크롬 웹 스토어의 방어 체계를 우회한 조직적인 악성 브라우저 애드온 캠페인이 확인됐다. 이 캠페인은 생산성 도구로 홍보된 확장 프로그램을 무기화해 기업 세션 토큰을 탈취하고, 궁극적으로 계정 전체를 장악하려는 시도를 벌였다.

보안 기업 소켓의 위협 연구팀은 블로그를 통해 “이 확장 프로그램들은 서로 연계해 인증 토큰을 훔치고, 사고 대응 기능을 차단하며, 세션 하이재킹을 통해 완전한 계정 탈취를 가능하게 한다”라고 설명했다. 해당 캠페인은 널리 사용되는 인사관리(HR) 및 전사적자원관리(ERP) 플랫폼을 주요 표적으로 삼았다.

소켓 연구진은 이번 공격을 자격 증명을 은밀히 탈취하는 방식과 기업의 보안 대응 기능을 방해하는 수법이 함께 사용된 복합적인 기업 침해 사례로 분석했다. 공격자는 겉보기에는 신뢰감을 주는 디자인과 정상적인 용도를 내세운 크롬 확장 프로그램 5종을 게시했으며, 실제로는 기업 업무 흐름 깊숙한 지점에서 악성 행위를 수행하도록 설계했다.

설치 수 집계 결과, 연구진이 구글 보안 팀에 경고하고 삭제 요청을 제출하기 전까지 2,300명 이상이 이 도구를 설치한 것으로 추정된다. 해당 확장 프로그램은 워크데이, 넷스위트, 석세스팩터스와 같은 시스템을 겨냥했으며, 이들 환경에서는 단 하나의 세션만 탈취돼도 직원 정보, 재무 데이터, 내부 업무 프로세스 전반이 노출될 수 있다.

악성 코드를 숨긴 가짜 생산성 도구

이번에 확인된 확장 프로그램들은 모두 기업 사용자를 위한 생산성 향상 도구나 보안 보조 도구를 가장했다. 크롬 웹 스토어 등록 페이지에는 완성도 높은 대시보드 화면과 함께 HR 또는 ERP 도구 접근을 간소화해 준다는 설명이 담겼다. 요청한 권한 역시 쿠키 접근이나 페이지 수정과 같은 ‘표준적’이고 무해해 보이는 기능으로 구성돼 있었다.

그러나 설치 이후에는 전혀 다른 행위가 이어졌다. 데이터바이클라우드 액세스(DataByCloud Access), 데이터 바이 클라우드 1(Data By Cloud 1), 소프트웨어 액세스(Software Access)로 불린 세 가지 확장 프로그램은 인증 토큰이 포함된 세션 쿠키를 공격자가 통제하는 인프라로 외부 전송했다. 다수의 기업 시스템에서는 이러한 토큰만으로도 비밀번호 입력 없이 사용자 인증이 가능하다. 일부 사례에서는 최신 자격 증명을 확보하기 위해 60초마다 쿠키를 추출한 것으로 나타났다.

이미 로그인 화면과 다중 인증 절차를 통과한 세션은 탈취된 비밀번호와 동일한 역할을 할 수 있다. 이로 인해 일반적인 보안 경고를 유발하지 않은 채 계정에 직접 접근할 수 있다는 점이 문제로 지적됐다.

연구진은 “작성 시점을 기준으로 다섯 개 확장 프로그램 모두 여전히 조사 중”이라며 “구글 크롬 웹 스토어 보안 팀에 삭제 요청을 제출했다”라고 설명했다. 구글은 CSO의 논평 요청에 즉각적인 답변을 내놓지 않았다.

보안 조치 우회와 세션 하이재킹

이번 캠페인은 자격 증명 탈취에 그치지 않았다. 툴 액세스 11(Tool Access 11)과 데이터 바이 클라우드 2(Data By Cloud 2)로 불린 두 개의 확장 프로그램은 DOM 조작 기능을 포함하고 있었으며, 이를 통해 표적 플랫폼 내 보안 및 관리 페이지 접근을 적극적으로 차단했다. 이로 인해 기업 관리자는 비밀번호 변경, 로그인 이력 확인, 침해된 계정 비활성화와 같은 화면에 접근할 수 없었고, 의심스러운 활동을 인지하더라도 즉각적인 대응이 어려운 상황에 놓였다.

다섯 개 가운데 가장 고도화된 것으로 분석된 소프트웨어 액세스는 쿠키 탈취 외에도 양방향 쿠키 주입 기능을 제공했다. 탈취한 세션 토큰을 공격자가 제어하는 브라우저에 다시 주입하는 방식으로, chrome.cookies.set()과 같은 API를 활용해 유효한 인증 쿠키를 직접 심는 구조다. 이를 통해 피해 사용자의 추가적인 조작 없이도 공격자는 인증된 세션을 확보할 수 있었다.

이 기법은 로그인 화면과 다중 인증 절차를 사실상 우회하며, 즉각적인 계정 탈취를 가능하게 한다.

연구진은 “네 개의 확장 프로그램은 databycloud1104 계정으로, 나머지 하나는 다른 브랜드로 게시됐지만, 다섯 개 모두 동일한 인프라 패턴을 공유하고 있어 단일 조직이 주도한 협력된 작전으로 보인다”라고 분석했다.

소켓은 기업을 대상으로 브라우저 확장 프로그램 사용을 엄격히 감사하고 제한할 것을 권고했다. 또한 권한 요청을 면밀히 검토하고, 쿠키나 기업용 사이트에 불필요하게 접근하는 애드온은 제거해야 한다고 조언했다. 이와 함께 비정상적인 세션 활동을 지속적으로 모니터링하고, 사용자에게 배포되기 전에 악성 확장 프로그램 행위를 탐지할 수 있는 도구를 활용할 필요가 있다고 제시했다.
dl-ciokorea@foundryco.com