구글 크롬(Google Chrome) 확장 프로그램 개발자를 대상으로 한 정교한 피싱 캠페인이 최근 밝혀졌다.

이 공격으로 최소 35개의 확장 프로그램이 해킹당했으며, 사이버헤이븐(Cyberhaven)을 포함한 여러 기업의 확장 프로그램에 데이터 탈취 악성 코드가 삽입됐다. 이로 인해 약 260만 명의 사용자가 피해를 입은 것으로 나타났다.

이번 공격은 확장 프로그램 개발자의 OAuth 인증 흐름의 취약점을 악용했으며, 공격자는 이를 통해 다단계 인증(MFA)을 우회했다. 공격은 2024년 12월 본격적으로 시작됐으나, 브리핑컴퓨터 조사에 따르면 공격자의 준비 작업은 2024년 3월부터 시작된 것으로 보인다.

이번 피싱 공격은 확장 프로그램 개발자를 속여 공격자에게 구글 크롬 웹 스토어(Chrome Web Store) 계정 접근 권한을 부여하도록 유도하는 방식으로 이루어졌다.

공격자는 구글 공식 이메일로 위장한 피싱 이메일을 개발자에게 발송했다. 이메일에는 크롬 웹 스토어 정책 위반과 관련된 내용이 포함됐으며, "설명에 불필요한 세부 정보가 포함됐다"는 식의 모호한 사유로 개발자를 속였다.

이메일에 포함된 '정책 확인' 버튼을 클릭하면 구글 로그인 페이지로 연결되지만, 사실 이는 악성 OAuth 애플리케이션과 연결돼 있었다.

공격자는 '개인정보 정책 확장 프로그램(Privacy Policy Extension)'이라는 이름의 악성 OAuth 애플리케이션을 사용해 피해자의 계정 권한을 탈취했다. 이 과정에서 피해자는 크롬 웹 스토어 확장 프로그램 관리 권한을 공격자에게 허용하게 됐다.

OAuth의 특성상 MFA를 추가로 요구하지 않아 피해자는 쉽게 속을 수 있었다.

공격자는 개발자의 계정에 접근한 후, 확장 프로그램에 worker.js와 content.js라는 악성 자바스크립트 파일을 삽입했다. 이 코드들은 페이스북(Facebook) 계정과 비즈니스 계정 데이터를 수집하도록 설계됐다.

공격자는 페이스북 비즈니스 계정을 목표로 설정했다. 악성 코드는 사용자의 페이스북 ID, 액세스 토큰, 계정 정보, 광고 계정 데이터 등을 수집했다. 또한 페이스북의 2단계 인증(2FA)을 우회하기 위해 QR 코드 이미지와 사용자의 클릭 이벤트를 감시했다.

이렇게 수집된 데이터는 공격자의 명령 제어 서버(C2 서버)로 전송됐으며, 이를 통해 공격자는 다음과 같은 작업을 수행할 수 있었다:

-피해 비즈니스 계정을 통해 무단 광고 실행

-피싱 캠페인 또는 허위 정보 유포 캠페인 수행

-계정 접근 권한을 제3자에게 판매

-장기적인 위협과 예방책

이번 캠페인은 2024년 12월 본격화됐지만, 공격자는 이미 3월부터 공격 테스트와 인프라 준비를 진행해왔다. 공격자가 해당 시점부터 악성 도메인을 등록해 지속적으로 피싱 기법을 발전시켰다고 전했다.

확장 프로그램 모니터링 플랫폼 Extension Total에 따르면, 최소 35개의 확장 프로그램이 공격에 노출됐다. 그러나 공격 지표(IOC)를 분석한 결과, 훨씬 더 많은 확장 프로그램이 표적이 된 것으로 보인다.

보안 전문가들은 이번 공격이 OAuth 인증의 구조적 약점을 교묘히 활용한 사례라며 경고했다.

-OAuth 대체 방안: 전문가들은 애플리케이션 전용 비밀번호 사용이나 OAuth 권한 부여를 고위험 작업에서 제한하는 방법을 제안했다.

-피싱 탐지 강화: 구글과 같은 플랫폼 제공자는 개발자 커뮤니케이션에 경고 메시지를 포함하거나 검증된 도움말 페이지로 연결되는 링크를 제공함으로써 피싱 시도를 차단해야 한다고 강조했다.

-개발자 교육 필요성: 피싱 이메일의 진위 여부를 판단하는 방법에 대한 교육이 필요하며, 보안 인식 프로그램을 통해 권한 부여의 위험성을 개발자에게 알릴 것을 권고했다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★