검증 배지와 슬롯게임사이트 – 인디고홀덤 높은 평점에도 불구하고, 18개 확장 프로그램이 감시 코드를 은밀히 설치하며 웹 브라우저 확장 프로그램 심사 체계의 문제점을 부각시켰다.

보안 기업 슬롯게임사이트 – 인디고홀덤 코이 시큐리티가 최근 보고서를 통해, 구글 크롬과 마이크로소프트 엣지에서 사용 가능한 18개 악성 확장 프로그램이 약 230만 명 사용자에게 배포돼 브라우저를 탈취한 정황을 공개했다. 해당 캠페인은 연구진에 의해 ‘레드디렉션(RedDirection)’으로 명명됐다.

이들은 확장 프로그램에 검증 배지, 높은 사용자 평점, 추천 배치 등 사용자 신뢰 지표를 악용해 장기간 탐지되지 않고 활동해왔다. 코이 시큐리티는 “지금까지 확인된 브라우저 기반 악성코드 캠페인 중 가장 규모가 큰 사례 중 하나”라고 평가했다.

식별된 확장 프로그램 가운데 ‘컬러 피커, 아이드로퍼 – 게코 컬러픽(Color Picker, Eyedropper – Geco colorpick)’은 10만 회 이상 설치, 800개 이상 긍정 리뷰, 공식 스토어 검증 상태를 갖추고 있었다. 정상적인 기능과 사용자 인터페이스를 제공하는 이 확장 프로그램은 실제로는 사용자의 브라우징 활동을 수집해 원격 서버로 전송하고 있었다.

기타 확장 프로그램은 이모지 키보드, 날씨 정보, 프록시 접속, 다크 모드 테마, 음량 증폭 등 다양한 기능을 제공했지만, 모두 코드 내부에 유사한 감시 및 탈취 기능을 은폐하고 있었다.

정상 업데이트로 위장한 악성 코드 배포
해당 확장 프로그램 대부분은 초기 버전에는 악성 코드가 없었으며, 이후 업데이트를 통해 악성 기능이 추가된 것으로 확인됐다. 이는 기존의 보안 점검을 회피하면서 장기간 사용자 시스템에 침투할 수 있게 한 수법이다.

코이 시큐리티 연구원 이다 다르디크만은 “구글과 마이크로소프트의 브라우저 확장 프로그램 업데이트 방식 특성상, 사용자 대부분은 클릭 없이도 자동으로 악성 업데이트를 받게 된다”라며, “230만 명 이상 사용자에게 조용히 설치됐다”라고 설명했다.

다르디크만은 “사용자 보호를 위해 도입된 검증 배지, 추천 배치, 자동 업데이트 같은 메커니즘이 오히려 악성코드 확산을 돕는 결과를 낳았다”라고 덧붙였다.