2014.08.21

크롬 확장 프로그램을 악용한 사기행각 기승

Jeremy Kirk | InfoWorld
보안 전문가들이 구글 크롬 브라우저 확장 프로그램 4만 8,000개를 대상으로 연구한 결과에 따르면, 확장 프로그램이 일반 사용자가 알아채기 어려운 사기 및 데이터 탈취 용도로 이용되고 있는 것으로 나타났다.

샌디에고에서 개최된 유제닉스(Usenix) 보안 보럼에서 발표된 이 논문은 사이버 범죄자가 웹브라우저의 방대한 데이터에 접근해 부당 이득을 취하려 함에 따라 증가하는 확장 프로그램의 보안 문제를 예측하고 있다.

논문은 제휴 사기와 명의 도용, 광고 사기 및 소셜 네트워크 오용 등을 시도한 130개의 악성 프로그램과 4,712 개의 악성 의심 프로그램을 발견했다.

캘리포니아 대학교의 알렉산드로스 카프라벨로스 박사는 전화 인터뷰에서 “확장 프로그램을 설치하는 것만으로는 어떤 악성 행위가 시행되는지 알 수는 없다”며, “악성 행위를 유발시키는 특정 페이지를 찾아가야 한다”고 말했다.

이에 연구원들은 헐크(Hulk)라는 시스템을 개발했는데, 헐크는 브라우저 확장 프로그램이 웹사이트와 상호작용시 어떻게 행동하는지를 주의깊게 관찰한다. 이 시스템에는 부적절한 행위를 파악할 수 있도록 고안된 웹 페이지인 허니페이지(HoneyPages)가 포함된다.

확장 프로그램이 브라우저에 부가 기능을 추가하기 위해서는 권한이 필요하다. 이와 같은 이유로 확장 프로그램은 다양한 크롬 API의 여러 가지 권한을 자주 요청한다.

예를 들면, 권한을 획득한 확장 프로그램은 브라우저의 웹 요청을 가로채거나, 임의로 트래픽을 변경하고 웹페이지에 자바스크립트를 입력할 수 있게 된다.

카프라벨로스는 “확장 프로그램이 요청하는 권한은 너무 강력하다”며, “권한을 내준 확장 프로그램들에 대해서는 주의할 필요가 있다”고 강조했다.

연구자들은 논문 작성을 위해 구글과 긴밀히 협력했다. 구글은 크롬 웹스토어에 등록되는 확장 프로그램을 사전에 검토하고 있으나, 부정요소들을 막지 못하고 있는 상황이다.

구글은 확장 프로그램 제어를 강화하기 위해 이 연구를 바탕으로 다양한 변화를 시도했다. 이 논문의 공동저자인 캘리포니아 대학교 보안전문가 크리스 그리어는 현재 크롬 웹스토어가 아닌 사이트에 등록된 확장 프로그램을 설치하는 것, 즉 사이드 로딩 방식을 이용하는 것은 어려워졌다고 밝혔다.

이어 그리어는 온라인 뱅킹 세션을 방해하거나 키 입력값 탈취를 시도하는 확장 프로그램은 매우소수였으며, 추가 연구를 통해 잘 숨겨진 악성 행위를 밝혀낼 것이라고 덧붙였다.

그들이 검토한 의심되는 악성 확장 프로그램은 이미 구글 웹스토어에서 수백만 건 이상의 다운도드를 기록했다.

중국인을 타깃으로 하는 한 확장 프로그램은 550만 건의 다운로드 수를 기록했는데, 원격 서버를 방문한 사람의 모든 웹페이지를 기록하는 추적신호를 이용했다. 이 기록은 SSL로 암호화되지 않은 상태로 전송됐다.

그리어는 “그 자체로는 악의가 없어 보여도, 중국 사용자를 새로운 위험에 빠뜨릴 가능성이 있다”고 말했다. 이어 그는 “현재 모든 콘텐츠가 암호화되지 않았기 때문에 어떤 정보 보안도 보장할 수 없다”며, “중국 이외의 사용자라 하더라도 이 서버를 거치는 모든 http 요청이라면 상당히 위험할 수도 있다”고 덧붙였다.

또 다른 예로, 몇몇 확장 프로그램은 부정클릭을 유도하기 위해 URL에 매개변수를 추가하거나 혹은 이를 다른 것으로 교체하기도 한다.

아마존과 같은 회사들은 자사의 홈페이지 방문을 유도하는 링크를 누군가가 클릭하면 제휴한 사이트 운영자에게 약간의 수수료를 지불하는데, 이는 URL 안에 제휴 코드를 삽입해서 추적된다.

이 점을 악용한 몇몇 확장 프로그램은 불법 거래를 위해 합법적인 제휴 코드를 자신들이 만든 것으로 바꿔 놓기도 한다. 그리어는 이 연구 결과를 접한 구글이 확장 프로그램의 정책 범위 내에서 제휴 사기를 단속하고 있다고 말했다.

이밖에 수수료를 벌기 위해 자신들이 만든 광고로 홈페이지를 바꾸는 확장 프로그램도 있다. 배너 광고를 바꾸거나 위키피디아와 같이 광고가 없는 웹사이트에 광고를 넣기도 하고, 웹사이트 콘텐츠 상단에 광고를 덮어씌우기도 한다. editor@itworld.co.kr


2014.08.21

크롬 확장 프로그램을 악용한 사기행각 기승

Jeremy Kirk | InfoWorld
보안 전문가들이 구글 크롬 브라우저 확장 프로그램 4만 8,000개를 대상으로 연구한 결과에 따르면, 확장 프로그램이 일반 사용자가 알아채기 어려운 사기 및 데이터 탈취 용도로 이용되고 있는 것으로 나타났다.

샌디에고에서 개최된 유제닉스(Usenix) 보안 보럼에서 발표된 이 논문은 사이버 범죄자가 웹브라우저의 방대한 데이터에 접근해 부당 이득을 취하려 함에 따라 증가하는 확장 프로그램의 보안 문제를 예측하고 있다.

논문은 제휴 사기와 명의 도용, 광고 사기 및 소셜 네트워크 오용 등을 시도한 130개의 악성 프로그램과 4,712 개의 악성 의심 프로그램을 발견했다.

캘리포니아 대학교의 알렉산드로스 카프라벨로스 박사는 전화 인터뷰에서 “확장 프로그램을 설치하는 것만으로는 어떤 악성 행위가 시행되는지 알 수는 없다”며, “악성 행위를 유발시키는 특정 페이지를 찾아가야 한다”고 말했다.

이에 연구원들은 헐크(Hulk)라는 시스템을 개발했는데, 헐크는 브라우저 확장 프로그램이 웹사이트와 상호작용시 어떻게 행동하는지를 주의깊게 관찰한다. 이 시스템에는 부적절한 행위를 파악할 수 있도록 고안된 웹 페이지인 허니페이지(HoneyPages)가 포함된다.

확장 프로그램이 브라우저에 부가 기능을 추가하기 위해서는 권한이 필요하다. 이와 같은 이유로 확장 프로그램은 다양한 크롬 API의 여러 가지 권한을 자주 요청한다.

예를 들면, 권한을 획득한 확장 프로그램은 브라우저의 웹 요청을 가로채거나, 임의로 트래픽을 변경하고 웹페이지에 자바스크립트를 입력할 수 있게 된다.

카프라벨로스는 “확장 프로그램이 요청하는 권한은 너무 강력하다”며, “권한을 내준 확장 프로그램들에 대해서는 주의할 필요가 있다”고 강조했다.

연구자들은 논문 작성을 위해 구글과 긴밀히 협력했다. 구글은 크롬 웹스토어에 등록되는 확장 프로그램을 사전에 검토하고 있으나, 부정요소들을 막지 못하고 있는 상황이다.

구글은 확장 프로그램 제어를 강화하기 위해 이 연구를 바탕으로 다양한 변화를 시도했다. 이 논문의 공동저자인 캘리포니아 대학교 보안전문가 크리스 그리어는 현재 크롬 웹스토어가 아닌 사이트에 등록된 확장 프로그램을 설치하는 것, 즉 사이드 로딩 방식을 이용하는 것은 어려워졌다고 밝혔다.

이어 그리어는 온라인 뱅킹 세션을 방해하거나 키 입력값 탈취를 시도하는 확장 프로그램은 매우소수였으며, 추가 연구를 통해 잘 숨겨진 악성 행위를 밝혀낼 것이라고 덧붙였다.

그들이 검토한 의심되는 악성 확장 프로그램은 이미 구글 웹스토어에서 수백만 건 이상의 다운도드를 기록했다.

중국인을 타깃으로 하는 한 확장 프로그램은 550만 건의 다운로드 수를 기록했는데, 원격 서버를 방문한 사람의 모든 웹페이지를 기록하는 추적신호를 이용했다. 이 기록은 SSL로 암호화되지 않은 상태로 전송됐다.

그리어는 “그 자체로는 악의가 없어 보여도, 중국 사용자를 새로운 위험에 빠뜨릴 가능성이 있다”고 말했다. 이어 그는 “현재 모든 콘텐츠가 암호화되지 않았기 때문에 어떤 정보 보안도 보장할 수 없다”며, “중국 이외의 사용자라 하더라도 이 서버를 거치는 모든 http 요청이라면 상당히 위험할 수도 있다”고 덧붙였다.

또 다른 예로, 몇몇 확장 프로그램은 부정클릭을 유도하기 위해 URL에 매개변수를 추가하거나 혹은 이를 다른 것으로 교체하기도 한다.

아마존과 같은 회사들은 자사의 홈페이지 방문을 유도하는 링크를 누군가가 클릭하면 제휴한 사이트 운영자에게 약간의 수수료를 지불하는데, 이는 URL 안에 제휴 코드를 삽입해서 추적된다.

이 점을 악용한 몇몇 확장 프로그램은 불법 거래를 위해 합법적인 제휴 코드를 자신들이 만든 것으로 바꿔 놓기도 한다. 그리어는 이 연구 결과를 접한 구글이 확장 프로그램의 정책 범위 내에서 제휴 사기를 단속하고 있다고 말했다.

이밖에 수수료를 벌기 위해 자신들이 만든 광고로 홈페이지를 바꾸는 확장 프로그램도 있다. 배너 광고를 바꾸거나 위키피디아와 같이 광고가 없는 웹사이트에 광고를 넣기도 하고, 웹사이트 콘텐츠 상단에 광고를 덮어씌우기도 한다. editor@itworld.co.kr


X