우리가 신뢰했던 것들, 공격 도구로 둔갑

구글과 마이크로소프트의 공식 인증을 받은 앱이나 확장 프로그램이라도 위험할 수 있다. 설치 횟수가 많고 리뷰 수가 수백 개에 달하더라도 안전하다고 확신할 수 없다. 스토어에서 공식 추천 받더라도 마찬가지다. 설치할 프로그램을 선택할 때, 우리가 알고 있는 ‘확인 방법들’로는 불충분할 수 있다는 섬뜩한 경고가 보안 업체 코이시큐리티(Koi Security)로부터 나왔다.

“구글의 인증 배지, 10만 번 이상의 다운로드 수, 800개 이상의 리뷰, 크롬 웹스토어의 추천까지 갖췄다면 믿을 만하지 않겠어요? 아니요. 아닙니다. 그런 모든 걸 갖춘 멀웨어가 열 개 이상 등장했으니까요.” 코이시큐리티가 미디엄에 남긴 글의 첫머리다.

코이시큐리티의 레이더망에 가장 먼저 걸린 건 ‘컬러피커, 아이드로퍼 - 게코 컬러픽(Color Picker, Eyedropper - Geco colorpick)’이라는 이름의 크롬 플러그인이었다. 매우 정교하게 만들어져 있었고, 컬러피커 본연의 기능을 충실히 수행하고 있었기 때문에 의심하기 힘들었다. “하지만 뒤에서 브라우저 세션 및 데이터를 탈취하고, 사용자가 방문하는 모든 사이트를 추적하고 있었습니다. 컬러피커의 탈을 쓴 트로이목마였던 것이죠. 지난 몇 년 동안 크롬 생태계에서 인기 리에 사용되고 있었습니다. 그러다가 최근 업데이트를 통해 멀웨어로 변질된 것입니다.”

이에 업체는 조사를 이어갔다. 크롬 웹스토어만이 아니라 MS의 브라우저인 에지의 스토어에서도 비슷한 사례들을 찾아냈다. “총 18개의 악성 플러그인을 양쪽 스토어에서 적발했습니다. 배후에 있는 자들은 크로스 플랫폼 네트워크를 구성해 악성 행위를 이어가고 있었습니다. 여기에 감염된 사람들은 전 세계적으로 230만 명이 넘는 것으로 집계되고 있습니다. 브라우저 탈취 캠페인 중 가장 큰 규모라고 해도 과언이 아닙니다.”

문제의 플러그인들은 다양한 도구들로 위장돼 있었다. “이모지 키모드, 날씨 예보, 비디오 속도 조절기, 디스코드용 프록시, 각종 테마, 유튜브 차단 해제기 등 사람들이 혹할 만한 것들이었습니다. 모두 컬러피커에서처럼 정보 탈취 및 사용자 추적 기능을 가지고 있었습니다. 그럼에도 거의 모두 구글과 MS의 공식 인증 배지를 가지고 있었습니다.”

이 플러그인 중 하나를 설치한 사용자가 웹사이트를 방문할 때마다 플러그인들은 다음과 같은 명령들을 수행한다고 코이스큐리티는 밝혔다.

1) 방문 중인 페이지의 URL을 캡처한다.

2) 고유한 추적 ID를 부여하고, 이 정보와 페이지 URL 정보를 원격 서버로 전송한다

3) C&C 서버로부터 리디렉션 URL을 전송 받는다.

4) 그 URL에 따라 브라우저를 작동시켜 우회 접속하게 한다. 

실제 공격 시나리오에 대해 코이시큐리티는 이렇게 설명한다. “예를 들어 피해자가 줌 회의 초대 링크를 받고 클릭한다고 합시다. 그런데 이 악성 트로이목마가 중간에서 이 요청을 가로챕니다. 원래는 클릭 후 회의 세션으로 접속해 들어가야 하는데, 트로이목마에 의해 ‘줌 업데이트가 필요하다’는 메시지가 화면에 나타납니다. 이를 클릭하면 피싱 페이지로 접속되죠. 피해자는 이 페이지에서 업데이트 파일을 다운로드 받는데, 이게 사실은 악성코드입니다. 어떤 악성코드냐에 따라 피해자는 시스템 전부를 공격자에게 빼앗길 수도 있습니다.” 그 외에 은행 사이트에 접속할 경우 공격자가 중간에서 은행 로그인 정보를 가로채는 것도 가능하다. 

크롬과 에지 브라우저를 즐겨 사용하는데, 플러그인까지 적극 설치해 활용하고 있다면 즉각적인 조치를 취해야 한다고 코이시큐리티는 경고한다. 현재 문제가 발견된 플러그인은 다음과 같으니 사용자 편에서의 확인이 필요하다. 확인이 용이하도록 이름을 원문 그대로 기재한다. (총 11개인 이유는 일부 프로그램이 에지 스토어에서 중복되어 나타나기 때문이다.)

1) Color Picker, Eyedropper — Geco colorpick

2) Emoji keyboard online — copy&paste your emoji

3) Free Weather Forecast

4) Video Speed Controller — Video manager

5) Unlock Discord — VPN Proxy to Unblock Discord Anywhere

6) Dark Theme — Dark Reader for Chrome

7) Volume Max — Ultimate Sound Booster

8) Unblock TikTok — Seamless Access with One-Click Proxy

9) Unlock YouTube VPN

10) Unlock TikTok

11) Weather

위 플러그인이 있다면 당장 제거하는 게 1순위다. “그 다음으로는 브라우저 데이터를 전부 삭제하는 게 안전합니다. 추가 감염 여부를 확인하기 위해 시스템 전체를 대상으로 악성코드 검사도 수행하고, 민감한 사이트에 접속한 적이 있다면 해당 사이트에서 사용 중인 계정의 활동 내역을 검사하는 게 필요합니다. 그 외 보안 담당자들과 상의하여 침해지표를 가지고 유사한 행동 패턴을 보이는 모든 플러그인이나 앱도 검토하는 게 좋습니다.”

구글과 MS는 왜 이런 노골적인 멀웨어들에 공식 인증 배지까지 부여했을까? 현재 운영되고 있는 각종 앱/프로그램 마켓플레이스의 한계 때문이다. “이런 대형 스토어에 입점하려면 꼼꼼한 검사를 받아야만 합니다. 멀웨어들은 이 과정을 통과하지 못하는 게 보통입니다. 하지만 한 번 통과해 입점하고 나면, 그 다음부터 어떤 업데이트를 해도 괜찮습니다. 해커들이 이를 알고 무해한 정상 앱을 먼저 등록시킨 후, 업데이트를 통해 악성 기능을 천천히 추가하는데, 현재 스토어 검사 시스템으로는 이를 막기가 힘듭니다. 스토어 운영사들에서 새로운 방법을 개발해야 하는데 쉽지 않아 보입니다.”

구글과 MS가 소비자들로부터 받는 신뢰를 역으로 이용했다는 게 이번 캠페인의 핵심 사안이라고 코이시큐리티는 지적한다. “인증 배지, 설치 수, 추천 위치, 장기간의 합법적 운영, 긍정적 리뷰 등 사용자들이 앱 설치 시 확인하는 모든 것들을 갖춤으로써 신뢰를 획득하는 데 성공했습니다. 여기까지가 공격자들의 의도였다고 봅니다. 신뢰를 받은 후에 본연의 악성 기능을 몰래 추가함으로써 오랜 시간 걸리지 않을 수 있었고, 230만 명을 감염시킬 수 있었습니다.”

코이시큐리티는 이번 캠페인이 “현존 스토어들의 보안 정책과, 일반 소비자들 사이의 신뢰성 확인 방법이 근본적으로 잘못됐다는 걸 드러낸다”고 정리한다. “이제 공격자들은 공식 스토어를 자유자재로 악용해 자신들이 원하는 대형 캠페인을 진행하기에 이르렀습니다. 지금으로서는 소비자 개개인이 할 수 있는 일은 딱히 없습니다. 기존의 신뢰 지표들을 예전처럼 전적으로 신뢰할 수 없다는 것을 기억해 최소한의 앱/플러그인만 설치해 유지하는 습관을 갖는 것 정도 말고는요.”