구글의 크롬 환경에서 악성 플러그인이 20개 넘게 발견됐다. 추적을 해 보니 악성 도메인이 40개가 발굴됐다. 사용자가 많은 브라우저 환경이라서 그런지, 이런 소식이 자주 나온다. 정말 필요한 플러그인만, 최소한으로 유지해가며 사용해야 하는 이유다.
[보안뉴스 문가용 기자] 보안 업체 카토 네트웍스(Cato Networks)가 악성 구글 크롬 플러그인을 20개 넘게 발견했다. 또한 이와 연결된 악성 도메인을 40개 넘게 찾아내기도 했다. 공격자들은 이러한 도메인과 앱을 통해 피해자들의 시스템에 침투하여 애드웨어나 랜섬웨어를 심고, 크리덴셜을 훔치는 등의 악성 행위를 저질렀다고 한다.
[이미지 = utoimage]
카토 네트웍스는 고객 네트워크에 이러한 악성 플러그인이 설치되어 있는 것을 수백 번 이상 찾아냈다. 심각한 건, 그 어떤 경우에도 보안 경보가 울리지 않았다는 것이다. 수석 보안 전략가인 에타이 마오르(Etay Maor)는 “작은 요소들로 보일지라도 플러그인 하나 때문에 조직 전체가 위험해질 수 있다”고 설명한다.
악성 플러그인은 크롬만의 문제가 아니다. 거의 모든 브라우저들이 플러그인을 지원하고, 그렇기에 악성 행위자들은 이 생태계를 통해 악성 요소들을 삽입하려고 애쓴다. “그러나 크롬의 경우 점유율 1위의 브라우저고, 그렇기 때문에 가장 많은 공격 시도가 있습니다. 크롬 사용자들은 그런 점을 늘 염두에 두어야 합니다.”
작년 6월 보안 업체 어웨이크 시큐리티(Awake Security)는 100개가 넘는 악성 구글 플러그인을 발견한 바 있다. 크리덴셜을 훔치고, 스크린샷을 찍는 등의 악성 행위를 하는 플러그인들이었다. 이 100개의 플러그인들은 총 3200만 번 다운로드 된 것으로 분석됐다. 그보다 전인 2월에는 500개의 악성 플러그인이 공식 크롬 웹 스토어가 발견되기도 했었다.
카토 네트웍스는 5일 동안 고객사 네트워크를 모니터링하며 데이터를 수집했으며, 이를 통해 C&C 서버와의 통신이 이뤄졌는지를 살펴볼 수 있었다고 한다. 그 결과 551개의 고유 플러그인들 중 97개에서 수상한 점을 발견할 수 있었다. 이 97개를 하나하나 수작업으로 분석했을 때, 87개가 악성임을 파악할 수 있었다고 한다. 이 중 24개는 이전까지 한 번도 악성 플러그인으로 분류된 적이 없는 것임이 밝혀졌다.
여느 브라우저 개발사들과 마찬가지로 구글 역시 플러그인들을 위한 스토어의 안정성을 유지하기 위해 다양한 방식의 검사를 실시한다. 카토 네트웍스에 의하면 정식으로 크롬 웹 스토어에 플러그인이 등록되는 데 걸리는 시간은 족히 수주 정도라고 한다. 이 기간 동안 자동 검사와 수동 검사가 모두 이뤄진다. 그럼에도 공격자들이 크롬 웹 스토어를 뚫고 피해를 일으키는 사건이 종종 발생한다. 카토는 공격자들이 흔히 사용하는 방법이 두 가지 정도라고 설명한다.
“하나는 공식 스토어가 아닌 곳에서부터 설치 파일이 다운로드 되도록 만드는 겁니다. 플러그인 생태계에서는, 개발자들이 공식 스토어가 아니라 자신들의 웹사이트나 특정 포럼을 통해서 프로그램을 제공하는 경우가 상당히 많습니다. 이러한 특징을 공격자들이 파고들기도 합니다. 이왕이면 공식 구글 웹 스토어에서 플러그인을 다운로드 받는 것이 안전합니다.” 마오르의 설명이다.
“두 번째 방법은 정상 플러그인을 웹 스토어에 등록시킨 후, 추가 업데이트를 통해 악성 코드를 심는 것입니다. 원래 개발자가 플러그인을 서드파티에 판매하고, 그 서드파티가 악성 코드를 주입하는 사례가 종종 발견됩니다. 당연히 공격자들이 미리 웹 스토어에 등록된 개발자 혹은 개발사의 이름값을 사는 것이지요.”
이 경우, 개발사 근황을 파악해 두는 것이 사용자 편에서 안전을 도모하기 위해 할 수 있는 일이지만, 플러그인을 여러 개 설치해 사용하는 경우 굉장히 힘들 수 있다. 꼭 필요한 경우가 아니라면 플러그인의 수를 줄이는 것도 자주 권장되는 방법이다. 악성 플러그인 소식이 드물거나, 보안 업데이트를 자주 하는 브라우저로 환경을 바꾸는 것도 좋은 방법이 될 수 있다.
3줄 요약
1. 악성 크롬 플러그인, 20개 넘게 발견됨.
2. 추적해 보니 연결되어 있는 악성 도메인은 40개가 넘음.
3. 다른 브라우저들에도 악성 플러그인 있으나 크롬은 점유율 높아 자주 문제가 됨.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 보안 업체 카토 네트웍스(Cato Networks)가 악성 구글 크롬 플러그인을 20개 넘게 발견했다. 또한 이와 연결된 악성 도메인을 40개 넘게 찾아내기도 했다. 공격자들은 이러한 도메인과 앱을 통해 피해자들의 시스템에 침투하여 애드웨어나 랜섬웨어를 심고, 크리덴셜을 훔치는 등의 악성 행위를 저질렀다고 한다.
[이미지 = utoimage]
카토 네트웍스는 고객 네트워크에 이러한 악성 플러그인이 설치되어 있는 것을 수백 번 이상 찾아냈다. 심각한 건, 그 어떤 경우에도 보안 경보가 울리지 않았다는 것이다. 수석 보안 전략가인 에타이 마오르(Etay Maor)는 “작은 요소들로 보일지라도 플러그인 하나 때문에 조직 전체가 위험해질 수 있다”고 설명한다.
악성 플러그인은 크롬만의 문제가 아니다. 거의 모든 브라우저들이 플러그인을 지원하고, 그렇기에 악성 행위자들은 이 생태계를 통해 악성 요소들을 삽입하려고 애쓴다. “그러나 크롬의 경우 점유율 1위의 브라우저고, 그렇기 때문에 가장 많은 공격 시도가 있습니다. 크롬 사용자들은 그런 점을 늘 염두에 두어야 합니다.”
작년 6월 보안 업체 어웨이크 시큐리티(Awake Security)는 100개가 넘는 악성 구글 플러그인을 발견한 바 있다. 크리덴셜을 훔치고, 스크린샷을 찍는 등의 악성 행위를 하는 플러그인들이었다. 이 100개의 플러그인들은 총 3200만 번 다운로드 된 것으로 분석됐다. 그보다 전인 2월에는 500개의 악성 플러그인이 공식 크롬 웹 스토어가 발견되기도 했었다.
카토 네트웍스는 5일 동안 고객사 네트워크를 모니터링하며 데이터를 수집했으며, 이를 통해 C&C 서버와의 통신이 이뤄졌는지를 살펴볼 수 있었다고 한다. 그 결과 551개의 고유 플러그인들 중 97개에서 수상한 점을 발견할 수 있었다. 이 97개를 하나하나 수작업으로 분석했을 때, 87개가 악성임을 파악할 수 있었다고 한다. 이 중 24개는 이전까지 한 번도 악성 플러그인으로 분류된 적이 없는 것임이 밝혀졌다.
여느 브라우저 개발사들과 마찬가지로 구글 역시 플러그인들을 위한 스토어의 안정성을 유지하기 위해 다양한 방식의 검사를 실시한다. 카토 네트웍스에 의하면 정식으로 크롬 웹 스토어에 플러그인이 등록되는 데 걸리는 시간은 족히 수주 정도라고 한다. 이 기간 동안 자동 검사와 수동 검사가 모두 이뤄진다. 그럼에도 공격자들이 크롬 웹 스토어를 뚫고 피해를 일으키는 사건이 종종 발생한다. 카토는 공격자들이 흔히 사용하는 방법이 두 가지 정도라고 설명한다.
“하나는 공식 스토어가 아닌 곳에서부터 설치 파일이 다운로드 되도록 만드는 겁니다. 플러그인 생태계에서는, 개발자들이 공식 스토어가 아니라 자신들의 웹사이트나 특정 포럼을 통해서 프로그램을 제공하는 경우가 상당히 많습니다. 이러한 특징을 공격자들이 파고들기도 합니다. 이왕이면 공식 구글 웹 스토어에서 플러그인을 다운로드 받는 것이 안전합니다.” 마오르의 설명이다.
“두 번째 방법은 정상 플러그인을 웹 스토어에 등록시킨 후, 추가 업데이트를 통해 악성 코드를 심는 것입니다. 원래 개발자가 플러그인을 서드파티에 판매하고, 그 서드파티가 악성 코드를 주입하는 사례가 종종 발견됩니다. 당연히 공격자들이 미리 웹 스토어에 등록된 개발자 혹은 개발사의 이름값을 사는 것이지요.”
이 경우, 개발사 근황을 파악해 두는 것이 사용자 편에서 안전을 도모하기 위해 할 수 있는 일이지만, 플러그인을 여러 개 설치해 사용하는 경우 굉장히 힘들 수 있다. 꼭 필요한 경우가 아니라면 플러그인의 수를 줄이는 것도 자주 권장되는 방법이다. 악성 플러그인 소식이 드물거나, 보안 업데이트를 자주 하는 브라우저로 환경을 바꾸는 것도 좋은 방법이 될 수 있다.
3줄 요약
1. 악성 크롬 플러그인, 20개 넘게 발견됨.
2. 추적해 보니 연결되어 있는 악성 도메인은 40개가 넘음.
3. 다른 브라우저들에도 악성 플러그인 있으나 크롬은 점유율 높아 자주 문제가 됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
