크롬 확장프로그램 공급망 해킹, 400만 사용자 정보 유출 위기

AI 보안기업 Cyberhaven, 크리스마스 당일 개발자 계정 탈취로 악성코드 배포… 브라우저 확장프로그램 보안 경각심 높아져

---

사건 개요

지난 12월 25일, AI 기반 데이터 보안 솔루션 기업 Cyberhaven의 크롬 확장프로그램이 해킹당하는 사건이 발생했다. 공격자는 피싱 공격을 통해 개발자 계정 자격증명을 탈취한 뒤, 악성 코드가 삽입된 버전(24.10.4)을 크롬 웹스토어에 정식 업데이트로 위장해 배포했다.

해당 확장프로그램은 누적 다운로드 수 400만 회 이상을 기록한 인기 보안 도구로, 악성 버전이 배포된 약 31시간 동안 자동 업데이트를 통해 다수 사용자에게 설치된 것으로 파악된다. 탈취 대상에는 브라우저 쿠키, 세션 토큰, 인증 자격증명 등 민감정보가 포함되어 있어 2차 피해 우려가 크다.

---

사례 분석: 공급망 공격의 전형

이번 사건은 소프트웨어 공급망 공격(Supply Chain Attack)의 전형적인 양상을 보여준다. 공격자는 최종 사용자를 직접 노리지 않고, 신뢰받는 개발사의 배포 채널을 장악해 대규모 감염을 유도했다.

공격 흐름 분석: 1. 초기 침투: 개발자 대상 정교한 피싱 이메일 발송 2. 계정 탈취: 크롬 웹스토어 개발자 계정 자격증명 획득 3. 악성코드 삽입: 정상 확장프로그램에 정보탈취 코드 삽입 4. 대량 배포: 자동 업데이트 메커니즘을 통한 악성 버전 확산 5. 정보 유출: 쿠키·세션 토큰을 외부 C2 서버로 전송

특히 크리스마스 연휴를 노린 공격 시점은 보안팀의 대응 지연을 의도한 것으로 분석된다.

---

공통 패턴과 시사점

최근 브라우저 확장프로그램을 노린 공급망 공격이 급증하고 있다. 확장프로그램은 브라우저 내 모든 웹사이트 데이터에 접근할 수 있는 광범위한 권한을 보유하고 있어, 단 한 번의 침해로도 막대한 피해가 발생할 수 있다.

주요 위험 요인: - 개발자 계정의 단일 인증 체계 의존 - 자동 업데이트로 인한 악성코드 즉시 확산 - 사용자의 확장프로그램 권한 인식 부족

---

기업·기관 대응 방안

즉시 조치사항: - 해당 확장프로그램 즉시 삭제 또는 최신 보안 버전(24.10.5 이상)으로 업데이트 - 브라우저 저장 비밀번호 전체 변경 - 주요 서비스 세션 강제 로그아웃 및 재인증

중장기 보안 강화: - 확장프로그램 설치 화이트리스트 정책 도입 - 개발자 계정 다중인증(MFA) 필수화 - 배포 파이프라인 코드 서명 및 무결성 검증 체계 구축 - 정기적인 확장프로그램 권한 감사 실시

---

📚 CPPG·ISMS-P 시험 연계 포인트

>

[ISMS-P 2.9.1 보안 시스템 운영] 및 [2.10.4 공급망 보안]

>

이번 사건은 제3자 소프트웨어(확장프로그램)의 공급망 보안 관리 중요성을 보여준다. ISMS-P 인증 기준에서는 외부 소프트웨어 도입 시 보안성 검토, 개발사 보안 역량 평가, 지속적인 취약점 모니터링을 요구한다. 특히 "정보시스템 및 개인정보처리시스템에 접근할 수 있는 외부 서비스에 대한 보안 통제"가 핵심 점검 항목임을 기억해야 한다.

---

백남정 기자 | 개인정보보호 전문 취재팀