반응형
셰이디판다 브라우저 확장 공격
430만 명 이상 크롬·엣지 브라우저 사용자가 중국 기반 해커조직 ‘ShadyPanda(셰이디판다)’에 의해
**수년간 공급망 공격 형태의 악성 확장프로그램 공격**에 노출된 사실이 뒤늦게 확인됨.
Clean Master, WeTab 등 정상으로 보이던 확장프로그램을 다년간 운영하며 신뢰를 쌓은 뒤 악성 업데이트로 전환하는 방식이 사용됨.
브라우저는 업무 시스템의 핵심 진입점이므로 기업 피해 가능성도 매우 큼.
Clean Master, WeTab 등 정상으로 보이던 확장프로그램을 다년간 운영하며 신뢰를 쌓은 뒤 악성 업데이트로 전환하는 방식이 사용됨.
브라우저는 업무 시스템의 핵심 진입점이므로 기업 피해 가능성도 매우 큼.
1. 사건 개요
조사에 따르면 셰이디판다는 2018년부터 크롬·엣지 확장프로그램 스토어에 다양한 유틸리티 프로그램을 등록했다. 이들 확장프로그램은 초기에는 정상적으로 작동했으며 일부는 ‘구글 추천(Featured)’ 또는 ‘검증됨(Verified)’ 배지까지 획득했다.
이후 수년 동안 사용자 기반을 늘린 뒤, 2024년 중반 악성 업데이트를 배포해 확장프로그램이 **브라우저 전체를 통제하는 스파이웨어**로 변질되었다.
2. 대표 악성 확장프로그램 목록
이번 공격에서 중심 역할을 한 대표 확장프로그램은 다음과 같다.
| 확장프로그램명 | 설명 | 다운로드 규모 | 악성 기능 전환 |
|---|---|---|---|
| Clean Master | 유틸리티 최적화 프로그램처럼 위장했으나 악성 업데이트로 브라우저 전체 정보 탈취 | 30만+ | 2024년 중반 |
| WeTab | 엣지 새 탭 페이지 제공 도구로 위장, 실제로는 검색어·URL·클릭정보 실시간 외부 전송 | 400만+ | 현재도 일부 활성 |
| Document Printer | 문서 변환 도구로 위장, 백그라운드 C2 명령 수신 | 50만+ | 악성 스크립트 삽입 후 활동 |
| PDF Reader Pro | PDF 보기 기능 제공처럼 보이나 방문기록 수집 및 세션 토큰 탈취 기능 탑재 | 20만+ | 2023년 후반 추정 |
| ScreenNote | 화면 메모 도구 위장, 쿠키·자동로그인 정보 탈취 | 100만+ | 악성 업데이트 이후 급속 확산 |
대표 악성 확장프로그램 핵심 요약:
✔ Clean Master – 크롬 사용자 30만 명 이상 감염
✔ WeTab – 엣지 기반 공격의 중심, 아직 일부 스토어에서 제거되지 않음
✔ 나머지 3종도 모두 정상→악성 전환 후 RCE, 세션 탈취 수행
✔ Clean Master – 크롬 사용자 30만 명 이상 감염
✔ WeTab – 엣지 기반 공격의 중심, 아직 일부 스토어에서 제거되지 않음
✔ 나머지 3종도 모두 정상→악성 전환 후 RCE, 세션 탈취 수행
3. 공격 방식 및 악성 기능
셰이디판다는 아래와 같은 방식으로 공격을 수행했다.
- 정상 확장프로그램을 수년간 유지해 사용자 신뢰 확보
- 자동 업데이트 기능을 악용해 악성 코드 포함된 버전 배포
- 브라우저 API를 통해 입력 중인 텍스트·검색어·URL 탈취
- 로그인 세션 쿠키, JWT, OAuth 토큰 탈취
- 공격자 서버(C2)에서 임의 JS 다운로드 후 실행 (사실상 RCE)
- 개발자도구 열리면 정상 코드로 위장 → 탐지 회피
핵심 문제는 **“확장프로그램 하나가 브라우저 전체 권한을 가질 수 있다”**는 구조적 취약성임.
이는 단순 사용자 피해를 넘어 **기업 전체 인프라 공급망 공격**으로 확장될 수 있음.
이는 단순 사용자 피해를 넘어 **기업 전체 인프라 공급망 공격**으로 확장될 수 있음.
4. 엣지 스토어 피해가 더 심각했던 이유
엣지 스토어에는 WeTab을 비롯해 총 5개 확장프로그램이 공격에 악용되었으며, 일부는 아직도 내려가지 않아 실시간 데이터 유출이 계속되는 것으로 분석됐다.
엣지 스토어는 크롬 대비 검증 절차가 더 느슨했던 시기가 있었고 이 틈을 타 셰이디판다가 영향력을 빠르게 확장한 것으로 추정된다.
5. 왜 지금까지 몰랐는가? (구조적 문제)
확장프로그램 생태계의 근본적 문제는 아래와 같다.
- 확장프로그램은 **제출할 때만 검증**, 이후 업데이트는 거의 심사 없음
- 사용자 90% 이상이 자동 업데이트 ON → 악성 버전 배포 즉시 감염
- 수년간 정상 동작한 프로그램은 스토어 운영사도 의심하지 않음
- 코드 난독화·정상 위장 등 탐지회피 기술 적극 사용됨
6. 기업 환경에서의 위험성
오늘날 기업 업무 대부분은 브라우저 기반으로 이루어진다. 따라서 브라우저 확장프로그램 감염은 단순 개인 정보유출이 아닌 **기업 내부 시스템 전체가 노출되는 중대 사고로 발전**할 수 있다.
- 클라우드 콘솔 세션 탈취 → 운영자 계정 위험
- 사내 관리자 페이지 접근 토큰 탈취
- 협업툴(메일·프로젝트·파일) 세션 유출
- SSO 기반 로그인 정보 탈취
셰이디판다 공격은 **“브라우저 확장프로그램이 새로운 공급망 취약점이 되었다”**는 경고 신호임.
7. 대응 권고
기업 대응
- 모든 확장프로그램 전수 조사
- 조직 내 브라우저 확장 설치 정책 수립(Whitelist 기반)
- SSO·토큰 재발급 및 세션 초기화
- 클라우드·SaaS 관리자 계정 비밀번호 변경
개인 사용자 대응
- 최근 설치한 확장프로그램 목록 점검
- Clean Master, WeTab 등 즉시 삭제
- 자동 업데이트 OFF 고려
- 브라우저 프로필 삭제 및 재로그인
8. 요약
✔ 430만 명 크롬·엣지 사용자가 셰이디판다 공급망 공격에 노출
✔ Clean Master·WeTab 등 대표 확장프로그램이 악성 업데이트로 변질
✔ 브라우저는 기업 업무의 중심 → 피해는 기업 전체로 확대 가능
✔ 확장프로그램 생태계의 구조적 검증 취약성이 문제의 핵심
✔ 스토어 검증 및 업데이트 심사 강화 없이는 동일 공격 재발 가능
✔ Clean Master·WeTab 등 대표 확장프로그램이 악성 업데이트로 변질
✔ 브라우저는 기업 업무의 중심 → 피해는 기업 전체로 확대 가능
✔ 확장프로그램 생태계의 구조적 검증 취약성이 문제의 핵심
✔ 스토어 검증 및 업데이트 심사 강화 없이는 동일 공격 재발 가능
반응형
'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글
| ORM 시대, 왜 SQL 이해가 더 중요해졌는가 (0) | 2025.12.06 |
|---|---|
| React2Shell RSC 원격 코드 실행 (1) | 2025.12.05 |
| 넷마블 대규모 정보유출 해킹 사건 (1) | 2025.12.04 |
| React·Next.js RSC서 인증 없는 원격 코드 실행 취약점 (0) | 2025.12.04 |
| 악성 브라우저 확장 기능 대규모 감염 (1) | 2025.12.03 |