악성 브라우저 확장 기능 대규모 감염

 

악성 브라우저 확장 기능 대규모 감염

크롬·엣지 확장 기능이 430만 명 이상을 감염시키며 데이터 수집·검색 조작·원격 실행 수행
7년간 지속된 셰이디판다(ShadyPanda)의 장기 공급망 공격 캠페인 확인
엔터프라이즈 브라우저 환경까지 침투 가능해 기업 전체 보안 위협으로 확대

신뢰받던 브라우저 확장 기능이 430만 개가 넘는 크롬·엣지 브라우저 인스턴스를 감염시키며 데이터 수집·검색 결과 조작·트래픽 변조·원격 코드 실행까지 수행한 사실이 보안업체 코이(Koi)의 분석으로 드러났다.

공격 그룹 ‘셰이디판다(ShadyPanda)’는 단기간이 아닌 7년간 확장 기능을 정상으로 위장한 뒤 사용자 기반이 충분히 쌓이는 시점에 악성 업데이트를 배포하는 방식으로 조용히 감염을 확산시켰다.

1. 브라우저 확장 기능 기반 공급망 공격의 실체

감염된 확장 기능은 단순한 광고 조작 수준이 아니라, 기업용 브라우저 환경까지 장악할 수 있는 심각한 공격 기능을 포함한다.

• 브라우징 데이터 수집
• 검색 결과 변조·트래픽 조작
• 브라우저 기반 인증(Session) 탈취
• 쿠키·API 키·세션 토큰 수집
• 원격 코드 실행(RCE) 백도어 삽입

특히 업무용 PC 또는 개인 기기에서 엔터프라이즈 접근이 이루어지는 경우, 기업 내부 시스템 전체가 노출될 위험이 존재한다.

2. 7년간 누적된 감염 — ShadyPanda 캠페인의 특징

코이에 따르면, 셰이디판다는 2017년부터 브라우저 확장 기능 기반 인프라를 유지해 왔다.

확인된 감염 규모:

• 총 430만 개 브라우저 인스턴스 감염
• 30만 명에게 RCE(원격 코드 실행) 기능 포함 백도어 배포
• Chrome Web Store: 20개 악성 확장 기능 유통
• Edge Extension Store: 125개 악성 확장 기능 유통

초기에는 온라인 구매 수수료 조작(어필리에이트 사기)에 집중했으나, 이후 사용자 행동 추적·세션 데이터 수집·지문 기반 감시로 목적이 확대되었다.

3. 가장 심각한 사례 — Clean Master의 변질

대표적인 사례는 약 20만 회 설치된 인기 유틸리티 확장 기능 Clean Master다.

이 확장 기능은 초기에는 완전한 정상 기능만 제공해 높은 이용자 평점을 쌓았고, Chrome Web Store·Edge Add-ons에서 Featured·Verified 배지를 획득하기도 했다.

그러나 일정 시간 후 악성 업데이트가 배포되며 사용자 모르게 스파이웨어로 변질됐다. 실제로 퍼블리셔 Starlab Technology는 이후 5개의 추가 확장 기능을 출시했으며, 그 중 2개는 현재도 다운로드 가능한 상태라고 코이는 경고한다.

4. 은폐 기법 — 개발자 도구 탐지·난독화·조건부 활성화

악성 확장 기능들은 정교한 은폐 기능을 갖추고 있었다.

• 개발자 도구가 열리면 즉시 정상 코드로 교체
• 난독화된 코드 구조
• 특정 조건에서만 활성화되는 기능(탐지 회피)
• 브라우저 내 삽입형 공격(사용자–웹사이트 사이 개입)

이를 통해 사용자의 활동을 장기적으로 추적하고, 검색·트래픽을 조작하며, 인증 정보를 탈취할 수 있었다.

5. 삭제해도 끝나지 않는 위험 — 이미 탈취된 데이터

확장 기능이 마켓플레이스에서 삭제되었어도, 감염된 브라우저에는 여전히 공격 인프라가 남아 있을 가능성이 있다고 코이는 지적한다.

특히 다음과 같은 민감 정보는 이미 공격자에게 넘어갔을 가능성이 있다.

• 쿠키·세션 토큰
• 브라우징 패턴
• 저장된 비밀번호·API 키
• 브라우저 지문 정보

구글은 Clean Master 관련 확장 기능을 모두 제거했다고 밝혔으나, 마이크로소프트는 별도 입장을 내놓지 않았다.

6. 엔터프라이즈 환경에서의 심각한 위험

브라우저 기반 인증(SaaS·클라우드 콘솔·내부 도구)에 의존하는 기업은 확장 기능 하나만으로도 전체 계정이 탈취될 수 있다.

“감염된 개발자 워크스테이션은 손상된 저장소와 API 키 탈취로 직결된다”는 코이 연구진의 분석처럼, 개발자 환경은 특히 위험도가 높다.