Home > 전체기사
구글, 악성 플러그인 500개를 크롬 스토어에서 삭제해
  |  입력 : 2020-02-18 12:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기존 플러그인을 그대로 베낀 악성 플러그인...다운로드 수가 200만에 육박
브라우저에 저장된 각종 정보를 주기적으로 빼내...플러그인은 보안 사각지대


[보안뉴스 문가용 기자] 구글이 크롬 웹 스토어(Chrome Web Store)에서 500개가 넘는 플러그인들을 삭제했다. 전부 은밀한 데이터 빼돌리기 행위를 하고 있던 것들이었다. 보안 전문가 자밀라 카이야(Jamila Kaya)와 네트워크 보안 업체 시스코(Cisco)가 쏘아 올린 작은 공이 이런 사태를 만들었다고 한다.

[이미지 = iclickart]


처음 카이야와 시스코는 크롬 환경에서 70개의 악성 플러그인들을 발견했었다. 유명 플러그인을 그대로 베낀 것으로, 사용자들의 정보를 외부로 빼돌리는 기능이 더해진 상태였다. 진짜 플러그인인줄 알고 설치한 사용자가 무려 170만 명이나 됐었다. 이것이 계기가 되어 조사를 더 진행했더니 무려 500개가 넘는 악성 플러그인이 나왔다. 전부 C&C 서버와 연결해 사용자의 브라우징 정보를 업로드 하는 것으로 분석됐다.

이런 플러그인을 배포한 자들은 하나로 보이며, 같은 인프라를 최소 1~2년 동안 활용해 각종 정보를 수집해온 것으로 보인다고 시스코의 보안 전문가들은 자사 블로그를 통해 설명하고 있다. “문제가 되는 플러그인들 거의 전부가 똑같은 소스코드를 기반으로 하고 있습니다. 세세한 함수의 이름 정도만 조금 달라질 뿐입니다. 사용자 평가도 없고, ‘플러그인 이름.com’ 웹사이트와 연결된다는 것도 전부 같습니다.” 또한 이 플러그인들 모두 설치될 때 같은 수준의 권한을 사용자들로부터 요구한다.

설치된 이후 플러그인들은 외부 사이트에 주기적으로 접속한다. 공격자들은 이 사이트를 통해 해당 플러그인을 삭제하거나 그대로 남겨둔다. 이 사이트는 C&C 서버가 아니다. 왜냐하면 이 플러그인들은 C&C 서버에도 주기적으로 접속해 명령을 받기 때문이다. 공격자들은 C&C 서버를 통해 정보 업로드가 이뤄질 곳을 지정해주는 등의 제어를 실시한다. 데이터가 업로드 되는 곳은 주로 data.multitext.com이라는 도메인이다.

공격자들이 수집하는 데이터는 브라우저 사용 현황, 시간, 비가동 시간, 추적된 브라우저 활동, 통계 등으로 사용자의 동의가 전혀 없는 상태에서 정보가 외부로 새나간다. 악성 플러그인이 접속하는 사이트에서는 별도의 멀웨어가 발견되기도 했다. 플러그인을 배포한 자가 설치해 활용하고 있을 가능성이 높은 것으로 나타났다.

시스코는 자사 웹사이트를 통해 이번 조사 결과에 대해 언급하며 “공격 인프라의 탄탄함이나 플러그인의 개수, 다양한 공격 장치들을 봤을 때 배후에 있는 공격자가 꽤나 오랫동안 운영을 해온 것으로 보인다”고 주장했다. 또한 탐지되는 걸 피하기 위해 최대한 조심스럽고 은밀하게 공격 규모를 키워온 것으로 보인다고도 덧붙였다.

조사를 진행했을 때 공격자는 최소 8개월 동안 정보를 수집했을 가능성이 높아 보인다. 카이야는 자신의 블로그를 통해 “공격은 2019년 1월부터 시작됐으며, 그 해 3월과 6월 사이에 가장 활발히 활동한 것으로 보인다”고 밝혔다. 3월과 6월 사이, 공격자는 수십 개의 악성 플러그인을 크롬 웹 스토어에 등록했었다.

보안 업체 페리미터엑스(PerimeterX)의 보안 전문가인 아밋 나이크(Ameet Naik)는 “플러그인은 인터넷에서 야생과 같은 구간”이라며 “크롬에만 설치 가능한 플러그인이 20만개가 넘는다”고 말한다. “앱과 피싱 이메일 등에 대해서는 사람들이 조심하는 경향이 있는데, 플러그인에 대해서는 비교적 느슨합니다. 플러그인도 민감한 정보에 마음껏 접근하는 요소가 될 수 있다는 걸 고려해야 합니다.”

구글은 플러그인을 통한 사이버 범죄가 증가하자 새로운 정책을 발표하기도 했다. 개발사 중 사용자 데이터를 취급하는 플러그인을 만들어 배포하는 곳이라면 프라이버시 보호 정책을 반드시 수립해야 한다는 것이다. 또한 어떠한 경우에라도 사용자의 동의를 구하는 절차가 도입되어야 하며, 최소한의 데이터만 활용하도록 정했다. 심지어 이러한 정책을 위반하는 사례를 고발하는 자에게 상금을 주겠다고 발표하기도 했다.

3줄 요약
1. 구글, 크롬 플러그인 500개 넘게 삭제.
2. 전부 기존의 플러그인을 베낀 것으로, 뒤에서 사용자 정보를 빼돌리고 있었음.
3. 공격자는 동일 단체 혹은 인물로 보이며, 최소 8개월 동안 활동해온 것으로 추정됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)