작성자: Lisa & 요
최근 사용자들이 Chrome의 유명한 프록시 전환 플러그인 SwitchyOmega에 개인 키 유출 위험이 있다고 보고했습니다.
분석 결과 이 보안 문제는 처음 발생한 것이 아니며, 작년에도 관련 보안 경고가 있었습니다. 그러나 일부 사용자는 경고를 인지하지 못했고 여전히 오염된 버전의 플러그인을 사용하고 있어 개인 키 유출, 계정 탈취 등 심각한 위험에 노출되어 있습니다. 이 글에서는 이번 플러그인 변조 사건을 분석하고 플러그인 변조 예방 및 악성 플러그인 대응 방법을 살펴보겠습니다.
사건 개요
이번 사건은 최초 공격 조사[1]에서 밝혀졌습니다. 2024년 12월 24일 Cyberhaven 직원이 피싱 메일 공격을 당해 배포한 브라우저 플러그인에 악성 코드가 주입되어 사용자 브라우저의 쿠키와 비밀번호를 훼손하고 공격자 서버로 업로드하려 했습니다. Cyberhaven은 Booz Allen Hamilton 회사에 독립 조사를 의뢰했고, Booz Allen Hamilton의 위협 정보 보고서[2]에 따르면 Google 플러그인 마켓에 30개 이상의 플러그인이 같은 공격을 받았으며, 그 중 Proxy SwitchOmega (V3)도 포함되어 있었습니다.
피싱 메일은 Cyberhaven이 배포한 브라우저 확장 프로그램이 Google 정책을 위반했다며 즉시 조치하지 않으면 해당 플러그인이 삭제될 것이라고 위협했습니다. 긴급한 상황에 직면한 직원은 메일의 피싱 링크를 클릭하고 "Privacy Policy Extension"이라는 OAuth 앱을 승인했습니다. OAuth의 핵심 위험은 공격자가 OAuth 앱의 접근 권한을 얻으면 비밀번호 없이도 피해자 계정을 원격으로 제어하고 앱 데이터를 변경할 수 있다는 것입니다. 아래 그림은 공격자가 위조한 OAuth 인증 피싱 메일 화면입니다.
공격자는 Cyberhaven의 Chrome 앱 스토어 계정 통제권을 얻은 후 악성 코드가 포함된 새 버전의 확장 프로그램을 업로드하고 Chrome의 자동 업데이트 메커니즘을 이용해 피해 사용자들이 모르는 사이 악성 버전(버전 24.10.4, 해시값 DDF8C9C72B1B1061221A597168F9BB2C2BA09D38D7B3405E1DACE37AF1587944)으로 자동 업데이트되게 했습니다.
악성 플러그인에는 두 개의 파일이 포함되어 있는데, worker.js 파일이 명령 및 제어(C&C) 서버에 연결하여 구성을 다운로드하고 Chrome 로컬 저장소에 저장합니다. 그 후 content.js의 이벤트를 모니터링하는 리스너를 등록합니다. Cyberhaven 확장 프로그램의 악성 버전(24.10.4)은 12월 25일 오전 1:32(UTC)에 온라인 상태가 되었고 12월 26일 오전 2:50(UTC)에 삭제되었으며, 총 31시간 동안 존재했습니다. 이 기간 동안 해당 확장 프로그램을 실행한 Chrome 브라우저는 자동으로 악성 코드를 다운로드하고 설치했습니다.
Booz Allen Hamilton의 조사 보고서에 따르면 이 공격의 영향을 받은 플러그인들은 Google 스토어에서 총 50만 건 이상 다운로드되었고, 260만 대 이상의 사용자 기기에서 개인 키, 니모닉 단어 등의 민감한 데이터가 유출되어 사용자에게 큰 보안 위험을 초래했습니다. 이 변조된 확장 프로그램들은 Google Chrome 앱 스토어에 최대 18개월 동안 게시되었지만, 피해 사용자들은 자신의 데이터가 유출된 사실을 거의 알아차리지 못했습니다.
(영향을 받은 Chrome 플러그인 목록과 사용자 통계[3])
Chrome 스토어의 업데이트 정책이 점차 V2 버전의 플러그인을 지원하지 않게 되면서, SwitchyOmega 공식 원본[4] 플러그인도 지원 범위에서 벗어났습니다.
오염된 악성 버전[5]은 V3 버전이며, 개발자 계정이 원본 V2 버전과 다릅니다. 따라서 이 버전이 공식적으로 배포된 것인지, 아니면 해커의 공격으로 인해 악성 버전이 업로드된 것인지 확실하지 않습니다.
SlowMist 보안팀은 사용자들에게 설치된 플러그인의 ID를 확인하여 공식 버전인지 확인할 것을 권장합니다. 영향을 받은 플러그인이 설치되어 있다면 즉시 최신 안전 버전으로 업데이트하거나 제거하여 보안 위험을 낮추어야 합니다.
플러그인 변조를 어떻게 예방할 수 있나요?
브라우저 확장 프로그램은 항상 사이버 보안의 취약점이었습니다. 플러그인 변조나 악성 플러그인 다운로드를 방지하기 위해 사용자는 설치, 사용, 관리 측면에서 보안 조치를 취해야 합니다.
1. 공식 채널에서만 플러그인 다운로드
Chrome 공식 스토어를 우선 사용하고 온라인의 제3자 다운로드 링크는 신뢰하지 마세요.
"크랙 버전" 플러그인은 사용하지 마세요. 많은 수정 버전 플러그인에 백도어가 심어져 있을 수 있습니다.
2. 플러그인의 권한 요청에 주의
권한 부여에 신중하세요. 일부 플러그인은 불필요한 권한(브라우징 기록, 클립보드 등)을 요구할 수 있습니다.
개인 키, 지갑 주소 등 민감한 정보 접근을 요구하는 플러그인은 각별히 주의해야 합니다.
3. 설치된 플러그인을 정기적으로 확인
Chrome 주소창에 chrome://extensions/를 입력하여 설치된 모든 플러그인을 확인하세요.
플러그인의 최근 업데이트 시간을 주시하세요. 오랫동안 업데이트되지 않다가 갑자기 새 버전이 나오면 변조 가능성이 있습니다.
플러그인의 개발자 정보를 정기적으로 확인하세요. 개발자나 권한이 변경되었다면 주의가 필요합니다.
4. MistTrack으로 자금 흐름 모니터링, 자산 손실 방지
개인 키 유출이 의심되면 MistTrack을 사용하여 온체인 거래 내역을 모니터링하고 자금 흐름을 파악할 수 있습니다.
프로젝트 측면에서 플러그인 개발자와 운영자는 더 엄격한 보안 조치를 취해야 합니다:
1. OAuth 접근 권한 관리
권한 범위를 제한하고 OAuth 로그를 모니터링하세요. 플러그인에 OAuth 인증이 필요하다면 가능한 단기 토큰(Short-lived Token) + 갱신 토큰(Refresh Token) 메커니즘을 사용하여 장기 고권한 토큰 저장을 피하세요.
2. Chrome Web Store 계정 보안 강화
Chrome Web Store는 플러그인의 유일한 공식 배포 채널이므로, 개발자 계정이 침해되면 공격자가 플러그인을 변조하여 모든 사용자 기기에 배포할 수 있습니다. 따라서 2FA 활성화, 최소 권한 관리 등으로 계정 보안을 강화해야 합니다.
3. 정기적인 감사
플러그인 코드의 무결성은 변조 방지의 핵심이므로 정기적인 보안 감사를 수행해야 합니다.
4. 플러그인 모니터링
프로젝트 측에서는 새 버전 배포의 안전성을 확인할 뿐만 아니라 플러그인이 탈취되었는지 실시간으로 모니터링해야 합니다. 문제가 발견되면 즉시 악성 버전을 삭제하고 사용자에게 안전 공지를 발송하여 감염된 버전을 제거하도록 해야 합니다.
악성 코드에 감염된 플러그인은 어떻게 처리해야 할까요?
플러그인에 악성 코드가 감염되었거나 위험이 의심되는 경우 다음과 같은 조치를 취해야 합니다:
1. 즉시 플러그인 제거
Chrome 확장 관리 페이지(chrome://extensions/)에서 영향을 받은 플러그인을 찾아 제거하세요.
플러그인 데이터를 완전히 삭제하여 잔존 악성 코드가 계속 실행되지 않도록 하세요.
2. 유출된 민감 정보 변경
브라우저에 저장된 모든 비밀번호, 특히 암호화폐 거래소, 은행 계정 비밀번호를 변경하세요.
새 지갑을 만들고 자산을 안전하게 이전하세요(플러그인이 암호화폐 지갑에 접근한 경우).
API 키 유출 여부를 확인하고 기존 API 키를 폐기하고 새 키를 발급받으세요.
3. 시스템 검사, 백도어 및 악성 소프트웨어 확인
백신 소프트웨어나 악성코드 제거 도구(Windows Defender, AVG, Malwarebytes 등)를 실행하세요.
Hosts
암호화폐 지갑의 거래 내역을 확인하여 비정상적인 송금이 있는지 확인하십시오.
소셜 미디어 계정이 해킹되지 않았는지 확인하고, 이상한 메시지나 게시물이 있다면 비밀번호를 즉시 변경하십시오.
5. 관계 기관에 피드백하여 더 많은 사용자가 피해를 입지 않도록 하십시오.
플러그인이 변조되었다는 것을 발견한 경우 원 개발팀이나 Chrome 공식 채널에 신고할 수 있습니다.
슬로우 미스트(慢雾) 보안팀에 연락하여 위험 경고를 발표하고 더 많은 사용자들에게 보안에 유의하도록 알릴 수 있습니다.
브라우저 플러그인은 사용자 경험을 향상시킬 수 있지만, 해커 공격의 돌파구가 될 수도 있어 데이터 유출과 자산 손실의 위험이 있습니다. 따라서 사용자들은 편의성을 누리는 동시에 경계심을 가지고, 플러그인 설치와 관리, 권한 확인, 의심스러운 플러그인의 업데이트 및 제거 등 좋은 보안 습관을 기르는 것이 중요합니다. 개발자와 플랫폼 측도 보안 강화 조치를 취하여 플러그인의 안전성과 규정 준수를 보장해야 합니다. 사용자, 개발자, 플랫폼이 협력하여 보안 의식을 높이고 효과적인 보호 조치를 실행해야만 위험을 낮출 수 있고 데이터와 자산의 안전을 보장할 수 있습니다.
