보안 기업 코이 시큐리티가 최근 보고서를 통해, 구글 크롬과 마이크로소프트 엣지에서 사용 가능한 18개 악성 확장 프로그램이 약 230만 명 사용자에게 배포돼 브라우저를 탈취한 정황을 공개했다. 해당 캠페인은 연구진에 의해 ‘레드디렉션(RedDirection)’으로 명명됐다.

이들은 확장 프로그램에 검증 배지, 높은 사용자 평점, 추천 배치 등 사용자 신뢰 지표를 악용해 장기간 탐지되지 않고 활동해왔다. 코이 시큐리티는 “지금까지 확인된 브라우저 기반 악성코드 캠페인 중 가장 규모가 큰 사례 중 하나”라고 평가했다.

식별된 확장 프로그램 가운데 ‘컬러 피커, 아이드로퍼 – 게코 컬러픽(Color Picker, Eyedropper – Geco colorpick)’은 10만 회 이상 설치, 800개 이상 긍정 리뷰, 공식 스토어 검증 상태를 갖추고 있었다. 정상적인 기능과 사용자 인터페이스를 제공하는 이 확장 프로그램은 실제로는 사용자의 브라우징 활동을 수집해 원격 서버로 전송하고 있었다.

기타 확장 프로그램은 이모지 키보드, 날씨 정보, 프록시 접속, 다크 모드 테마, 음량 증폭 등 다양한 기능을 제공했지만, 모두 코드 내부에 유사한 감시 및 탈취 기능을 은폐하고 있었다.

정상 업데이트로 위장한 악성 코드 배포

해당 확장 프로그램 대부분은 초기 버전에는 악성 코드가 없었으며, 이후 업데이트를 통해 악성 기능이 추가된 것으로 확인됐다. 이는 기존의 보안 점검을 회피하면서 장기간 사용자 시스템에 침투할 수 있게 한 수법이다.

코이 시큐리티 연구원 이다 다르디크만은 “구글과 마이크로소프트의 브라우저 확장 프로그램 업데이트 방식 특성상, 사용자 대부분은 클릭 없이도 자동으로 악성 업데이트를 받게 된다”라며, “230만 명 이상 사용자에게 조용히 설치됐다”라고 설명했다.

다르디크만은 “사용자 보호를 위해 도입된 검증 배지, 추천 배치, 자동 업데이트 같은 메커니즘이 오히려 악성코드 확산을 돕는 결과를 낳았다”라고 덧붙였다.

기업 보안 체계 허점을 찌른 브라우저 확장 프로그램 공격

에베레스트 그룹의 실무 책임자 아르준 초한은 “이번 캠페인은 공격자 전략의 변화를 보여준다”라고 지적했다. 초한은 “과거 백엔드 시스템을 겨냥하던 공급망 공격이 이제는 사용자가 매일 사용하는 도구인 브라우저 확장 프로그램으로 옮겨왔다”라고 분석했다.

“악성 코드는 즉시 작동하지 않고, 일정 시간이 지나고 나서야 활성화됐다”며, “이 점이 기존 기업 보안 모델의 허점을 드러냈다”라고 설명했다. 이어 “이제는 초기 심사만으로는 충분하지 않으며, 지속적인 확장 프로그램 모니터링, 권한 통제, 직원 교육, 그리고 브라우저 확장 프로그램에 대한 제로 트러스트 모델 도입이 필수적”이라고 강조했다.

감시부터 피싱까지 가능한 브라우저 탈취 기능

악성 확장 프로그램은 서비스 워커의 백그라운드 코드에 악성 기능을 내장하고 있었으며, 브라우저 프로그래밍 인터페이스를 통해 탭 활동을 추적했다. 이렇게 수집된 URL과 고유 추적 식별자는 공격자 서버로 전송됐고, 해당 서버는 다시 리디렉션 명령을 전달하는 구조였다.

이 과정을 통해 피싱 사이트로 이동, 로그인 정보 탈취, 가짜 업데이트 알림 제공, 가로챈 회의 초대장 활용 등 다양한 공격이 가능해졌다. 다르디크만은 “18개 확장 프로그램을 통해 230만 명 이상 사용자가 지속적인 감시와 탈취에 노출됐다”라고 분석했다.

단일 인프라 기반의 조직적 캠페인

레드디렉션 캠페인은 크롬과 엣지 양쪽에서 동시에 전개됐으며, 각각의 확장 프로그램은 별도의 명령 제어 도메인과 연결된 것으로 위장하고 있었다. 그러나 모든 확장 프로그램은 결국 하나의 통합 네트워크에 의해 제어되고 있는 것으로 밝혀졌다.

일부 확장 프로그램은 양 플랫폼에서 모두 검증 배지와 추천 위치를 획득해 더 큰 문제를 야기했다.

코이 시큐리티는 피해 사용자에게 즉시 확장 프로그램 제거, 브라우저 데이터 초기화, 전체 악성코드 검사, 온라인 계정 모니터링을 권고했다. 특히 설치된 확장 프로그램 목록 전체에 대한 재점검이 필요하다고 강조했다.

악성 확장 프로그램에는 ‘컬러 피커, 아이드로퍼 — 게코 컬러픽’, ‘디스코드 우회 프록시 접속’, ‘이모지 키보드 복사 붙여넣기’, ‘무료 날씨 정보’, ‘디스코드 잠금 해제’, ‘다크 테마 — 브라우저용 다크 리더’, ‘볼륨 맥스 — 사운드 증폭기’, ‘틱톡 접속 우회 프록시’, ‘유튜브 우회 VPN’, ‘틱톡 잠금 해제’, ‘날씨’ 등이 포함돼 있다.

브라우저 확장 프로그램 검증 체계의 구조적 한계

이번 사건은 확장 프로그램 검증 시스템의 근본적 허점을 부각시켰다. 구글과 마이크로소프트는 검증과 추천 절차를 거쳤음에도 악성코드를 탐지하지 못했다.

이다 다르디크만은 “공격자는 사용자 신뢰 지표인 검증 배지, 설치 수, 추천 배치, 오랜 기간 정상 운영, 긍정 리뷰 등 모든 요소를 악용해 신뢰를 위장했다”라고 지적했다.

아르준 초한은 플랫폼 차원의 변화가 필요하다고 강조했다. 또한 “정적 분석과 수동 검토는 현재 위협을 감당하기 어렵다”며, “동적 분석, 실시간 모니터링, 업데이트 투명성 강화 같은 구조적 개편이 사용자 신뢰 회복을 위한 필수 조건”이라고 말했다.

확장 프로그램 보안의 전환점

코이 시큐리티는 이번 레드디렉션 캠페인을 브라우저 보안의 분기점이라고 평가했다. 공격자는 단기 성과를 노리는 대신, 장기간 탐지를 피하고 악성코드를 배포할 수 있는 지속적이고 은밀한 인프라를 구축했다.

공개 시점도 주목된다. MITRE가 최근 ATT&CK 프레임워크에 ‘개발 환경 확장 프로그램’을 새로운 위협 범주로 추가한 지 며칠 뒤 발생한 사건이기 때문이다.

이다 다르디크만은 “사용자 신뢰를 얻은 확장 프로그램도 하루아침에 악성코드로 변할 수 있다면, 기존 보안 모델은 반드시 개편돼야 한다”라고 강조했다.
dl-itworldkorea@foundryco.com