크롬 확장프로그램 해킹으로 수백만 사용자 개인정보 유출 위험... Cyberhaven 사례 분석

핵심 요약

- 2024년 12월 25일, Cyberhaven 크롬 확장프로그램이 해킹당해 악성 버전(24.10.4)이 배포되어 쿠키, 세션 토큰 등 민감정보 탈취 시도 - 공격자는 개발자 계정을 피싱으로 탈취해 정상 업데이트 경로를 악용, 약 400만 이상의 사용자가 위험에 노출 - 공급망 공격(Supply Chain Attack)의 전형적 사례로, 신뢰받는 소프트웨어 배포 채널을 악용한 대규모 침해 가능성 입증

주요 내용

2024년 크리스마스, AI 기반 데이터 보안 솔루션을 제공하는 Cyberhaven의 크롬 확장프로그램이 해킹당하는 심각한 보안 사고가 발생했다. 공격자는 Cyberhaven 개발자 계정을 피싱 공격으로 탈취한 후, 악성 코드가 포함된 버전 24.10.4를 크롬 웹 스토어에 정상 업데이트로 위장해 배포했다. 이 악성 확장프로그램은 사용자의 쿠키, 세션 토큰, 계정 정보를 탈취하도록 설계되었으며, 특히 Facebook 관련 데이터를 집중적으로 수집하려 시도했다.

Cyberhaven 측은 사고 발생 즉시 문제를 인지하고 악성 버전을 제거했으며, 영향받은 사용자들에게 확장프로그램 재설치와 비밀번호 변경을 권고했다. 그러나 공격자가 수집한 데이터의 범위와 실제 피해 규모는 아직 정확히 파악되지 않았다. 크롬 웹 스토어에서 400만 이상의 다운로드를 기록한 해당 확장프로그램의 특성상, 잠재적 피해자 수는 수백만 명에 달할 것으로 추정된다.

이번 사건은 브라우저 확장프로그램이 가진 광범위한 권한과 자동 업데이트 메커니즘이 악용될 경우 발생할 수 있는 위험성을 명확히 보여준다. 확장프로그램은 사용자가 방문하는 모든 웹사이트의 데이터에 접근할 수 있는 권한을 가지며, 이는 곧 쿠키, 세션, 입력 정보 등 모든 민감 데이터에 대한 접근을 의미한다. 특히 자동 업데이트 기능으로 인해 사용자의 인지 없이 악성 코드가 설치될 수 있다는 점이 심각한 문제다.

보안 전문가들은 이번 사건을 공급망 공격(Supply Chain Attack)의 전형적 사례로 분석하고 있다. 공격자는 직접 사용자를 공격하는 대신, 신뢰받는 소프트웨어 공급자의 배포 채널을 장악함으로써 훨씬 효율적으로 대규모 사용자를 공격할 수 있었다. 이는 SolarWinds, Kaseya 등 과거 대형 공급망 공격 사례와 유사한 패턴을 보인다.

전문가 시각

공급망 보안은 2026년 현재 가장 중요한 정보보호 과제 중 하나로 부상했다. 이번 Cyberhaven 사례는 단순히 하나의 기업 해킹 사건을 넘어, 제3자 소프트웨어 의존도가 높은 현대 IT 환경의 구조적 취약성을 드러낸다. 특히 브라우저 확장프로그램은 개발사에 대한 신뢰를 기반으로 광범위한 권한을 부여받기 때문에, 개발사의 보안 수준이 곧 사용자의 보안 수준을 결정한다. ISMS-P 관점에서 볼 때, 기업이 업무용으로 허용하는 확장프로그램에 대한 사전 검증과 지속적 모니터링은 필수적인 보안 통제 항목이다.

기업은 확장프로그램 사용에 대한 명확한 정책을 수립하고, 화이트리스트 기반의 승인 체계를 운영해야 한다. 또한 확장프로그램 업데이트 시 이상 징후를 탐지할 수 있는 모니터링 체계 구축이 필요하다. 특히 민감정보를 다루는 업무 환경에서는 확장프로그램의 권한 범위를 최소화하고, 정기적인 보안 점검을 실시해야 한다. 개인정보보호법상 개인정보처리자는 안전성 확보조치 의무를 부담하므로, 제3자 소프트웨어로 인한 개인정보 유출 책임에서 자유로울 수 없다.

ISMS-P 심사원 체크포인트

2.8.2 소프트웨어 개발 보안 (공급망 보안 관점) - 제3자가 개발한 소프트웨어(확장프로그램 포함)의 도입 시 보안성 검증 절차 수립 여부 확인 - 확장프로그램 등 외부 소프트웨어 사용 현황 목록 관리 및 정기적 재평가 체계 점검 - 개인정보보호법 제29조(안전조치의무)에 따른 기술적·관리적 조치로서, 공급망 위험 관리 정책 수립 및 이행 확인

2.7.3 악성코드 통제 - 브라우저 확장프로그램 자동 업데이트에 대한 모니터링 및 통제 방안 확인 - 악성 확장프로그램 설치 탐지를 위한 엔드포인트 보안 솔루션 운영 여부 - 사고 발생 시 신속한 격리 및 복구를 위한 대응 체계(특히 쿠키/세션 무효화) 수립 여부

2.5.3 원격접속 통제 - 확장프로그램을 통한 외부 서버로의 데이터 전송 탐지 및 차단 체계 - 개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치)에 따른 접근 권한 관리 및 네트워크 트래픽 모니터링 이행 확인

CPPG·ISMS-P 연계 포인트

공급망 보안(Supply Chain Security) 공급망 공격은 최종 목표 대신 신뢰받는 공급자나 파트너를 먼저 침해하여 다수의 고객을 공격하는 방식이다. 이번 사례처럼 정상적인 소프트웨어 업데이트 경로를 악용하면 탐지가 어렵고 피해 규모가 크다. ISMS-P에서는 제3자 보안 관리(2.3.2), 소프트웨어 도입 시 보안성 검토(2.8.2) 등의 통제 항목으로 대응한다.

최소권한 원칙(Principle of Least Privilege) 브라우저 확장프로그램은 필요 이상의 권한을 요구하는 경우가 많다. 최소권한 원칙은 업무 수행에 필요한 최소한의 권한만 부여하여 잠재적 피해를 최소화하는 보안 원칙이다. 확장프로그램 선택 시 요구 권한을 검토하고, 과도한 권한을 요구하는 경우 대안을 찾거나 사용을 제한해야 한다. ISMS-P 2.6.1(사용자 계정 관리) 및 2.6.2(사용자 식별) 통제와 연계된다.