中 해커, 크롬·엣지 확장 프로그램으로 7년간 430만 명 감시

무해한 생산성 도구로 위장해 인기 확보 뒤 악성 업데이트 주입
WeTab·Clean Master 등 수백만 설치 애드온서 실시간 데이터 중국 서버로 전송

중국 해커 그룹이 7년에 걸쳐 합법적인 웹 브라우저 확장 프로그램을 악용하여 구글 크롬과 마이크로소프트 엣지 사용자 약 430만 명을 은밀히 감시했다. 사진=로이터

중국 해커 그룹이 7년에 걸쳐 합법적인 웹 브라우저 확장 프로그램을 악용하여 구글 크롬과 마이크로소프트 엣지 사용자 약 430만 명을 은밀히 감시해 온 충격적인 사실이 드러났다고 3일(현지시각) 리서치스니퍼즈가 보도했다.

보안 회사 코이(Koi)의 보고에 따르면, 'ShadyPanda'라는 이름의 이 그룹은 장기간에 걸친 치밀한 계획을 통해 대규모 정보 침투를 감행했다.

이 공격은 특히 교묘한 방식으로 진행되었다. 해커들은 처음에는 겉보기에는 무해하고 유용한 생산성 도구를 개발해 출시한 뒤, 수년 동안 높은 인기와 긍정적인 리뷰, 수백만 건의 설치를 확보했다.

주요 플랫폼들이 확장 프로그램을 최초 제출 시점에만 주로 검사하는 구조적 허점을 이용해, 나중에 악성 업데이트를 배포하여 사용자들의 브라우저를 스파이 도구로 변모시켰다.

코이 보고서는 피싱이나 기만 없이, 단지 기존 확장 프로그램에 대한 사용자의 신뢰만으로 수백만 대의 컴퓨터에 포괄적인 모니터링 시스템을 설치하는 데 성공했다고 밝혔다.

현재 마이크로소프트 엣지 스토어에는 최소 5개의 문제 확장 프로그램이 남아 있으며, 총 400만 건이 넘는 설치 수를 기록 중이다. 연구진에 따르면 이 중 2개는 이미 능동적인 감시 기능을 갖추고 있다.

가장 대표적인 예는 300만 명 이상의 사용자를 보유한 확장 프로그램 'WeTab'이다. 이 프로그램은 방대한 사용자 데이터를 중국의 여러 서버와 구글 애널리틱스로 실시간 전송하는 것으로 확인되었다.

또 다른 예로, 2018년부터 2019년 사이에 출시되어 공식 승인 마크를 받았던 Starlab Technology의 'Clean Master' 확장 프로그램이 있다. 이 프로그램 역시 2024년 여름 ShadyPanda에 의해 원격 접속 인터페이스로 개조되는 업데이트가 배포되었다.

비록 현재 스토어에서 제거되었으나, 코이는 추가 공격을 위한 인프라가 여전히 활성화되어 있다고 경고했다.

이 악성코드는 자바스크립트 파일을 다시 불러오거나, 웹사이트 콘텐츠를 조작하고, 심지어 사용자의 전체 인터넷 사용 행동을 기록할 수 있는 능력을 갖추고 있다.

또한, 연구자들이 탐지하기 어렵게 하기 위해 개발자 도구를 열 때 무해한 행동을 시뮬레이션하는 기만 메커니즘까지 포함하고 있었다.

코이 보안 회사는 이러한 사건이 대형 마켓플레이스의 구조적 문제를 드러낸다고 지적했다. 즉, 확장 기능이 일단 출시된 후에는 거의 감시되지 않아, 공격자들이 언제든지 눈에 띄지 않게 악성 업데이트를 배포할 수 있다는 것이다.

이는 수백만 사용자에게 심각한 보안 위험을 초래할 수 있으므로, 플랫폼의 사후 감시 강화가 시급히 요구된다.

신민철 글로벌이코노믹 기자 shincm@g-enews.com