크롬 확장 프로그램 287개, 3740만 사용자 브라우징 기록 유출...Similarweb 등 주요 데이터 브로커 연루

자동화 스캔 시스템으로 대규모 정보 유출 실태 적발, 전체 크롬 사용자의 1% 영향

[한국정보기술신문] 최근 보안 연구팀이 자동화된 스캔 파이프라인을 통해 287개의 크롬 확장 프로그램이 약 3740만 명의 사용자 브라우징 기록을 외부로 유출하고 있다는 사실을 밝혀냈다. 이는 전 세계 크롬 사용자 기반의 약 1%에 해당하는 규모다.

Q Continuum으로 알려진 연구팀은 지난 2월 8일 공개한 보고서에서 Docker 컨테이너 내부에서 크롬을 실행하고 중간자 공격 프록시를 통해 모든 트래픽을 라우팅하는 자동화 시스템을 구축했다고 밝혔다. 이 시스템은 브라우저에 입력된 URL 길이와 외부로 전송되는 데이터 양의 상관관계를 분석하여 정보 유출 여부를 판단한다.

대규모 자동화 스캔으로 유출 경로 추적

연구팀은 합성 브라우징 작업을 통해 일관된 페이로드를 구글에 전송하면서 외부로 전송되는 트래픽 볼륨을 측정했다. 단순 회귀 모델을 사용하여 외부 전송 데이터량과 URL 길이 간의 상관관계를 계산한 결과, 상관계수가 1.0 이상이면 확실한 유출로, 0.1에서 1.0 사이면 유출 가능성이 있는 것으로 분류했다.

허니팟 통해 데이터 흐름 확인

연구팀은 유출된 데이터의 최종 목적지를 확인하기 위해 허니팟을 설정하고 확장 프로그램에 허니 URL을 제공했다. 그 결과 HashDit, Blocksi AI Web Filter와 연결된 IP 주소를 포함해 5개의 명확한 IP 범위에서 허니팟에 반복적으로 접근한 것으로 나타났다.

특히 Kontera로 식별된 스크래퍼가 가장 활발하게 활동했으며, 여러 AWS NAT IP 주소를 통해 접근했다. 연구팀은 허니팟 분석을 통해 Similarweb의 Similar Sites 확장 프로그램이 Kontera 스크래퍼와 연결돼 있고, 이것이 다시 Curly Doggo 및 Offidocs와 연결돼 있음을 확인했다.

Similarweb 등 주요 데이터 브로커 관여

유출에 관여한 행위자들은 스펙트럼이 다양했다. Similarweb, Curly Doggo, Offidocs, 중국, 여러 소규모 데이터 브로커, 그리고 Similarweb의 확장 조직으로 보이는 Big Star Labs 등이 포함됐다.

연구팀은 모든 의심 확장 프로그램에 대해 OSINT 조사를 실시하여 개발자 이메일, 개인정보 보호정책 URL, 스토어 설명, 유출 도메인의 인증서 정보를 검토했다. 그 결과 Big Star Labs가 실제로는 Similarweb와 동일한 조직일 가능성이 높다는 결론을 내렸다.

암호화와 난독화로 유출 은폐

연구팀이 분석한 여러 확장 프로그램은 다양한 방법으로 데이터를 유출했다. Pop up blocker for 크롬의 경우 ROT47 암호화를 사용했으며, 디코딩 결과 완전한 URL이 전송되는 것으로 확인됐다.

Stylish 확장 프로그램은 더욱 복잡한 방식을 사용했다. 브라우저 내부에서 무작위 AES-256 키를 생성하여 데이터를 암호화한 후, 스크립트에 하드코딩된 공개 RSA 키로 AES 키를 암호화하여 함께 전송했다. 암호화된 페이로드가 URL 길이에 따라 증가하는 것으로 보아 유출이 확실한 것으로 판단됐다.

WOT 확장 프로그램은 XOR 암호화와 Base64 인코딩을 조합한 사용자 정의 인코딩 방식을 사용했다. 연구팀은 encoder.js 파일을 분석하여 디코딩 로직을 역설계했고, 브라우징 URL이 평문으로 추출되는 것을 확인했다.

심각한 보안 위협 초래

이번 발견의 심각성은 규모에 있다. 3740만 명은 폴란드 전체 인구와 맞먹는 수치다. 전 세계 38개 국가만이 폴란드보다 많은 인구를 보유하고 있다.

연구팀은 세 가지 주요 위협 모델을 제시했다. 첫째, 프로파일링과 타겟 광고다. 집계된 브라우징 기록은 광고 기술 기업들에게 매우 가치 있는 자산이다. 둘째, 기업 스파이 활동이다. 생산성 확장 프로그램을 사용하는 직원들이 의도치 않게 내부 URL을 유출할 수 있다. 셋째, 자격 증명 수집이다. 일부 확장 프로그램은 쿠키도 요청하기 때문에 브라우징 기록과 결합하면 공격자가 완전한 세션 정보를 얻을 수 있다.

개인정보 보호 논란 확대 예상

이 문제의 핵심은 도덕적 측면에 있다. 무해해 보이는 확장 프로그램을 통한 데이터 유출을 기반으로 비즈니스 모델을 구축하고 이 데이터를 대기업에 판매하는 방식은 사용자 신뢰를 심각하게 훼손한다. Similarweb이 이러한 방식으로 데이터의 일부를 수집하고 있다는 사실은 무료로 제공되며 오픈소스가 아닌 모든 소프트웨어에서 사용자가 제품이 될 수 있다는 경고를 상기시킨다.

또한 브라우징 URL만 유출되더라도 일반적으로 개인 식별 정보가 포함되어 있어, 수집된 원시 트래픽에 대한 비용을 지불하는 악의적 행위자들이 개인을 표적으로 삼을 수 있다는 점에서 사용자를 위험에 빠뜨린다.

Similarweb은 현재 확장 프로그램에서 모든 브라우징 데이터를 수집한다는 내용의 체크박스를 의무적으로 선택하도록 하고 있다. 그러나 많은 사용자들이 이러한 동의 절차의 의미를 충분히 이해하지 못한 채 확장 프로그램을 설치하는 것으로 알려져 있다.

투명성 강화와 사용자 교육 필요

연구팀은 공격자들이 빠르게 적응하는 것을 방지하기 위해 스캔 시스템의 상세한 코드나 정확한 설정은 공개하지 않기로 결정했다. 대신 깃허브 저장소, PDF 보고서, HTML 보고서를 통해 주요 발견 사항을 공유했다.

보안 전문가들은 크롬 웹 스토어가 현재 약 24만 개의 확장 프로그램을 호스팅하고 있으며 그 중 상당수가 수십만 명의 사용자를 보유하고 있다는 점에서 확장 가능하고 반복 가능한 측정 방법의 필요성을 강조했다.

이번 연구는 2017년 M. Weissbacher 등의 악성 브라우저 확장 프로그램 연구와 2018년 R. Heaton이 Stylish 테마 관리자의 URL 전송 사실을 밝힌 연구에 이은 후속 작업이다. 과거 보고서들이 문제를 지적했지만 2025년 현재까지도 유사한 행태가 지속되고 있어 근본적인 대책 마련이 시급한 것으로 보인다.

사용자들은 확장 프로그램 설치 전 개발자 정보, 권한 요청 내용, 리뷰를 꼼꼼히 확인하고 불필요한 확장 프로그램은 제거하는 것이 바람직하다. 또한 크롬 웹 스토어는 확장 프로그램의 데이터 수집 관행에 대한 더욱 명확한 공개와 엄격한 검토 프로세스를 도입해야 한다는 목소리가 높아지고 있다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org