크롬 확장프로그램 해킹 공격이 최근 급증하고 있다. 이스트시큐리티가 더해커뉴스를 참조해 배포한 보안 블로그에 따르면 크롬의 웹 브라우저 확장 프로그램이 공격을 받아 스팸광고를 배포하거나 웹브라우저에 광고가 삽입되는 등의 피해가 발생했다.
이 공격은 이달 초 ‘웹 디벨로퍼(Web Developer)’가 하이재킹 공격을 당하면서 100만명 이상의 사용자 웹브라우저에 광고를 무단으로 삽입하는 피해가 일어나면서 이슈화됐다. 웹 디벨로퍼는 사용자에게 웹 개발 툴을 제공하는 프로그램이다. 이를 제작하는 크리스 페데릭(Chris Pederick)은 자신의 구글 계정이 해킹당해 프로그램이 무단으로 변경, 100만여명의 사용자가 공격을 당했다고 밝혔다.
이 플러그인은 사용자 브라우저에서 발생하는 거의 모든 접근 권한을 갖고 있어 사용자에게 큰 타격을 입힐 수 있다. 웹사이트에서 콘텐츠를 읽고, 트래픽을 가로채거나 키 입력을 훔치는 등의 공격이 가능하다.
공격을 받은 크롬 확장 프로그램은 웹 디벨로퍼 뿐만 아니다. 웹 디벨로퍼 해킹 전에 이미 카피피쉬(Copyfish)가 공격을 받았으며, 구글은 지난주 크로메타나(Chrometana) 1.1.3, 인피니티 뉴 탭(Infinity New Tab) 3.12.3, 카피시쉬(CopyFish) 2.8.5, 웹페인트(Web Paint) 1.2.1, 소셜 픽서(Social Fixer) 20.1.1 등이 공격을 받았다고 공개했다.
구글 보안 연구원은 터치VPN(TouchVPN)과 베터넷VPN(Betternet VPN) 크롬 확장 프로그램들도 동일한 방식으로 6월 말 해킹 된 것으로 보인다고 밝혔습니다. 이 두 공격도 역시 악성 링크가 포함 된 피싱 메일을 통해 개발자의 구글 웹 계정을 탈취했다.
공격자들은 계정에 접근 권한을 얻으면, 확장 프로그램을 가로챈 후 악성 행동을 하도록 수정하거나, 트래픽을 가로채 사용자들을 가짜 광고에 노출 시키거나 패스워드를 훔치는 악성 자바 스크립트 코드를 추가해 수익을 내려 시도했다.
카피피쉬 확장 프로그램은 공격자들은 확장 프로그램 전체를 공격자의 개발자 계정으로 옮겨 원래 개발자가 해킹 사실을 발견한 후에도 감염 된 확장 프로그램을 크롬 스토어에서 삭제하지 못하도록 조치했다.
이스트시큐리티는 “이러한 공격을 예방하기 위해서는 의심스러운 이메일에 첨부돼 있는 파일을 주의하고, 출처가 확인되기 전 이러한 문서에 포함 된 링크를 절대로 클릭하지 않아야 한다”며 “해킹 피해를 입은 확장 프로그램을 사용했다면, 모든 웹 계정의 암호를 변경하고, 방문한 웹사으트의 로그인 토큰과 쿠키를 삭제해야 한다”고 설명했다.
