정용환 기자
크롬 웹스토어에서 배포되는 확장 기능 중 일부는 광고 차단기를 가장한 악성코드와 개인 정보를 도용하는 게 상당수 포함되어 있다는 보도가 나온다. 보안연구단체인 CISPA 조사에 따르면 2,000개 이상 구글 크롬용 확장 기능에 보안 헤더를 조작하는 기능이 탑재되어 있는 게 발견됐다고 한다.
웹사이트에 액세스할 때 웹브라우저는 HTTPS 통신을 요구하는 HSTS(HTTP Strict Transport Security)와 외부로부터 공격을 완화하는 내용 보안 정책 CSP 등 보안 헤더를 서버로부터 수신하고 있다. 이런 보안 헤더는 수많은 웹사이트에 채택되고 있지만 공격자 대상이 될 수도 있다. 연구팀은 보안 헤더 4종(HSTS, CSP, X-Frame-Options, X-Content-Type-Options)을 대상으로 구글 크롬 확장 플러그인에 대한 영향 유무를 조사했다.
조사 결과 크롬 웹스토어에 배포된 18만 6,434건 플러그인 중 2,485개가 적어도 1종류 보안 헤더를 변경한 걸 발견했다. 또 533개는 4가지 모든 보안 헤더를 변경하는 것으로 밝혀졌다. 가장 많이 수정된 보안 헤더는 CSP로 다른 보안 헤더도 1,000개 이상 플러그인에서 변경됐다고 한다.
연구팀에 따르면 대부분 플러그인에 의한 보안 헤더 변경은 사용자 경험 향상을 목적으로 한 것으로 악의적인 건 아니었다고 한다. 하지만 연구팀은 보안 헤더를 변경하면 사용자가 공격 위험에 노출될 수 있다며 보안 헤더를 조작하는 것에 이의를 제기하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
