[디지털투데이 AI리포터] 구글 크롬 웹 스토어에 등록된 확장 프로그램 100여 개가 사용자 인증 정보와 계정 데이터를 탈취하고, 일부 기기에서는 백도어까지 설치한 정황이 확인됐다.

15일(현지시간) IT매체 테크레이더에 따르면, 보안업체 소켓(Socket)은 크롬 웹 스토어에서 악성 확장 프로그램 108개를 발견했다고 밝혔다.

이들 확장 프로그램은 텔레그램 사이드바 클라이언트, 슬롯머신·키노 게임, 유튜브·틱톡 기능 보조 도구, 번역 도구, 브라우저 유틸리티 등 5개 범주로 위장했다. 겉으로는 정상 기능을 수행했지만 내부에서는 사용자 화면에 공격자가 통제하는 HTML을 삽입하거나 계정 정보를 수집하는 방식으로 동작했다.

소켓에 따르면 78개 확장 프로그램이 사용자 화면에 공격자가 제어하는 HTML을 주입했고, 54개는 이메일 주소, 이름, 프로필 사진, 구글 계정 아이디 등을 수집했다. 일부는 구글 OAuth2 베어러 토큰까지 탈취한 것으로 나타났다. 인증 토큰이 유출될 경우 계정 전체 접근 권한이 공격자에게 넘어갈 수 있다.

원격 제어 기능도 확인됐다. 45개 확장 프로그램은 명령제어(C2) 서버의 지시에 따라 임의의 URL을 실행하는 백도어로 작동했다. 일부는 보안 헤더를 제거한 뒤 유튜브와 틱톡에 광고를 삽입하는 방식으로 악용됐다.

가장 위험한 사례로는 텔레그램 웹 세션 탈취 기능이 지목됐다. 해당 확장 프로그램은 15초마다 텔레그램 웹의 로컬 스토리지와 세션 토큰을 외부로 전송하는 방식으로 동작했다. 사용자가 로그인 상태를 유지하면 세션 정보가 지속적으로 유출될 수 있는 구조다.

등록 주체는 서로 다른 5개 프로필이었지만, 소켓은 이들 확장 프로그램이 동일한 명령제어 인프라와 연결돼 있다는 점에 주목했다. 코드 내 주석과 구조를 근거로 이번 공격이 러시아계 서비스형 악성코드 운영일 가능성이 높다고 분석했지만, 특정 조직이나 개인까지는 특정하지 못했다.

피해 규모도 적지 않은 것으로 추정된다. 일부 소식통은 해당 확장 프로그램의 누적 설치 수가 최소 2만 건에 이른다고 전했다. 소켓이 삭제를 요청했음에도 구글은 아직 이들 확장 프로그램을 웹 스토어에서 제거하지 않은 상태로 알려졌다.

• S2W 양종헌 부문장 "AI 시대 보안, 차단 중심에서 취약점 지속 관리로 바꿔야"
• 구글 딥마인드, 새 로봇 AI 공개…판독 정확도 98%
• 프라이빗테크놀로지-티앤디소프트, N2SF·제로트러스트 사업 협력
• 애플 이용자 노린 아이클라우드 피싱 확산…'사진 삭제' 경고로 클릭 유도
• 접어도 크다…삼성, 화면 더 넓은 트라이폴드폰 특허 공개