1. 서론: 당신의 브라우저는 안전하십니까?
편리한 웹 서핑을 돕는 크롬 확장 프로그램이 오히려 당신의 모든 행적을 감시하는 ‘스파이’가 될 수 있습니다. 2026년 4월, 보안 전문 기관인 소켓(Socket)의 연구원들은 구글 크롬 웹스토어에 등록된 108개의 확장 프로그램이 하나의 명령 제어(C2) 서버와 통신하며 대규모 데이터를 탈취하고 있다는 충격적인 사실을 공개했습니다. 약 2만 명의 사용자가 이미 이 위험에 노출된 것으로 확인되었습니다.
2. 정체를 숨긴 5개의 가짜 개발사
이번 공격의 특징은 추적을 피하기 위해 Yana Project, GameGen, SideGames, Rodeo Games, InterAlt라는 5개의 서로 다른 배포자 이름을 사용했다는 점입니다. 하지만 기술적 분석 결과, 이들은 모두 동일한 인프라를 공유하는 하나의 조직인 것으로 드러났습니다.
이들은 사용자들의 의심을 사지 않기 위해 다음과 같은 인기 카테고리의 도구로 위장했습니다.
- 텔레그램 사이드바 클라이언트
- 슬롯머신 및 카지노 게임
- 유튜브 및 틱톡 기능 강화 도구
- 텍스트 번역기 및 페이지 유틸리티
3. 구체적인 공격 수법: 무엇을 훔치는가?
108개의 확장 프로그램은 각각 역할 분담을 통해 사용자의 디지털 자산을 갉아먹습니다.
① 구글 계정 탈취 (54개 앱)
조사된 앱 중 절반인 54개는 OAuth2 권한을 악용합니다. 사용자가 로그인을 시도하는 순간, 이메일 주소, 전체 이름, 프로필 사진, 구글 계정 ID와 같은 민감한 정보를 가로채 서버로 전송합니다.
② 텔레그램 세션 하이재킹 (실시간 감시)
가장 위험한 형태 중 하나는 ‘Telegram Multi-account’와 같은 이름의 앱입니다. 이들은 텔레그램 웹(Web) 버전의 인증 토큰을 15초마다 외부 서버로 빼돌립니다. 이를 통해 해커는 사용자의 비밀번호나 2단계 인증(2FA) 없이도 계정을 통째로 장악할 수 있습니다.
③ 브라우저 백도어 및 광고 삽입 (45개 앱)
나머지 앱들은 브라우저가 실행될 때마다 해커가 지정한 임의의 URL을 몰래 여는 ‘유니버설 백도어’를 포함하고 있습니다. 또한 유튜브나 틱톡의 보안 헤더를 제거하여 무단으로 도박 광고를 삽입하거나 악성 스크립트를 실행하기도 합니다.
4. 왜 발견이 늦어졌나?
이 확장 프로그램들은 겉으로 보기에는 광고한 기능을 충실히 수행합니다. 번역기는 실제로 번역해주고, 게임은 실제로 작동합니다. 하지만 보이지 않는 배경(Background)에서 악성 코드가 작동하기 때문에 일반 사용자가 이상 징후를 느끼기란 매우 어렵습니다.
5. 지금 당장 해야 할 보안 조치
만약 최근에 새로운 크롬 확장 프로그램을 설치했다면 다음 단계를 즉시 실행하십시오.
- 확장 프로그램 목록 점검: 크롬 주소창에
chrome://extensions/를 입력하여 위에서 언급한 개발사(Yana Project 등)나 의심스러운 게임, 유틸리티가 있는지 확인하고 즉시 **[삭제]**하십시오. - 비밀번호 변경 및 세션 로그아웃: 특히 구글과 텔레그램 계정의 경우 ‘모든 기기에서 로그아웃’ 기능을 실행한 후 비밀번호를 변경하십시오.
- 권한 최소화: 확장 프로그램을 설치할 때 ‘모든 웹사이트의 데이터를 읽고 변경’할 수 있는 권한을 요구한다면 설치를 재고해야 합니다.
6. 결론: 보안은 ‘의심’에서 시작됩니다
구글은 해당 앱들을 차단하기 시작했지만, 변종은 언제든 다시 나타날 수 있습니다. 확장 프로그램을 설치할 때는 반드시 개발사의 평판을 확인하고, 가급적 필수적인 도구만을 사용하는 습관이 필요합니다. 편리함 뒤에 숨은 칼날을 피하기 위해 오늘 당신의 크롬 브라우저를 한 번 더 점검해 보시기 바랍니다.
