Chrome 확장 프로그램 287개, 3,740만 사용자 브라우징 데이터 몰래 수집

조사 개요

보안 연구진이 287개의 악성 Chrome 확장 프로그램이 약 3,740만 명의 사용자(전체 Chrome 사용자 기반의 약 1%)로부터 브라우징 히스토리를 몰래 수집하고 있다는 사실을 밝혀냈다. 이는 Chrome 확장 프로그램 생태계에서 발견된 가장 큰 규모의 개인정보 침해 사례 중 하나다.

데이터 수집 방식

이러한 확장 프로그램은 URL 활동을 모니터링하여 브라우징 히스토리를 유출한다. 연구진은 "확장 프로그램이 단순히 페이지 제목을 읽거나 CSS를 주입하는 경우, 방문하는 URL의 길이와 관계없이 네트워크 풋프린트는 일정해야 한다"고 설명했다.

정상 vs 악성 구분

연구팀은 이 원리를 역이용해 악성 확장을 식별했다. 정상 확장 프로그램은 URL 길이와 무관하게 네트워크 트래픽이 일정하지만, 데이터 유출 확장은 URL이 길어질수록 네트워크 트래픽이 증가하는 패턴을 보였다.

조사 방법론

연구팀은 자동화된 스캐닝 시스템을 구축했다:

• Docker와 Chromium 기반 브라우저 사용
• MITM(Man-in-the-Middle) 프록시로 트래픽 가로채기
• 다양한 URL 길이로 합성 브라우징 워크로드 생성
• 회귀 분석으로 아웃바운드 트래픽과 URL 길이 상관관계 분석

유출 비율(leakage ratio)이 1.0 이상인 확장 프로그램은 "확실히 유출 중"으로 분류됐다.

위협 모델

연구진은 세 가지 주요 위험을 강조했다:

1. 타겟 광고: 집계된 브라우징 히스토리를 통한 맞춤형 광고
2. 기업 스파이: 직원 "생산성" 확장 프로그램을 통한 내부 URL 노출
3. 자격 증명 탈취: 히스토리 데이터와 함께 쿠키 접근 권한을 요청하는 확장

주요 행위자

유출 배후에 확인된 주요 행위자들:

• Similarweb: 웹 분석 기업
• Curly Doggo
• Offidocs
• 중국 행위자
• 다양한 데이터 브로커
• Big Star Labs: Similarweb 자회사로 의심

허니팟 모니터링을 통해 HashDit, Blocksi AI, Kontera의 스크레이퍼도 발견됐다.

실제 사례

기업 스파이 위험

연구진은 "생산성 추적" 확장 프로그램이 직원들의 내부 URL을 노출하는 사례를 발견했다. 이는 기업 네트워크 구조, 내부 도구, 심지어 기밀 프로젝트 코드명까지 유출할 수 있다.

자격 증명 탈취

일부 악성 확장은 브라우징 히스토리와 함께 쿠키 접근 권한을 요청한다. 이는 세션 토큰, 인증 쿠키를 포함한 완전한 계정 탈취로 이어질 수 있다.

사용자 보호 방안

• 확장 프로그램 권한 검토: "모든 웹사이트에서 데이터 읽기" 권한 주의
• 설치된 확장 최소화: 필수 확장만 유지
• 평판 확인: 개발자 평판, 리뷰, 다운로드 수 확인
• 정기적 감사: chrome://extensions에서 설치된 확장 주기적으로 검토
• 기업 정책: 조직에서 승인된 확장 프로그램만 사용

Google의 대응

Chrome 웹 스토어는 악성 확장에 대한 대응을 강화하고 있지만, 연구진은 "생태계의 규모와 진화하는 위협 기법을 고려할 때, 사후 대응만으로는 충분하지 않다"고 지적했다.