Security

크롬 악성 플러그인 2개, 8년이나 몰랐다

문가용 기자

문가용 기자

크롬 악성 플러그인 2개, 8년이나 몰랐다
Photo by Rubaitul Azad / Unsplash
💡
Editor's Pick
- '팬텀셔틀'이라는 이름의 플러그인 2개, 아직도 살아 있어
- 겉으로 드러나는 기능은 멀쩡...뒤에서 악성 행위는 은밀히
- 피해자 데이터를 공격자의 C&C 서버로 전송

두 개의 악성 크롬 플러그인이 발견됐다. 트래픽을 중간에서 가로채고, 사용자 계정 정보를 탈취하는 것으로, 이름도 똑같고 개발자도 같다. 아직 크롬 플러그인을 유통하는 플랫폼은 웹스토어에서 내려가지 않은 상태이며, 이 사실을 모르는 사용자들이 계속해서 다운로드를 이어가는 중이다. 이 때문에 소식의 시급한 전파가 필요하다.

먼저 문제의 플러그인은 다음과 같다.
1) 팬텀셔틀(Phantom Shuttle) : 2017년 11월 26일에 게시되고, 현재 2000명의 사용자 보유.
2) 팬텀셔틀 : 2023년 4월 27일 게시되고, 현재 180명의 사용자 보유.
이 플러그인들은 VPN 서비스인 것처럼 포장돼 유료로 판매된다. 구독 옵션에 따라 1.4~13.5달러 수준이다.

어떤 악성 행위 수행하나?

두 팬텀셔틀은 어떤 악성 행위를 실시할까? 문제를 제일 먼저 발견한 보안 기업 소켓(Socket)은 자사 블로그를 통해 “인증 정보 주입 공격을 통해 트래픽을 중간에서 가로챈다”고 설명한다. 두 가지 모두 동일하다. “중간자 프록시로서 작동하여 피해자 데이터를 공격자의 C&C 서버로 계속해서 빼돌립니다.”

💡
여기서 잠깐!
‘중간자 프록시(Man-in-the-Middle Proxy, MitM Proxy)’란, 통신을 주고 받는 ‘사용자’와 ‘웹 서버’ 사이의 중간에 개입함으로써 양쪽의 트래픽을 가로채고 엉뚱한 곳으로 전달하는 서버나 시스템을 의미한다. ‘사용자’나 ‘웹 서버’는 서로의 요청과 응답이 잘 처리되고 있는 것처럼 느끼게 되며, 따라서 수상함을 알아채기 어렵다.’

피해자가 특정 웹사이트에서 인증을 해 유료 결제를 하는 상황이라면 어떨까? 이 때 팬텀셔틀이 중간에 끼어든다는 건 어떤 의미가 될까? 바로 “결제에 관련된 정보를 공격자가 채간다”는 것이 된다. 참고로 팬텀셔틀은 170개 이상의 도메인에서 발생하는 트래픽을 공격자의 C&C 인프라로 옮길 수 있다고 한다.

하지만 마냥 악성 행위만 하는 건 아니다. 그랬다면 피해자가 쉬이 눈치 챘을 것이다. “팬텀셔틀은 원래의 VPN 기능도 수행하긴 합니다. 피해자가 제대로 된 플러그인을 설치해 사용하고 있다는 인상을 심어주기 위함입니다.” 소켓의 설명이다. 이런 위장술은 요즘 사이버 공격자들이 손쉽게 구사하는 것이라, 크게 대단할 건 아니다.

구성 요소들과 작동 원리

팬텀셔틀에는 두 개의 자바스크립트 라이브러리가 포함돼 있다.
1) jquery-1.12.2.min.js : 유명 자바스크립트 라이브러리인 jQuery를 기반으로 하고 있으며, .min은 경량화 된 버전이라는 의미다. 복잡한 자바스크립트 코드를 짧게 쓸 수 있게 해 준다. 
2) scripts.js : 유명하지 않다. 팬텀셔틀 개발자들이 직접 작성한 것으로 보인다. 메인 실행 파일에 해당하며, 프로그램의 구체적인 로직이 바로 여기에 저장돼 있다고 할 수 있다.

이 두 라이브러리는 그 자체로 악성은 아니다. “하지만 공격자들은 이 라이브러리의 파일 맨 윗 부분에 악성 요소를 살짝 탑재시켰습니다. 인증 정보를 입력하는 것으로, 원래 ‘아이디와 비밀번호를 입력하세요’라는 팝업 창이 떠야 정상인데 이 악성 요소 때문에 공격자가 지정한 입력 정보가 자동으로 입력되면서 팝업 창이 사라집니다. 그래서 피해자는 로그인 창을 본 적이 없는데도 공격자의 서버로 로그인이 되는 일을 겪게 됩니다.”

악성 서버에 로그인 한 피해자는, 그러한 사실을 알지 못한 채 크롬 브라우저에서 여러 가지 행동을 하기 시작한다. 그러는 동안 팬텀셔틀은 크롬 프록시 설정을 완료하고, 세 가지 모드를 구현한다. “하나는 클로즈(close) 모드로, 프록시 기능을 비활성화합니다. 두 번째는 올웨이즈(always) 모드로, 프록시를 통해 모든 트래픽을 라우팅합니다. 세 번째는 스마티(smarty) 모드로, 하드코딩 된 170개 도메인 리스트를 라우팅합니다.”

팬텀셔틀이 ‘클로즈 모드’일 때, 피해자가 발생시키거나 받는 모든 트래픽은 팬텀셔틀로 감염되기 전과 똑같아진다. 즉 피해자가 수상함을 감지하기 어렵게 된다. ‘올웨이즈 모드’에서 피해자는 모든 사생활과 민감 데이터 등의 침해를 겪게 된다. ‘스마티 모드’의 경우 평소는 클로즈 모드와 같은데, 특정 조건이 맞아떨어지면 올웨이즈 모드로 바뀐다. 효율성을 강조한 모드라 할 수 있다. 기본은 스마트 모드다.

어떤 피해 있었나?

1)번 팬텀셔틀의 경우 8년이나 크롬 생태계에 존재해 왔었다. 그렇기 때문에 피해 규모를 파악하는 게 쉽지 않다. 소켓은 “적잖은 피해자 계정 크리덴셜과 각종 지불 관련 비밀번호 등이 유출됐을 것”이라고 보고 있다. “공격자들은 이러한 정보를 바탕으로 공급망 공격을 실시할 수 있게 됩니다. 특히 이번에 깃허브, AWS, 애저 등에 접근할 수 있게 해 주는 강력한 키들이 유출된 것으로 파악되는데, 이는 공격자들이 매우 중대한 데이터를 열람했거나, 후속 공격을 높은 확률로 실행하게 될 것이라는 의미가 됩니다.”

공격자들이 표적으로 삼은 곳 중 성인물 웹사이트가 포함돼 있기도 했다. 소켓은 공격자들의 의도가 너무 뻔하다고 설명한다. “성인 사이트에서 나온 정보는 매우 매우 민감합니다. 그 누구도 이 정보가 공개되는 걸 원하지 않습니다. 그런데 이 정보를 가져갔거나, 가져갈 발판을 마련했다? 그건 피해자 개개인을 계속해서 협박하기 위해서입니다. 적잖은 돈을 갈취해 갈 겁니다.”

“피해자 몰래 팬텀셔틀을 설치한 것 자체도 문제입니다. 이 플러그인이 유료이기 때문입니다. 사용자가 자신의 주머니에서 매달 돈을 빼서 쓴다는 걸 알아채지 못할 경우, 나중에 큰 금전적 손해를 보게 됩니다. 공격자들은 데이터 유출 외에 이러한 직접적인 금전적 이득을 거두고 싶었을 수도 있습니다.” 소켓 측의 설명이다. 

8년이나 몰랐다니

팬텀셔틀의 배후에 누가 있는지는 아직 알 수 없다. 소켓은 “개발사가 같다”는 것만 밝혔지 구체적인 이름을 명시하지는 않고 있다. 하지만 “공격자는 알 수 없다”고 한 것으로 보아, 해당 개발사는 유령 회사이거나 이미 문을 닫았거나, 페이퍼컴퍼니일 가능성이 높다. 아무튼, 이 공격자들의 위장술은 대단했던 것으로 평가된다. 웹스토어에 8년이나 있었는데 아무도 뭔가 이상하다는 걸 알아채지 못했기 때문이다.

“실제 VPN과 같은 기능들을 충실히 제공하긴 했어요. 피해자가 팬텀셔틀을 의심할 이유가 전혀 없었습니다. 게다가 돈까지 냈으니, ‘내가 돈 낸 프로그램이 악성일 리 없다’는 믿음도 밑바탕에 깔려 있었다고 봅니다. 웹스토어에 대한 일반 사용자들의 신뢰도 작용을 했겠고요. 게다가 수많은 기업에서 ‘크롬 플러그인’은 그리 중요한 경계의 대상이 아니기도 합니다. 이 모든 것들이 아우러져서 ‘들키지 않는 8년’이라는 기록이 완성된 것입니다.”

대처법

개인 사용자라면 제일 먼저 크롬 플러그인을 확인해 팬텀셔틀이 있는지를 알아내야 한다. 있다면 즉시 삭제하고, 각종 서비스의 로그인 크리덴셜을 교체하는 게 안전하다. 특히 같은 비밀번호를 여러 서비스에 적용하고 있다면, 반드시 바꾼다. 가능하다면 2차 인증을 활성화하는 것도 좋다.

기업이라면, 정책적으로 크롬 플러그인 혹은 브라우저 확장 프로그램 중 설치 가용한 것들을 정해두는 작업이 필요하다. 당연하지만, 실제 설치된 플러그인이 무엇인지 전수 조사를 하는 것이 선행돼야 한다. EDR과 네트워크 모니터링 기능을 강화하고, 브라우저 보안 정책도 더 엄격하게 변경하는 것이 좋다. “플러그인을 설치할 때 일단 사용자 리뷰의 수가 얼마나 되는지, 그 평균 점수는 어느 정도인지 확인할 것을 권합니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

크롬미움 브라우저 노리는 ‘논리 시한폭탄’, 브래시 공격
💡Editor’s Pick - 크로미움 기반 브라우저 전부 비상 - DOM 연산 과도히 수행하게 해 브라우저 마비 - 공격자 편에서 시간 설정 가능하다는 게 특히 위험 크로미움(Chromium)의 렌더링 엔진인 블링크(Blink)에서 심각한 취약점이 발견됐다. 이를 익스플로잇 하는 데 성공할 경우 수초 만에 브라우저에 충동 오류를 일으킬 수 있다고
The Tech Edge문가용 기자
크롬 업데이트 필수! 또 제로데이 나와
💡Editor’s Pick - 크롬 브라우저에서 발견된 제로데이 취약점 - 사용자 입력값 제대로 확인하지 않는 취약점 - 그 외 고위험군 취약점 5개 더 패치 구글 크롬에서 제로데이 취약점이 발견됐다. 공격자들이 먼저 발견해 이미 익스플로잇 하고 있다. 구글도 이를 파악하고 긴급 보안 권고문을 패치와 함께 발표했다. 크롬 사용자들이라면 최신 버전으로의 업데이트가 필요하다.
The Tech Edge문가용 기자

Read more

갑자기 비밀번호 변경하라고? 인스타그램 사용자들 ‘불안’

갑자기 비밀번호 변경하라고? 인스타그램 사용자들 ‘불안’

💡Editor' s Pick - 비밀번호 재설정 요청 메일을 받은 인스타그램 사용자 일부 - 해당 메일은 인스타그램이 보낸 것...피싱 아니었음 - 같은 시기에 다크웹에 올라온 인스타그램 사용자 정보 일부 인스타그램 사용자들이 “비밀번호를 재설정 해달라”는 요청을 인스타그램으로부터 받는 일이 지난 주에 있었다. 해당 메일에 따라 사용자들은 비밀번호를 변경하거나 그대로

By 문가용 기자
토렌트, OSINT로서의 가치 충분

토렌트, OSINT로서의 가치 충분

💡Editor's Pick - 토렌트는 원래 대용량 파일 전송 위한 프로토콜 - 요즘 불법 다운로드의 대명사처럼 쓰이지만, 원래는 합법 기술 - 기업 망에서 토렌트 트래픽 있나 점검할 필요 있어 토렌트 트래픽 혹은 토렌트 메타데이터를 오픈소스 인텔리전스(OSINT)로 활용할 수 있다는 연구 결과가 발표됐다. 네덜란드 틸뷔르흐대학의 연구원 두 명과,

By 문가용 기자
[TE머묾] 이민국에 대항하는 미국 시민들, 한국에도 힌트가 되다

[TE머묾] 이민국에 대항하는 미국 시민들, 한국에도 힌트가 되다

💡Editor's Pick - 각자의 방법으로 ICE의 감시 기술 고발하는 사람들 - 카메라 위치, 단속 요원 움직임 파악해 DB화 후 공유 - 한국의 얼굴 인식 대량 수집 제도에 어떻게 대응할까 이민세관단속국(ICE)이 이민자들만이 아니라 일반 시민들까지도 감시 및 추적한다는 사실이 미국 사회에 급격히 퍼지기 시작하면서 여러 가지 대응책들이

By 문가용 기자
VM웨어 ESXi 제로데이 취약점, 중국 해커들은 오래 전부터 알고 있었다

VM웨어 ESXi 제로데이 취약점, 중국 해커들은 오래 전부터 알고 있었다

💡Editor's Pick - VM웨어 ESXi에서 발견된 세 가지 제로데이 취약점 - 작년 12월에 첫 공격 사례 발표됐으나, 추적해 보니 2024년에도 공격 있어 - 제로데이 미리 알고 있었기에, 피해 점검 더 넓고 깊게 해야 소닉월 VPN을 악용해 VM웨어 ESXi를 노리는 중국 해커들의 악행이 생각보다 오래 전에 시작된 것으로 보인다고

By 문가용 기자