설치 규모 1,000만 건을 돌파한 Chrome 확장 프로그램에서 휴면 상태의 스크립트 주입 기능이 확인되어, 단일 확장 침해가 곧 대규모 사용자 노출로 이어지는 브라우저 공급망의 구조적 위험이 다시 한번 부각되고 있다. 본稿에서는 Island의 분석 결과를 토대로 기술적 경로, 잠재 영향, 그리고 사용자·기업·플랫폼 차원의 대응 권고를 정리한다.
- 분석 대상 확장 프로그램: ‘Adblock for YouTube'(ID: cmedhionkhpnakcndndgjdbohmhepckk), Chrome Web Store 설치 수 1,000만 건 이상
- 핵심 발견: 확장 프로그램 코드에 임의 자바스크립트(arbitrary JavaScript)를 실행할 수 있는 코드 경로가 휴면 상태로 포함된 것으로 Island가 분석함
- 보안 함의: 제작자 또는 침해자가 해당 기능을 원격 활성화할 경우 1,000만 사용자 세션에서 데이터 유출 및 세션 행위 조작이 발생할 가능성이 있음
광고 차단 확장은 설치 장벽이 낮고 사용자 신뢰가 높아 단일 침해 시 노출 규모가 일반 멀웨어 캠페인보다 커질 수 있으며, 휴면 기능은 정적 분석을 우회할 수 있는 공급망 침투 패턴으로 해석된다
사건 개요: 1,000만 설치 유튜브 광고 차단 확장 프로그램에서 발견된 휴면 스크립트 주입 기능
확장 프로그램 식별 정보와 설치 규모
해당 확장 프로그램은 Chrome Web Store에서 ‘Adblock for YouTube’라는 명칭으로 배포되었으며 식별자는 cmedhionkhpnakcndndgjdbohmhepckk이다. Chrome Web Store 기준 누적 설치 수는 1,000만 건을 상회하며, 이는 광고 차단 확장 카테고리 중에서도 상위권의 노출 규모로 분류된다. 이러한 설치 기반은 단일 침해 사고가 발생할 경우 일반적인 멀웨어 캠페인보다 수십 배 큰 사용자 집단으로 피해가 확산될 수 있음을 의미한다.
Island의 분석과 휴면 기능의 의미
보안 연구 기업 Island의 분석에 따르면 해당 확장 프로그램은 평상시에는 광고 차단 기능을 수행하지만, 특정 조건 충족 시 임의 자바스크립트를 페이지 컨텍스트에 주입할 수 있는 코드 경로를 포함하고 있는 것으로 보고되었다. ‘휴면(dormant)’이라 함은 기능이 항상 활성화되어 있는 것이 아니라 특정 명령 또는 트리거가 발생할 때까지 대기 상태를 유지하는 구조를 가리킨다. 이러한 설계는 정적 코드 스캔과 평상시 런타임 관찰을 모두 우회할 수 있어 탐지 난이도를 크게 높인다.
기술적 분석: 임의 자바스크립트 실행이 가능해지는 경로
확장 프로그램 권한과 콘텐츠 스크립트 구조
Chrome 확장 프로그램은 일반적으로 manifest 파일에 선언된 권한 범위 내에서만 동작한다. 광고 차단 확장이 정상 기능을 수행하기 위해서는 페이지의 DOM 구조를 읽고 수정해야 하므로 페이지 접근 권한과 스크립트 주입 권한을 보유하는 경우가 많다. 문제는 이러한 권한이 ‘광고 제거’라는 정당한 목적을 넘어 임의의 자바스크립트 코드를 임의의 페이지에 삽입하는 데에도 그대로 사용될 수 있다는 점이다. 분석에 따르면 해당 확장 프로그램은 광고 차단 기능 수행에 필요한 권한 범위 내에서 임의 자바스크립트 주입이 가능한 일반화된 코드 경로를 포함하고 있는 것으로 Island 분석에서 보고되었다.
원격 활성화 또는 자동 트리거 시나리오
휴면 기능이 위험한 이유는 두 가지 활성화 시나리오가 가능하기 때문이다. 첫째, 확장 프로그램 제작자가 업데이트를 통해 기능 제한을 해제하고 원격 명령 서버(C2)로부터 페이로드를 수신하는 시나리오이며, 둘째, 외부 침해자가 제작자 계정 또는 업데이트 채널을 탈취하여 악성 페이로드를 배포하는 공급망 침투 시나리오이다. 두 경우 모두 사용자 입장에서는 확장 프로그램이 평소와 동일하게 동작하는 것처럼 보이므로 즉시 인지하기 어렵다.
영향 범위와 사용자 노출 시나리오
1,000만 설치 기반의 잠재 피해 규모
다음 표는 단일 확장 침해 시 발생 가능한 영향 범위를 일반 멀웨어 캠페인과 비교한 요약이다.
| 구분 | 일반 멀웨어 캠페인 | 대형 확장 침해 |
|---|---|---|
| 동시 노출 사용자 수 | 수만~수십만 명 | 1,000만 명 이상 |
| 사용자 신뢰도 | 낮음(의심 후 설치) | 높음(자발적 설치) |
| 탐지 가능성 | 중간 | 낮음(정상 동작 위장) |
| 세션 지속 시간 | 단기 | 장기(브라우저 종료까지) |
분석에 따르면 동일 침투 비용 대비 잠재 피해 규모가 크기 때문에 공격자에게 매력적인 표적이 될 수 있다.
세션 쿠키·로그인 정보 유출 가능성
임의 자바스크립트가 임의의 페이지 컨텍스트에서 실행될 수 있다면, 해당 사용자가 로그인한 모든 웹 서비스의 세션 쿠키와 인증 토큰이 노출될 가능성이 있다. 특히 Chrome은 동일 브라우저 프로필 내에서 다수의 서비스 세션을 동시에 유지하는 특성이 있어, 단일 확장이 로그인된 메일·클라우드·업무 시스템 전반에 대한 접근권을 행사할 수 있는 구조적 위험이 존재한다. 이는 일반 웹사이트 방문 감염보다 훨씬 광범위한 2차 피해로 이어질 수 있다.
브라우저 확장 프로그램 공급망 보안 위협 트렌드
유사 광고 차단/프라이버시 확장 악성 사례와의 비교
이번 사례는 단일 사건이 아니라 일련의 확장 공급망 침해 트렌드 속에 위치한다. 과거에도 광고 차단, 쿠키 관리, 번역, 가격 비교 등 사용자 편의 기능을 표방한 확장 프로그램이 운영 기간을 거친 뒤 추가 기능을 도입하거나 업데이트 경로가 변경되는 사례가 반복 보고되었다. 공통점은 첫째, 사용자의 자발적 설치에 기반해 초기 탐지를 우회하고, 둘째, 정상 기능과 악성 기능을 하나의 코드베이스에 공존시켜 업데이트 검증을 어렵게 하며, 셋째, 광고 차단처럼 페이지 콘텐츠 수정 권한이 본질적으로 필요한 영역을 악용한다는 점이다. 이러한 구조적 유사성은 향후에도 유사 표적이 지속 등장할 가능성을 시사한다.
대응 권고: 사용자·기업·플랫폼 차원의 조치
사용자: 확장 프로그램 점검 및 즉시 제거 기준
사용자 차원에서는 다음 기준을 적용해 즉시 위험을 점검할 필요가 있다. 첫째, 해당 식별자 cmedhionkhpnakcndndgjdbohmhepckk의 확장 프로그램을 사용 중이라면 공식 패치 또는 제거 권고가 발표될 때까지 사용을 중단한다. 둘째, 설치한 지 1년 이상이 지난 확장 프로그램은 Chrome 확장 관리 페이지에서 주기적으로 재검토하여 불필요한 항목은 제거한다. 셋째, 동일한 기능을 제공하는 대체 확장 프로그램이더라도 최소 설치 수, 최근 업데이트 이력, 개발사 정보를 함께 확인한다.
기업: 엔드포인트/EDR 기반 확장 인벤토리 관리
기업 환경에서는 엔드포인트 탐지 및 대응(EDR) 또는 브라우저 보안 솔루션을 활용해 관리 대상 단말에 설치된 모든 Chrome 확장 프로그램의 인벤토리를 유지해야 한다. 특히 업무용 Gmail, 사내 SaaS, 관리 콘솔에 로그인된 단말에서 휴면형 권한을 보유한 확장이 발견될 경우 즉시 격리하는 정책이 필요하다. 확장 프로그램은 일반 프로세스가 아니므로 EDR 정책에서 별도 카테고리로 관리하는 것이 운영상 효율적이다.
플랫폼: Chrome Web Store 심사 및 지속적 검증 강화
플랫폼 차원에서는 초기 심사 시점뿐 아니라 배포 이후에도 지속적으로 코드 변경을 추적하고 휴면 의심 패턴을 자동 탐지하는 파이프라인이 요구된다. 분석에 따르면 정상 기능과 악성 기능을 동시에 보유한 확장은 단순 정적 스캔만으로는 발견이 어려우므로, 권한과 실제 호출 경로의 정합성을 런타임에 검증하는 방식이 보완책으로 제시된다. 이번 사례가 시사하는 핵심은 ‘한때 안전했던 확장’이라는 가정을 버리고 공급망 전 주기에 걸친 검증 체계를 구축해야 한다는 점이다.
- 사건 핵심: 1,000만 설치의 ‘Adblock for YouTube’ 확장 프로그램에 휴면 상태의 임의 자바스크립트 실행 기능이 포함된 것이 Island 분석을 통해 확인되었다
- 기술 포인트: 페이지 접근 및 스크립트 주입 권한을 악용해 광고 차단 외 임의 코드 실행이 가능한 일반화된 호출 경로가 존재한다
- 영향 범위: 단일 침해 시 1,000만 사용자 세션에서 쿠키 및 인증 토큰 유출 가능성이 있으며 사용자 신뢰가 높아 탐지 난이도가 매우 높다
- 대응 핵심: 사용자는 즉시 사용 중단 및 제거, 기업은 EDR 기반 확장 인벤토리 관리, 플랫폼은 배포 후 지속 검증 체계 강화가 필요하다
- 관리 시사점: 정상 기능과 악성 기능을 공존시키는 공급망 침투 패턴은 유사 표적의 지속 등장을 의미하며 일회성 대응이 아닌 상시 모니터링이 요구된다
참고 자료: The Hacker News – Chrome Ad Blocker with 10M+ Installs Found with Dormant Script Injection Capability, The Hacker News – ThreatsDay Bulletin