Edge 확장 StegoAd 캠페인 분석: 스테가노그래피로 위장한 119개 악성 확장의 작동 원리와 대응

2026년 6월, 마이크로소프트는 Edge Add-ons 스토어에서 스테가노그래피 기법으로 악성 코드를 은닉한 119개의 브라우저 확장을 일괄 차단 및 제거했습니다. 본 사례는 일상에서 흔히 접하는 이미지, 폰트 파일이 어떻게 공격 벡터로 변질될 수 있는지를 적나라하게 보여주며, 브라우저 확장이라는 신뢰 기반 공급망의 구조적 취약점을 다시 한번 드러냈습니다. 특히 최소 2021년부터 단일 위협 행위자에 의해 운영되어 온 것으로 알려진 만큼, 단순한 일회성 사고가 아닌 장기화된 위협 캠페인이라는 점에서 보안 실무자의 관심이 필요합니다.

  • 마이크로소프트가 Edge Add-ons 스토어에서 스테가노그래피로 악성 코드를 은닉한 119개 확장을 제거하고, 이를 StegoAd 캠페인으로 명명함
  • 해당 확장은 이미지 및 폰트 파일 내부에 악성 페이로드를 숨기고 일정 시간 후 활성화하는 지연 실행 방식으로 탐지를 우회함
  • 최종 목적은 사용자 자격증명 탈취와 애드웨어 기반 광고 사기 수익화로 분석되며, 최소 2021년부터 단일 위협 행위자가 운영한 것으로 마이크로소프트가 판단함

브라우저 확장은 사용자 신뢰를 기반으로 동작하는 공급망 자산이므로, 정상 파일 내부에 은닉된 페이로드는 탐지 체계와 정책 정비 양면에서 동시에 대응해야 합니다.

1. 사건 개요: Edge 스토어에서 차단된 119개의 악성 확장

1.1 StegoAd 캠페인이란 무엇인가

StegoAd라는 명칭은 스테가노그래피(Steganography)와 애드웨어(Adware)의 합성어로, 마이크로소프트가 이번에 제거한 119개의 Edge 확장을 통칭하기 위해 사용한 분석 명칭입니다. 캠페인의 핵심은 악성 행위 자체를 정적 분석 단계에서 드러나지 않도록 만드는 데 있으며, 이를 위해 이미지, 폰트 같은 비실행 파일 내부에 악성 페이로드를 은닉하는 기법이 활용되었습니다. 사용자가 확장 기능을 설치해 사용하는 시점에는 외형상 정상 동작처럼 보이기 때문에, 보안 제품을 우회하기 쉬운 구조를 갖습니다.

1.2 2021년부터 운영된 장기 위협 행위자

업계 분석에 따르면 해당 캠페인은 최소 2021년부터 Edge Add-ons 스토어에서 활동한 것으로 추정됩니다. 5년 가까운 시간 동안 다수의 확장을 동시에 운영하면서 탐지 회피와 수익화 활동을 지속해 온 것으로 보입니다. 단일 위협 행위자가 이처럼 장기간 다수의 확장을 운영한 점은 확장을 동시에 운영했다는 점은, 스토어 정책의 모니터링 공백과 신뢰 점수 기반의 승인 체계가 악용될 수 있음을 시사합니다.

1.3 자격증명 탈취와 광고 사기라는 이중 목적

확장이 최종적으로 노리는 목적은 크게 두 가지로 정리됩니다. 첫째는 사용자의 브라우저 세션, 쿠키, 저장된 비밀번호 등에서 자격증명을 탈취하는 것이며, 둘째는 정상적인 검색 및 페이지 탐색 흐름을 광고 페이지로 강제誘導해 광고 수익을 사기 형태로 취득하는 것입니다. 두 행위가 결합될 경우 개인 정보 유출과 경제적 피해를 동시에 유발할 수 있어, 단순한 애드웨어 사례보다 위험도가 높다고 평가됩니다.

2. 스테가노그래피 악용: 평범한 파일이 공격 벡터가 되다

2.1 이미지 및 폰트 파일 내부의 악성 페이로드 은닉 원리

스테가노그래피는 원래 디지털 워터마킹, 저작권 표시 같은 합법적 목적으로도 사용되는 데이터 은닉 기법입니다. 이미지 파일의 경우 픽셀 값의 최하위 비트(LSB) 영역을, 폰트 파일의 경우 글리프 메트릭, 이름 테이블 같은 메타데이터 영역을 활용해 사람이 인지하기 어려운 수준으로 정보를 삽입할 수 있습니다. 악성 코드는 이 영역에 분산 저장되며, 확장 본체는 실행 시점에 이를 복원해 메모리 상에서 페이로드를 조립합니다.

2.2 지연 실행을 통한 탐지 우회 기법

설치 직후에는 악성 행위가 즉시 나타나지 않는다는 점이 이 캠페인의 큰 특징입니다. 일정 시간, 특정 조건, 혹은 C2 서버와의 통신 신호가 충족된 뒤에야 페이로드가 활성화되는 지연 실행 구조를 채택해, 정적 분석과 샌드박스 기반 자동 분석을 우회합니다. 결과적으로 단시간 내에 동작을 검증하는 스토어 심사 절차에서 정상 확장으로 분류될 가능성이 커집니다.다.

2.3 정적 분석이 놓치기 쉬운 구조적 특성

일반적인 악성 확장 탐지는 확장 패키지 내부의 스크립트, 권한 선언, 네트워크 호출 패턴을 검사하는 데 집중되어 있습니다. 그러나 실제 악성 로직이 분리된 이미지, 폰트 파일 내부에 숨겨져 있다면, 정적 분석 단계에서는 의심 신호가 거의 발생하지 않을 수 있습니다. 특히 비실행 파일은 보안 제품의 검사 대상에서 상대적으로 제외되는 경우가 많아, 본 사례와 같은 은닉 구조가 장기간 유지될 수 있었던 배경으로 작용합니다.

3. 브라우저 확장 공급망 공격의 위험성

3.1 신뢰 기반 스토어가 가진 구조적 한계

Edge Add-ons 스토어를 포함한 주요 브라우저 스토어는 개발자 등록, 권한 선언 심사, 사용자 평판을 기반으로 신뢰를 형성합니다. 그러나 심사 인력, 자동화 정책의 한계로 인해, 신규 등록이나 버전 업데이트 시점에 정교하게 위장된 악성 확장이 통과될 위험은 항상 존재합니다. 이번 사례는 이러한 구조적 한계가 5년 이상 지속될 수 있음을 현실적으로 증명한 사례로 해석됩니다.

3.2 단일 위협 행위자가 다수 확장을 동시 운영한 의미

119개라는 확장 수는 단일 위협 행위자가 체계적으로 다수의 확장을 운영했음을 의미합니다. 이는 다양한 기능명, 카테고리, 설명으로 검색 결과에 분산 노출되도록 설계되었을 가능성을 높이며, 사용자 입장에서는 적법해 보이는 여러 확장을 동시에 설치하도록 유도될 수 있습니다. 또한 한 번 차단되더라도 동일 행위자가 유사한 확장을 재등록할 경우 새로운 공격 사이클이 시작될 수 있습니다.

3.3 기업 환경에서 발생하는 2차 피해 시나리오

기업 환경에서는 직원이 업무 중 악성 확장을 설치해 사용하면서 기업용 SaaS 자격증명, 사내 시스템 접근 토큰이 유출될 가능성이 있습니다. 특히 SSO, 클라우드 콘솔 접근 권한이 탈취될 경우 1차 피해가 사내 인프라 전반으로 확산될 수 있습니다. 애드웨어 기반 광고誘導는 업무 집중도 저하와 함께 피싱 페이지로의 유입 경로로도 악용될 수 있어, 2차 피해의 범위가 단순 광고 노출을 넘어설 수 있습니다.

4. 실무 대응 전략: 사용자 점검과 기업 보안 강화

4.1 개인 사용자가 즉시 수행해야 할 점검 절차

일반 사용자는 우선 Edge 브라우저에서 설치된 확장 목록을 직접 확인하고, 출처가 불분명하거나 최근에 설치한 확장이 있다면 즉시 제거해야 합니다. 마이크로소프트가 공개한 위협 인텔리전스 공지 및 공식 블로그를oft Security Blog에서 차단 대상 확장 목록과 해시 정보를 확인하는 것이 권장됩니다. 저장된 비밀번호, 결제 정보가 브라우저에 남아 있다면 1회성 코드로 재발급하고, 2단계 인증을 추가 설정하는 것이 안전합니다.

4.2 EDR 및 NDR 기반의 정적 파일 트래픽 모니터링 강화

기업 보안 관점에서 EDR(Endpoint Detection and Response)은 확장 프로세스가 로드하는 이미지, 폰트 파일의 메모리 매핑 및 비정상 메모리 할당 패턴을 모니터링해야 합니다. 또한 NDR(Network Detection and Response) 측면에서는 정상 확장 도메인 외로 송신되는 DNS, HTTPS 트래픽과 비정상적 콜아웃 빈도를 탐지 규칙으로 추가해야 합니다. 단일 이벤트보다 장기간 누적된 메트릭 변화가 핵심 단서가 될 가능성이 높습니다.

4.3 확장 허용 목록 및 설치 정책 재정비

기업은 그룹 정책을 통해 사내 단말에서 설치 가능한 확장 허용 목록을 화이트리스트 방식으로 운영해야 합니다. 출처가 검증되지 않은 확장은 정책 차원에서 차단하고, 부서별 예외 요청은 보안팀 검토를 거치는 프로세스로 정비하는 것이 필요해 보입니다. 또한 사내 SaaS, 사내 시스템 접근 자격증명은 브라우저 저장에 의존하지 않도록 별도 비밀번호 관리 도구 및 SSO 체계를 활용하는 것이 권장됩니다.

대응 영역 핵심 점검 항목 권장 도구 및 정책
개인 단말 설치 확장 목록, 비밀번호 재발급, 2단계 인증 설정 Edge 확장 관리, 원본 기사 기반 해시 확인
기업 단말 비정상 메모리, 비정상 콜아웃, 화이트리스트 미등록 확장 탐지 EDR, NDR, 그룹 정책 기반 확장 허용 목록
자격증명 브라우저 저장 비밀번호, SSO 토큰, 사내 시스템 접근 권한 점검 전용 비밀번호 관리 도구, 2단계 인증, 정기 권한 재검토
지속 모니터링 신규 확장 등록 동향, 동일 행위자 재등록 패턴, C2 인프라 변경 위협 인텔리전스 피드, Microsoft Security Blog 정기 확인

5. 결론 및 향후 전망: 스테가노그래피 기반 공격에 대한 경계 심화

StegoAd 캠페인은 이미지, 폰트 같은 비실행 파일이 악성 페이로드 은닉처로 악용될 수 있음을 다시 한번 확인시켜 준 사례입니다. 단일 위협 행위자가 119개라는 다수의 확장을 5년 가까이 운영한 사실은, 브라우저 확장 공급망에 대한 보안 감시가 일회성 이벤트 대응을 넘어 지속적 위협 인텔리전스 기반으로 전환되어야 함을 보여줍니다. 사용자, 기업, 플랫폼 운영자가 각자의 책임 영역에서 점검, 정책, 모니터링 체계를 동시에 강화할 때, 비로소 스테가노그래피 기반 공급망 공격에 대한 현실적 방어가 가능할 것으로 분석됩니다.

핵심 요약 정리

  • 119개 StegoAd 확장은 단일 위협 행위자가 2021년부터 Edge 스토어에서 운영한 장기 캠페인으로 분류됨
  • 이미지, 폰트 파일 내부의 스테가노그래피 은닉과 지연 실행 결합으로 정적 분석, 샌드박스 탐지를 우회함
  • 자격증명 탈취와 광고 사기라는 이중 목적을 가지며, 기업 환경에서는 SSO 토큰 등 2차 피해로 확산될 수 있음
  • 개인 단말 점검과 동시에 EDR, NDR, 확장 허용 목록 정책 재정비가 함께 이뤄져야 효과적 대응이 가능함
  • 스테가노그래피 기반 공격은 향후에도 진화 가능성이 높으므로 위협 인텔리전스 기반의 지속 모니터링이 필수임
관련 키워드: StegoAd, Microsoft Edge, 악성 브라우저 확장, 스테가노그래피, 자격증명 탈취, 애드웨어 광고 사기, 확장 공급망 공격, Edge Add-ons 스토어, 악성코드 은닉 기법, 브라우저 보안, 지연 실행 페이로드, 보안 위협 인텔리전스, EDR 모니터링, 공급망 보안

댓글 남기기