저자: Lisa & Yao
편집자: 리즈
최근 일부 사용자들은 잘 알려진 Chrome 프록시 전환 플러그인 SwitchyOmega에 개인 키가 훔쳐질 위험이 있다고 보고했습니다.
분석 결과, 이러한 안전 문제는 처음 발생한 것이 아니며, 작년 초에도 관련 안전 경고가 발표되었습니다. 그러나 일부 사용자는 경고를 알아차리지 못하고 여전히 오염된 버전의 플러그인을 사용함으로써 개인 키 유출이나 계정 해킹 등의 심각한 위험에 노출될 수 있습니다. 이 글에서는 플러그인 변조 상황을 분석하고, 플러그인 변조를 방지하고 악성 플러그인을 처리하는 방법을 논의합니다.
이벤트 리뷰
이 사건은 공격 조사 중에 처음 공개되었습니다[1]. 2024년 12월 24일, Cyberhaven 직원이 피싱 이메일을 통해 공격을 받았고, 이로 인해 그가 출시한 브라우저 플러그인에 악성 코드가 주입되어 사용자의 브라우저 쿠키와 비밀번호를 훔쳐 공격자의 서버로 업로드하려고 시도했습니다. Cyberhaven은 Booz Allen Hamilton에 독립적인 조사를 요청했습니다. Booz Allen Hamilton은 위협 인텔리전스 보고서[2]에서 Google 플러그인 스토어의 30개 이상의 플러그인이 Proxy SwitchOmega(V3)를 포함하여 동일한 방식으로 공격을 받았다고 지적했습니다.
피싱 이메일에서는 Cyberhaven이 출시한 브라우저 확장 프로그램이 Google의 이용 약관을 위반했다며, 즉각적인 조치를 취하지 않으면 플러그인이 취소될 것이라고 위협했습니다. 직원은 긴급함을 느껴 이메일의 피싱 링크를 클릭하고 "개인정보 보호정책 확장"이라는 OAuth 애플리케이션을 승인했습니다. OAuth의 핵심 위험은 공격자가 OAuth 애플리케이션에 액세스하면 비밀번호가 필요 없이 원격으로 피해자의 계정을 제어하고 애플리케이션 데이터를 수정할 수 있다는 것입니다. 다음 그림은 공격자가 위조한 OAuth 인증 피싱 이메일 인터페이스를 보여줍니다.
공격자는 Cyberhaven의 Chrome App Store 계정을 장악한 후 악성 코드가 포함된 확장 프로그램의 새로운 버전을 업로드하고 Chrome의 자동 업데이트 메커니즘을 사용하여 영향을 받는 사용자를 사용자 모르게 악성 버전(버전 번호 24.10.4, 해시 값 DDF8C9C72B1B1061221A597168F9BB2C2BA09D38D7B3405E1DACE37AF1587944)으로 자동 업데이트했습니다.
악성 확장 프로그램에는 두 개의 파일이 포함되어 있는데, 그 중 worker.js 파일은 명령 및 제어(C&C) 서버에 연결하고 구성을 다운로드하여 Chrome의 로컬 저장소에 저장합니다. 그런 다음 content.js의 이벤트에 대한 리스너를 등록합니다. Cyberhaven 확장 프로그램의 악성 버전(24.10.4)은 12월 25일 오전 1시 32분(UTC)에 온라인에 있었고, 12월 26일 오전 2시 50분(UTC)에 제거되어 총 31시간 동안 존재했습니다. 이 기간 동안 해당 확장 프로그램을 실행하는 Chrome 브라우저는 자동으로 악성 코드를 다운로드하고 설치합니다.
Booz Allen Hamilton의 조사 보고서는 Google 스토어에서 해당 플러그인의 누적 다운로드 횟수가 50만 회를 넘었고, 260만 대 이상의 사용자 기기에서 중요 데이터가 도난당하여 사용자에게 막대한 보안 위험을 초래했다고 지적했습니다. 이렇게 변조된 확장 프로그램은 최대 18개월 동안 Google Chrome 앱 스토어에서 제공되었는데, 이 기간 동안 피해를 입은 사용자는 자신의 데이터가 유출된 사실을 거의 알지 못했습니다.
(영향을 받은 Chrome 플러그인 및 사용자 통계 목록[3])
Chrome 스토어의 업데이트 정책에 따라 V2 플러그인에 대한 지원이 점차 중단되어, SwitchyOmega 플러그인[4]의 공식 원본 버전은 V2로 지원되지 않습니다.
감염된 악성 버전[5]은 V3 버전이며, 해당 개발자 계정은 원래 V2 버전의 계정과 다릅니다. 따라서 이 버전이 정식으로 출시되었는지 확인하는 것은 불가능하며, 공식 계정이 해킹되어 악성 버전이 업로드된 것인지, 아니면 V3 버전의 작성자가 직접 악의적인 행위를 한 것인지도 판단할 수 없습니다.
SlowMist 보안팀에서는 사용자에게 설치된 플러그인의 ID를 확인하여 공식 버전인지 확인할 것을 권장합니다. 영향을 받는 플러그인이 설치되어 있는 것을 발견하면 최신 보안 버전으로 즉시 업데이트하거나 직접 제거하여 보안 위험을 줄여야 합니다.
플러그인이 변조되는 것을 방지하려면 어떻게 해야 하나요?
브라우저 확장 프로그램은 항상 온라인 보안의 약점으로 여겨져 왔습니다. 플러그인이 변조되거나 악성 플러그인이 다운로드되는 것을 방지하기 위해 사용자는 설치, 사용, 관리 측면에서 보안 조치를 취해야 합니다.
1. 공식 채널에서만 플러그인을 다운로드하세요
Chrome 공식 스토어를 이용하는 것을 우선시하고, 인터넷상의 타사 다운로드 링크는 신뢰하지 마세요.
검증되지 않은 "크랙된" 플러그인을 사용하지 마십시오. 많은 수정된 플러그인에는 백도어가 심어져 있을 수 있습니다.
2. 플러그인 권한 요청에 주의하세요
일부 플러그인은 검색 기록, 클립보드 등에 대한 접근 등 불필요한 권한을 요청할 수 있으므로 권한을 부여할 때는 주의하세요.
민감한 정보를 읽으라고 요청하는 플러그인을 발견하면 주의하세요.
3. 설치된 플러그인을 정기적으로 확인하세요
Chrome 주소창에 chrome://extensions/를 입력하면 설치된 모든 확장 프로그램을 볼 수 있습니다.
플러그인의 마지막 업데이트 시간에 주의하세요. 플러그인이 오랫동안 업데이트되지 않았는데 갑자기 새 버전이 출시되면 변조 가능성에 주의하세요.
플러그인의 개발자 정보를 정기적으로 확인하세요. 플러그인 개발자가 변경되거나 권한이 변경되면 주의하세요.
4. MistTrack을 사용하여 자금 흐름을 모니터링하고 자산 손실을 방지합니다.
개인 키가 유출된 것으로 의심되는 경우 MistTrack을 사용하여 체인상 거래를 모니터링하고 자금 흐름을 파악할 수 있습니다.
플러그인 개발자 및 유지 관리자로서 프로젝트 당사자의 경우 악의적 변조, 공급망 공격, OAuth 남용과 같은 위험을 방지하기 위해 보다 엄격한 보안 조치를 취해야 합니다.
1. OAuth 접근 제어
권한 범위를 제한하고 OAuth 로그를 모니터링합니다. 플러그인이 인증을 위해 OAuth를 사용해야 하는 경우 단기 토큰 + 새로 고침 토큰 메커니즘을 사용하여 권한 높은 토큰의 장기 저장을 피하십시오.
2. Chrome 웹 스토어 계정 보안 강화
Chrome 웹 스토어는 플러그인의 유일한 공식 릴리스 채널입니다. 개발자 계정이 침해되면 공격자는 플러그인을 조작하여 모든 사용자 기기에 푸시할 수 있습니다. 따라서 2FA 활성화 및 최소 권한 관리 사용 등 계정 보안을 강화해야 합니다.
3. 정기 감사
플러그인 코드의 무결성은 프로젝트의 변조 방지 노력의 핵심이며, 정기적인 보안 감사가 권장됩니다.
4. 플러그인 모니터링
프로젝트 당사자는 새로 출시된 버전의 보안을 보장할 뿐만 아니라 플러그인이 하이재킹되었는지 실시간으로 모니터링해야 합니다. 문제가 발견되면 악성 버전을 즉시 제거하고 보안 공지를 발행하고 사용자에게 감염된 버전을 제거하도록 알려야 합니다.
악성 코드가 삽입된 플러그인을 어떻게 처리하나요?
플러그인이 악성 코드에 감염되었거나 플러그인이 위험을 초래할 수 있다고 의심되는 경우 사용자는 다음 조치를 취하는 것이 좋습니다.
1. 플러그인을 즉시 제거하세요
Chrome 확장 프로그램 관리 페이지(chrome://extensions/)로 이동하여 영향을 받는 플러그인을 찾아 제거하세요.
잔여 악성 코드가 계속 실행되는 것을 방지하려면 플러그인 데이터를 완전히 지웁니다.
2. 유출될 수 있는 민감한 정보 변경
브라우저에 저장된 모든 비밀번호, 특히 암호화폐 거래소 및 은행 계좌와 관련된 비밀번호를 변경하세요.
새로운 지갑을 만들고 자산을 안전하게 이체합니다(플러그인이 암호화폐 지갑에 접근하는 경우).
API 키가 유출되었는지 확인하고, 기존 API 키를 즉시 폐기하고 새 키를 신청하세요.
3. 시스템을 검사하여 백도어나 맬웨어를 확인합니다.
바이러스 백신이나 맬웨어 방지 도구(Windows Defender, AVG, Malwarebytes 등)를 실행합니다.
호스트 파일(C:\Windows\System32\drivers\etc\hosts)을 확인하여 악성 서버 주소로 수정되지 않았는지 확인하세요.
브라우저의 기본 검색 엔진과 홈페이지를 확인하세요. 일부 악성 플러그인은 이러한 설정을 변경할 수 있습니다.
4. 비정상적인 활동이 있는지 계정을 모니터링하세요.
거래소와 은행 계좌의 로그인 기록을 확인하세요. 비정상적인 IP 로그인이 발견되면 즉시 비밀번호를 변경하고 2FA를 활성화하세요.
암호화폐 지갑의 거래 기록을 확인하여 비정상적인 이체가 있는지 확인하세요.
소셜 미디어 계정이 침해되었는지 확인하세요. 특이한 개인 메시지나 게시물이 있으면 즉시 비밀번호를 변경하세요.
5. 더 많은 사용자가 피해를 입지 않도록 당국에 신고하세요.
플러그인이 변조된 것을 발견한 경우, 원래 개발팀에 문의하거나 Chrome 담당자에게 신고하세요.
SlowMist 보안팀에 연락하면 위험 경고를 발행하고 더 많은 사용자에게 안전에 주의하도록 알릴 수 있습니다.
브라우저 플러그인은 사용자 경험을 향상시킬 수 있지만, 해커 공격에 있어 획기적인 수단이 되어 데이터 유출 및 자산 손실의 위험을 초래할 수도 있습니다. 따라서 사용자는 편의성을 누리는 동시에 주의를 기울이고 좋은 보안 습관을 키워야 합니다. 예를 들어 플러그인을 신중하게 설치하고 관리하고, 권한을 정기적으로 확인하고, 의심스러운 플러그인은 즉시 업데이트하거나 제거하는 것이 좋습니다. 동시에 개발자와 플랫폼 제공자도 플러그인의 보안과 규정 준수를 보장하기 위해 보안 보호 조치를 강화해야 합니다. 사용자, 개발자, 플랫폼이 함께 협력하여 보안 인식을 강화하고 효과적인 보호 조치를 구현해야만 위험을 실질적으로 줄이고 데이터와 자산의 보안을 보장할 수 있습니다.
관련 링크
[1] https://www.cyberhaven.com/engineering-blog/cyberhavens-최근-악성-크롬-확장-예비-분석
[2] https://cdn.prod.website-files.com/64deefeac57fbbefc32df53d/678690faf3f050d53afc810a_최종_사이버헤이븐_위협%20정보%20브리핑%20%5B2025-01-13%5D.pdf
[3] https://www.extensiontotal.com/cyberhaven-incident-live
[4]https://chromewebstore.google.com/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif
[5]https://chromewebstore.google.com/detail/proxy-switchyomega-v3/hihblcmlaaademjlakdpicchbjnnnkbo
