가용 기자] 크롬 플러그인을 통한 보안 침해 사고들이 소리 소문 없이 발생하는 와중에 한 사이버 보안 업체가 직접 공격에 당하면서 이 캠페인이 세상에 공개됐다. 문제의 보안 업체는 사이버헤이븐(Cyberhaven)으로, 자사에서 발생한 공격을 조기에 탐지하면서 추적을 이어갔다고 하며, 이를 통해 생각보다 큰 규모의 캠페인이 진행되고 있음을 발견할 수 있었다고 한다. 사이버헤이븐은 자사 고객들을 위해 보안 권고 사항을 마련해 긴급히 전파했다고 한다. “덕분에 연말 연시 연휴가 취소되고 많은 직원들이 회사로 나와야만 했습니다”라고 밝히기도 했다.
[이미지 = gettyimagesbank]
무슨 일이 일어났나?
2024년 12월 24일, 사이버헤이븐의 직원 한 명이 구글 크롬 웹스토어용 크리덴셜을 도난당했다. 공격자는 훔친 크리덴셜을 사용해 크롬 플러그인을 하나 설치했다. 이 플러그인은 사이버헤이븐에서 개발한 것의 24.10.4 버전이었다. 겉모습은 사이버헤이븐의 플러그인이었는데 사실은 공격자가 악의적으로 바꿔놓은 것이었다. 사이버헤이븐의 보안 팀은 12월 25일 23시 54분에 이러한 상황을 탐지했고, 60분 내에 악성 패키지를 찾아 제거하는 데 성공했다고 한다.
“그렇기에 사건의 파급력은 그리 크지 않았고, 공격 지속 시간도 짧았습니다. 악성 코드는 정확히 2024년 12월 25일 1시 32분부터 12월 26일 2시 50분까지만 활성화 된 상태였습니다. 그 기간 동안 자동 업데이트가 이뤄진 크롬 기반 브라우저들에만 영향이 있었고, 조사 결과 사이버헤이븐 내 다른 시스템은 전혀 손상되지 않았습니다. 영향을 받은 브라우저들이 설치된 시스템의 경우 특정 웹사이트와 관련된 쿠키와 인증 세션이 탈취되었을 가능성이 있는 것으로 조사됐습니다. 공격자는 특정 소셜미디어 광고 플랫폼과 인공지능 플랫폼의 로그인 크리덴셜을 노렸던 것으로 추정되고 있습니다.”
사이버헤이븐은 26일 10시 9분부터 고객들에게 해당 사실을 알리며 주의를 요구했다고 한다. “굳이 영향을 받은 것으로 보이는 고객이 아니더라도 전부 사건을 통지하였습니다. 그런 후 크롬 웹스토어에서 손상된 플러그인을 제거했습니다. 그런 후 문제가 해결된 버전인 24.10.5를 다시 만들어 웹스토어에 게시하고 배포하기 시작했습니다. 현재는 외부 전문 업체와 함께 상세 분석을 진행하고 있으며, 유관 기관에도 상황을 알렸습니다.”
시작은 피싱 공격
공격자는 먼저 사이버헤이븐의 크롬 플러그인 개발자에게 피싱 이메일을 발송한 것으로 확인됐다. 기술 지원 이메일을 사용하고 있던 담당자로, 해당 이메일 주소는 고객들과의 소통을 위해 원래부터 공개되어 있었다고 한다. 이메일은 구글의 크롬 웹스토어에서 보낸 공식 메일처럼 보이게끔 꾸며져 있었고, 내용은 ‘문제가 발생해 구글 크롬 웹스토어에서부터 귀사의 플러그인이 제거될 것’이라는 것이었다.
해당 직원은 놀라서 이메일을 클릭한 것으로 보인다. 그러자 구글의 전형적인 인증 절차가 시작됐다. 그러면서 프라이버시정책확장프로그램(Privacy Policy Extension)이라고 하는 이름의 구글 인증 애플리케이션을 설치해야 한다는 메시지가 떴다. 당연하지만 악성 애플리케이션이었다.
이렇게 해서 공격자는 피해자의 컴퓨터에 프라이버시정책확장프로그램을 설치하는 데 성공했다. 그리고 이를 통해 필요한 권한을 확보했고, 사이버헤이븐에서 개발한 크롬 플러그인에 악성 기능을 덧붙여 크롬 웹스토어에 업로드까지 완료했다. 크롬 웹스토어의 보안 심사 절차를 거쳤음에도 악성 기능은 무사히 통과해 스토어에 게시됐다. “공격자는 기존의 정상 플러그인에 악성 코드를 추가했고, 이를 스토어에도 성공적으로 올려둘 수 있었습니다. 안타깝게도 일부 고객들이 이 악성 버전을 받아갔습니다. 악성 버전은 특정 정보들을 외부 C&C 서버로 전송하는 기능을 가지고 있었습니다.”
SaaS 보안 전문 업체인 넛지시큐리티(Nudge Security)는 사이버헤이븐의 이러한 소식을 듣고 크롬 웹스토어를 별도로 조사했으며, 그 결과 16개의 플러그인에서 동일한 악성 요소들이 발견됐다고 알리기도 했다. 이 16개의 플러그인의 이름은 다음과 같다.
1) AI Assistant - ChatGPT and Gemini for Chrome
2) Bard AI Chat Extension
3) GPT 4 Summary with OpenAI
4) Search Copilot AI Assistant for Chrome
5) TinaMInd AI Assistant
6) Wayin AI
7) VPNCity
8) Internxt VPN
9) Vindoz Flex Video Recorder
10) VidHelper Video Downloader
11) Bookmark Favicon Changer
12) Castorus
13) Uvoice
14) Reader Mode
15) Parrot Talks
16) Primus
약 60만 사용자가 침해 공격에 당했을 가능성이 있다고 한다.
그래서?
현대의 브라우저들에는 대부분 ‘플러그인’들이 존재한다. 기본 브라우저에 없던 기능들을 추가해주는 것으로, 브라우저를 많이 사용하는 사람들 중에는 플러그인을 활용하는 사람들의 수가 제법 된다. 특히 브라우저에 광고가 뜨지 않게 해주는 애드블록들은 어떤 브라우저 생태계에서든 인기가 높은 편이고, 보편적으로 사용되기도 한다.
하지만 브라우저 플러그인은 사이버 공간에서 가장 취약한 고리 중 하나로 취급 받는다. 플러그인도 일종의 프로그램이기 때문에 취약점이 존재할 수밖에 없는데, 플러그인 취약점의 인지도라는 게 현저히 낮기 때문이다. 일반인들은 물론 보안 전문가들도 플러그인에 대해서는 깊은 연구를 진행하지 않는다.
그런데도 플러그인 설치는 너무나 쉽고 간단해 사용자들은 필요에 따라 큰 고민 없이 플러그인을 설치해 쓰고 방치하기 일쑤다. 플러그인의 공식 스토어들의 보안 심사도 그리 엄격하지 않은 것으로 알려져 있기도 하다. 그러므로 사용자들은 자기가 무슨 플러그인을 설치했는지도 잊을 때가 많다. 플러그인의 업데이트 관리는 아주 소수나 하는 것이다.
이번 캠페인이 은밀히 진행될 수 있었던 건 공격자의 치밀함이나 정교함이 아니라 보안 업계와 사용자의 플러그인에 대한 무관심 때문이다. 순정 상태 그대로만 플러그인을 사용할 수 없다면, 주기적으로 플러그인을 관리하면서 사용하지 않는 것들을 삭제하고, 최신 버전 확인 및 업데이트 작업을 하는 것이 안전하다.
이 캠페인을 통해 드러난 악성 코드와 페이로드에 대한 상세 정보와 침해 확인 및 대처 방법, 침해지표 등은 이번 주 1월 2일에 발간되는 프리미엄 리포트 중 보안뉴스 확장판 섹션을 통해 확인하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 크롬 생태계에서 악성 플러그인들이 대거 퍼지고 있었음.
2. 이 플러그인들의 목표는 페이스북 광고 플랫폼 크리덴셜을 빼앗는 것.
3. 플러그인이라는 ‘약한 고리’에 대한 사용자들과 보안 업계의 관심 필요.
[보안뉴스 문가용 기자] 크롬 플러그인을 통한 보안 침해 사고들이 소리 소문 없이 발생하는 와중에 한 사이버 보안 업체가 직접 공격에 당하면서 이 캠페인이 세상에 공개됐다. 문제의 보안 업체는 사이버헤이븐(Cyberhaven)으로, 자사에서 발생한 공격을 조기에 탐지하면서 추적을 이어갔다고 하며, 이를 통해 생각보다 큰 규모의 캠페인이 진행되고 있음을 발견할 수 있었다고 한다. 사이버헤이븐은 자사 고객들을 위해 보안 권고 사항을 마련해 긴급히 전파했다고 한다. “덕분에 연말 연시 연휴가 취소되고 많은 직원들이 회사로 나와야만 했습니다”라고 밝히기도 했다.
[이미지 = gettyimagesbank]
무슨 일이 일어났나?
2024년 12월 24일, 사이버헤이븐의 직원 한 명이 구글 크롬 웹스토어용 크리덴셜을 도난당했다. 공격자는 훔친 크리덴셜을 사용해 크롬 플러그인을 하나 설치했다. 이 플러그인은 사이버헤이븐에서 개발한 것의 24.10.4 버전이었다. 겉모습은 사이버헤이븐의 플러그인이었는데 사실은 공격자가 악의적으로 바꿔놓은 것이었다. 사이버헤이븐의 보안 팀은 12월 25일 23시 54분에 이러한 상황을 탐지했고, 60분 내에 악성 패키지를 찾아 제거하는 데 성공했다고 한다.
“그렇기에 사건의 파급력은 그리 크지 않았고, 공격 지속 시간도 짧았습니다. 악성 코드는 정확히 2024년 12월 25일 1시 32분부터 12월 26일 2시 50분까지만 활성화 된 상태였습니다. 그 기간 동안 자동 업데이트가 이뤄진 크롬 기반 브라우저들에만 영향이 있었고, 조사 결과 사이버헤이븐 내 다른 시스템은 전혀 손상되지 않았습니다. 영향을 받은 브라우저들이 설치된 시스템의 경우 특정 웹사이트와 관련된 쿠키와 인증 세션이 탈취되었을 가능성이 있는 것으로 조사됐습니다. 공격자는 특정 소셜미디어 광고 플랫폼과 인공지능 플랫폼의 로그인 크리덴셜을 노렸던 것으로 추정되고 있습니다.”
사이버헤이븐은 26일 10시 9분부터 고객들에게 해당 사실을 알리며 주의를 요구했다고 한다. “굳이 영향을 받은 것으로 보이는 고객이 아니더라도 전부 사건을 통지하였습니다. 그런 후 크롬 웹스토어에서 손상된 플러그인을 제거했습니다. 그런 후 문제가 해결된 버전인 24.10.5를 다시 만들어 웹스토어에 게시하고 배포하기 시작했습니다. 현재는 외부 전문 업체와 함께 상세 분석을 진행하고 있으며, 유관 기관에도 상황을 알렸습니다.”
시작은 피싱 공격
공격자는 먼저 사이버헤이븐의 크롬 플러그인 개발자에게 피싱 이메일을 발송한 것으로 확인됐다. 기술 지원 이메일을 사용하고 있던 담당자로, 해당 이메일 주소는 고객들과의 소통을 위해 원래부터 공개되어 있었다고 한다. 이메일은 구글의 크롬 웹스토어에서 보낸 공식 메일처럼 보이게끔 꾸며져 있었고, 내용은 ‘문제가 발생해 구글 크롬 웹스토어에서부터 귀사의 플러그인이 제거될 것’이라는 것이었다.
해당 직원은 놀라서 이메일을 클릭한 것으로 보인다. 그러자 구글의 전형적인 인증 절차가 시작됐다. 그러면서 프라이버시정책확장프로그램(Privacy Policy Extension)이라고 하는 이름의 구글 인증 애플리케이션을 설치해야 한다는 메시지가 떴다. 당연하지만 악성 애플리케이션이었다.
이렇게 해서 공격자는 피해자의 컴퓨터에 프라이버시정책확장프로그램을 설치하는 데 성공했다. 그리고 이를 통해 필요한 권한을 확보했고, 사이버헤이븐에서 개발한 크롬 플러그인에 악성 기능을 덧붙여 크롬 웹스토어에 업로드까지 완료했다. 크롬 웹스토어의 보안 심사 절차를 거쳤음에도 악성 기능은 무사히 통과해 스토어에 게시됐다. “공격자는 기존의 정상 플러그인에 악성 코드를 추가했고, 이를 스토어에도 성공적으로 올려둘 수 있었습니다. 안타깝게도 일부 고객들이 이 악성 버전을 받아갔습니다. 악성 버전은 특정 정보들을 외부 C&C 서버로 전송하는 기능을 가지고 있었습니다.”
SaaS 보안 전문 업체인 넛지시큐리티(Nudge Security)는 사이버헤이븐의 이러한 소식을 듣고 크롬 웹스토어를 별도로 조사했으며, 그 결과 16개의 플러그인에서 동일한 악성 요소들이 발견됐다고 알리기도 했다. 이 16개의 플러그인의 이름은 다음과 같다.
1) AI Assistant - ChatGPT and Gemini for Chrome
2) Bard AI Chat Extension
3) GPT 4 Summary with OpenAI
4) Search Copilot AI Assistant for Chrome
5) TinaMInd AI Assistant
6) Wayin AI
7) VPNCity
8) Internxt VPN
9) Vindoz Flex Video Recorder
10) VidHelper Video Downloader
11) Bookmark Favicon Changer
12) Castorus
13) Uvoice
14) Reader Mode
15) Parrot Talks
16) Primus
약 60만 사용자가 침해 공격에 당했을 가능성이 있다고 한다.
그래서?
현대의 브라우저들에는 대부분 ‘플러그인’들이 존재한다. 기본 브라우저에 없던 기능들을 추가해주는 것으로, 브라우저를 많이 사용하는 사람들 중에는 플러그인을 활용하는 사람들의 수가 제법 된다. 특히 브라우저에 광고가 뜨지 않게 해주는 애드블록들은 어떤 브라우저 생태계에서든 인기가 높은 편이고, 보편적으로 사용되기도 한다.
하지만 브라우저 플러그인은 사이버 공간에서 가장 취약한 고리 중 하나로 취급 받는다. 플러그인도 일종의 프로그램이기 때문에 취약점이 존재할 수밖에 없는데, 플러그인 취약점의 인지도라는 게 현저히 낮기 때문이다. 일반인들은 물론 보안 전문가들도 플러그인에 대해서는 깊은 연구를 진행하지 않는다.
그런데도 플러그인 설치는 너무나 쉽고 간단해 사용자들은 필요에 따라 큰 고민 없이 플러그인을 설치해 쓰고 방치하기 일쑤다. 플러그인의 공식 스토어들의 보안 심사도 그리 엄격하지 않은 것으로 알려져 있기도 하다. 그러므로 사용자들은 자기가 무슨 플러그인을 설치했는지도 잊을 때가 많다. 플러그인의 업데이트 관리는 아주 소수나 하는 것이다.
이번 캠페인이 은밀히 진행될 수 있었던 건 공격자의 치밀함이나 정교함이 아니라 보안 업계와 사용자의 플러그인에 대한 무관심 때문이다. 순정 상태 그대로만 플러그인을 사용할 수 없다면, 주기적으로 플러그인을 관리하면서 사용하지 않는 것들을 삭제하고, 최신 버전 확인 및 업데이트 작업을 하는 것이 안전하다.
이 캠페인을 통해 드러난 악성 코드와 페이로드에 대한 상세 정보와 침해 확인 및 대처 방법, 침해지표 등은 이번 주 1월 2일에 발간되는 프리미엄 리포트 중 보안뉴스 확장판 섹션을 통해 확인하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
