[우리문화신문=김영조 기자] 최근 정상 도구(툴)로 속인 악성 브라우저 확장 프로그램으로 인해 계정 정보와 로그인 세션, 업무 데이터가 유출되는 사례가 늘어나고 있다. 특히 유명 인공지능(AI) 서비스를 지원하는 도구로 속인 악성 확장 프로그램들이 대규모로 배포되면서 피해가 확산하고 있으며, 실제로 공식 브라우저 가게(스토어)에 등록돼 있거나 이름만으로는 정상 도구와 구분하기 어렵다는 특징이 있다. 이번에 확인된 악성 확장 프로그램의 주요 특징과 주의사항을 함께 살펴본다.
실제로 ‘ChatGPT for Chrome with GPT-5’, ‘Claude Sonnet’, ‘DeepSeek AI’, ‘AI Sidebar with Deepseek’, ‘ChatGPT’, ‘Claude’ 등이 실제로 가장 많은 보안 사고를 낸 것으로 알려졌다. 이름만 보면 유용한 안공지능 도구처럼 보이기 때문에 설치를 유도하기 쉽다는 점이 특징이다.
1. 주요 위험 유형
악성 브라우저 확장 프로그램은 다음과 같은 형태로 유포된다.
1) 정상 기능 위장형
광고 차단기, 문서 보기 프로그램, 번역기, 인공지능 도구 등으로 속여 설치를 유도한 뒤 계정 정보와 데이터를 빼앗는다.
2) 업데이트 악성화형(공급망 공격)
처음에는 정상적으로 동작하다가, 업데이트 과정에서 악성 기능이 추가된다.
3) 비정상 주입형
공식 확장 목록에 없는 프로그램이 로컬 서버(예: 127.0.0.1) 등을 통해 강제로 깔린다.
2. 감염 경로와 사례
공격자는 웹 검색, 광고, 팝업 등을 통해 “설치 필요”라는 문구로 사용자를 유도한다. 공식 브라우저 가게에 등록된 확장 프로그램이라 해도 악성 업데이트 가능성으로 인해 안전하다고 할 수 없다.
3. 사용자 주의사항
1) 누리집 이용 중 아래 브라우저 확장 프로그램 설치 안내 문구 경계
“보안 업데이트/인증이 필요합니다. 확장을 설치하세요”
“문서 확인/동영상 재생을 위해 확장 설치가 필수입니다”
“오류 해결/속도 개선을 위해 플러그인 설치”
“AI 요약/번역/사이드바 무료 제공—지금 설치”
2) 최소 설치 원칙에 따른 업무상 꼭 필요한 확장 프로그램만 설치
3) 설치 화면에서 과도한 권한 요청이 있을 경우 설치 금지
*과도한 권한 요청: 사이트 데이터 읽기·변경, 클립보드 접근, 중계서버(프록시) 변경 등
4)) 게시자ㆍ이름ㆍ아이콘이 유사하거나 평(리뷰)이 부자연스러운 경우 주의
4. 이상 징후 점검
다음과 같은 이상 증후가 나타날 경우, 악성 브라우저 확장 프로그램 감염 가능성을 의심하고 설치된 확장 프로그램을 점검할 필요가 있다.
① 알 수 없는 브라우저 확장 프로그램이 설치되거나 지워지지 않는 경우
② 홈 화면 또는 검색엔진이 임의로 변경되거나 “조직에서 관리됨(Managed)” 표시가 발생하는 경우
③ 로그인 세션이 반복적으로 풀리거나 계정 보안 알림이 늘어나는 경우
④ 비정상적인 리다이렉트(다른 누리집으로 이동)ㆍ깜짝창(팝업)이 늘어나는 경우
브라우저를 시작할 때 로컬 누리집(예: 127.0.0.1:<포트>/ChromeExt/<확장ID>) 접속 정황이 확인되는 경우
5. 확장 프로그램 점검 방법
아래 주소를 브라우저 주소창에 입력하면 설치된 확장 프로그램을 확인할 수 있다.
Chrome: chrome://extensions
Edge: edge://extensions
Firefox: about:addons
악성 브라우저 확장 프로그램은 겉보기에는 정상적인 인공지능 도구나 업무 지원 기능처럼 보이지만, 설치 이후 계정 정보와 업무 데이터까지 빼앗길 수 있다는 점에서 각별한 주의가 필요하다.
특히 공식 가게(스토어)에 등록된 경우에도 악성 업데이트를 통해 위협이 발생할 수 있는 만큼, 확장 프로그램은 꼭 필요한 것만 최소한으로 설치하고 권한 요청과 게시자 정보를 꼼꼼히 확인해야 한다.
평소 설치된 확장 목록을 주기적으로 점검하는 습관이 개인정보와 계정 보안을 지키는 가장 기본적인 예방책이 될 수 있다.
AhnLab 콘텐츠마케팅팀 제공
