[보안뉴스 이소미 기자] 사용자 정보를 가로채거나 외부에서 악성 코드를 실행할 수 있는 수상한 크롬 확장 프로그램들이 대거 발견됐다.
사이버 보안 기업 시큐어애넥스는 크롬 확장 프로그램 57종에서 사용자 브라우징 기록, 검색어, 클릭한 이벤트 등 민감 정보를 수집하는 기능이 발견됐다고 밝혔다.
이들 확장 프로그램은 쿠키 정보를 탈취하거나 외부에서 원격 코드를 실행하도록 명령할 수도 있는 것으로 나타났다. 이들 확장 프로그램 누적 설치는 600만 건을 넘어섰다.
▲구글 플레이 스토어에 공개적으로 등록된 문제 프로그램 ‘쿠포노미아(Cuponomia – Coupon and Cashback)’ [자료: 구글 플레이 화면 갈무리]
로그인 세션이나 인증 토큰 등을 가로채 세션 하이재킹 같은 계정 무단 접속에 활용될 수 있다. 외부 명령을 통한 원격 스크립트 실행으로 △불법 광고 삽입 △검색 결과 조작 △악성코드 유포 등의 추가 피해로 이어질 위험도 있다.
온라인 쇼핑 할인 쿠폰을 제공하는 확장 프로그램 ‘쿠포노미아’(Cuponomia)는 아마존 람다(AWS Lambda)와 구글 애널리틱스를 활용해 사용자 데이터를 외부 서버로 전송할 수 있는 구조를 갖췄다.
▲시큐어애넥스 연구원 존 터크너 X에 게시된 문제 확장 프로그램 리스트 [자료: 존 터크너의 X 계정]
또 △서치 이미지스 온 크롬(Search Images on Chrome) △챗지피티 서치 포 크롬(ChatGPT Search for Chrome) △레시피 서치 포 크롬(Recipe Search for Chrome) 등은 브라우저 편의 기능을 앞세워 사용자를 유인했다. 마치 검색 지원, 이미지 탐색, 레시피 추천 등 일상적 기능을 가진 것처럼 보였지만 내부엔 민감 정보를 수집하고 외부와 통신하는 기능이 숨겨져 있었다.
이외에도 △파이어 쉴드 익스텐션 프로텍션(Fire Shield Extension Protection) △토탈 세이프티 포 크롬(Total Safety for Chrome) △브라우저 워치도그(Browser WatchDog) 등 다수의 확장 프로그램들이 의심 대상으로 지목됐다.
이들 확장 프로그램은 크롬 웹스토어에 등록돼 있긴 했지만, 대부분 검색에 노출되지 않고 전용 링크를 통해서만 설치할 수 있다. 이는 보통 조직 내부적으로만 사용하거나 아직 개발 중인 확장 프로그램에 쓰이는 방법이지만, 이 경우엔 악성 확장 앱 탐지를 피하는데 악용됐다. 또 프로그램 내부엔 분석을 어렵게 만든 난독화 코드가 포함돼 있었다.
존 터크너 시큐어애넥스 대표는 “웹스토어에 등록됐다는 이유만으로 안전하다고 볼 수 없으며 설치 전 권한 요청 범위와 배포 경로를 꼼꼼히 확인해야 한다”고 강조했다.
[이소미 기자(boan4@boannews.com)]
사이버 보안 기업 시큐어애넥스는 크롬 확장 프로그램 57종에서 사용자 브라우징 기록, 검색어, 클릭한 이벤트 등 민감 정보를 수집하는 기능이 발견됐다고 밝혔다.
이들 확장 프로그램은 쿠키 정보를 탈취하거나 외부에서 원격 코드를 실행하도록 명령할 수도 있는 것으로 나타났다. 이들 확장 프로그램 누적 설치는 600만 건을 넘어섰다.
▲구글 플레이 스토어에 공개적으로 등록된 문제 프로그램 ‘쿠포노미아(Cuponomia – Coupon and Cashback)’ [자료: 구글 플레이 화면 갈무리]
로그인 세션이나 인증 토큰 등을 가로채 세션 하이재킹 같은 계정 무단 접속에 활용될 수 있다. 외부 명령을 통한 원격 스크립트 실행으로 △불법 광고 삽입 △검색 결과 조작 △악성코드 유포 등의 추가 피해로 이어질 위험도 있다.
온라인 쇼핑 할인 쿠폰을 제공하는 확장 프로그램 ‘쿠포노미아’(Cuponomia)는 아마존 람다(AWS Lambda)와 구글 애널리틱스를 활용해 사용자 데이터를 외부 서버로 전송할 수 있는 구조를 갖췄다.
▲시큐어애넥스 연구원 존 터크너 X에 게시된 문제 확장 프로그램 리스트 [자료: 존 터크너의 X 계정]
또 △서치 이미지스 온 크롬(Search Images on Chrome) △챗지피티 서치 포 크롬(ChatGPT Search for Chrome) △레시피 서치 포 크롬(Recipe Search for Chrome) 등은 브라우저 편의 기능을 앞세워 사용자를 유인했다. 마치 검색 지원, 이미지 탐색, 레시피 추천 등 일상적 기능을 가진 것처럼 보였지만 내부엔 민감 정보를 수집하고 외부와 통신하는 기능이 숨겨져 있었다.
이외에도 △파이어 쉴드 익스텐션 프로텍션(Fire Shield Extension Protection) △토탈 세이프티 포 크롬(Total Safety for Chrome) △브라우저 워치도그(Browser WatchDog) 등 다수의 확장 프로그램들이 의심 대상으로 지목됐다.
이들 확장 프로그램은 크롬 웹스토어에 등록돼 있긴 했지만, 대부분 검색에 노출되지 않고 전용 링크를 통해서만 설치할 수 있다. 이는 보통 조직 내부적으로만 사용하거나 아직 개발 중인 확장 프로그램에 쓰이는 방법이지만, 이 경우엔 악성 확장 앱 탐지를 피하는데 악용됐다. 또 프로그램 내부엔 분석을 어렵게 만든 난독화 코드가 포함돼 있었다.
존 터크너 시큐어애넥스 대표는 “웹스토어에 등록됐다는 이유만으로 안전하다고 볼 수 없으며 설치 전 권한 요청 범위와 배포 경로를 꼼꼼히 확인해야 한다”고 강조했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
