구글 크롬과 마이크로소프트 엣지 사용자를 겨냥한 대규모 감시 캠페인은 악성 브라우저 확장 기능을 배포해온 7년간의 프로젝트가 최근 단계에 접어든 사례다.

초기 심사와 사용자 확산을 통과한 확장 기능을 장기간에 걸쳐 무기화하는 방식으로, 보안업체 코이(Koi)가 셰이디판다(ShadyPanda)로 명명한 그룹은 총 430만 개 브라우저 인스턴스를 감염시켜 브라우징 데이터 수집, 검색 결과 탈취, 트래픽 조작, 원격 코드 실행 백도어 배포를 수행했다.

코이는 이러한 악성 확장 기능이 업무용 PC 또는 업무 접근에 사용되는 직원 개인 기기에서 실행될 경우, 엔터프라이즈 환경 전반에 심각한 위험을 초래한다고 경고했다.

보안 연구원 투발 애드모니는 코이 보안 블로그에서 “감염된 개발자 워크스테이션은 손상된 저장소와 도난당한 API 키로 직결된다”라고 언급했고, “브라우저 기반 인증을 사용하는 SaaS 플랫폼, 클라우드 콘솔, 내부 도구는 모든 로그인 정보가 셰이디판다에 그대로 노출될 수 있다”라고 분석했다.

악성 확장 기능은 더 이상 배포되지 않지만 감염된 기업의 위험은 그대로 유지된다. 애드모니는 “확장 기능이 최근 마켓플레이스에서 삭제됐음에도 감염된 모든 브라우저에 공격 인프라가 그대로 남아 있다”라고 전했다.

수년간 이어진 캠페인과 변화하는 목적

코이 분석 결과, 셰이디판다는 2017년부터 이어진 다세대 브라우저 확장 기능 기반 인프라를 유지해 왔다. 이 그룹은 다양한 확장 기능을 순환 배포했으며, 이 가운데 20개는 크롬 웹스토어, 125개는 엣지 확장 스토어에서 유통됐다.

초기에는 피해자의 온라인 구매에서 숨겨진 수수료를 추출하는 방식의 어필리에이트 사기에 집중했으며, 이후 검색 결과 조작으로 목적이 확장됐다. 최근에는 정교한 행동 추적, 세션 데이터 수집, 브라우저 지문 기반 감시로 약 400만 명에게 피해를 주었고, 30만 명을 대상으로 원격 코드 실행 기능이 포함된 백도어를 배포했다.

셰이디판다는 장기 전략을 선택했다. 대표 사례는 약 20만 회 설치된 인기 유틸리티인 클린 마스터(Clean Master)로, 초기에는 완전히 정상적인 도구처럼 동작하며 높은 사용자 평점을 축적했고 크롬 웹스토어와 마이크로소프트 엣지 스토어에서 피처드(Featured), 인증됨(Verified) 배지를 획득했다.

제출 이후 검증 부재

장기간 축적된 신뢰는 엔터프라이즈 환경에서 확장 기능 검증이 느슨하다는 점과 맞물려 대규모 사용자 기반 형성으로 이어졌다. 이후 셰이디판다는 조용한 악성 업데이트를 배포하며, 사용자 행동을 추적하고 공격 범위를 최적화하는 숨겨진 설치 추적 루틴을 포함시켰다.

크롬과 엣지 확장 기능의 업데이트는 자동으로 이루어지며 기존 권한에 대한 재승인이 필요 없기 때문에 공격은 아무런 경고 없이 조용히 진행됐다.

애드모니는 “셰이디판다의 성공 요인은 7년 동안 동일한 취약점을 반복적으로 악용한 데 있다”며, “마켓플레이스는 제출 당시만 검토하고 승인 이후의 행위는 감시하지 않는다”라고 지적했다.

은폐 기법과 ‘브라우저 내 공격’ 방식

셰이디판다는 탐지 회피를 위해 다양한 기법을 사용했다. 코이는 개발자 도구가 열리면 악성 코드가 즉시 정상 코드로 전환되었으며, 난독화와 조건부 활성화가 악성 기능을 효과적으로 숨겼다고 밝혔다.

또한 코이는 조사 시점 기준 일부 확장 기능이 아직 엣지 확장 스토어에서 활성 상태였다고 밝혔다. 클린 마스터의 퍼블리셔인 스타랩 테크놀로지(Starlab Technology)는 2023년 무렵 엣지에서 5개의 추가 확장 기능을 출시해 총 400만 회 이상 설치를 기록했다. 애드모니는 “이 중 5개 확장 기능 모두 현재도 다운로드 가능하며, 그중 2개는 완전한 스파이웨어 수준”이라고 경고했다.

구글 대변인은 클린 마스터가 크롬 웹스토어에서 제거됐으며 현재 관련 확장 기능이 모두 삭제됐다고 전했다. 마이크로소프트는 CSO의 확인 요청에 즉시 응답하지 않았다.

셰이디판다는 사용자가 방문한 페이지에 추적 로직을 삽입해 사용자와 웹사이트 사이에 직접 개입하는 브라우저 내 공격 방식을 수행했다. 이를 통해 감염된 사용자 활동을 지속적으로 감시하고 트래픽을 조작할 수 있었다.

애드모니는 확장 기능 삭제만으로는 충분하지 않을 수 있다고 경고했다. 공격자가 이미 쿠키, 브라우징 패턴, 세션 토큰, 지문 정보 등 고가치 데이터를 수집했을 가능성이 높기 때문이다.

코이는 블로그를 통해 악성 크롬·엣지 확장 기능 목록과 함께 지휘·통제 서버, 데이터 유출 도메인 정보를 공개해 탐지와 대응을 지원했다.
dl-itworldkorea@foundryco.com