"직원들이 유튜브 광고를 안 보려고 무심코 설치한 크롬 확장 프로그램 하나가, 기업의 ERP와 내부 인트라넷을 통째로 장악할 수 있는 '시한폭탄'이 되어 돌아왔습니다."

 

 사내 임직원들의 웹 브라우저에는 지금 어떤 확장 프로그램들이 깔려 있습니까? 최근 글로벌 보안 기업 아일랜드(Island)가 발표한 충격적인 분석 보고서는, 기업 보안의 가장 큰 사각지대 중 하나가 바로 '브라우저 확장 프로그램'임을 여실히 보여주고 있습니다.

 

 구글 크롬 웹스토어에서 1,000만 회 이상 다운로드되며 공식 '피처드(Featured)' 배지까지 획득한 유명 확장 프로그램 '애드블록 포 유튜브(Adblock for YouTube)'에서 개발자가 원격으로 임의의 자바스크립트(JavaScript)를 실행할 수 있는 치명적인 구조적 결함이 발견되었습니다. 이 사태가 B2B 기업 보안에 던지는 3가지 핵심 경고를 짚어봅니다.

💣 1. 심사 없이 원격 실행 가능... 언제든 터질 수 있는 '잠복기'

 일반적으로 악성 앱은 구글의 보안 심사 과정에서 차단됩니다. 하지만 이번에 발견된 취약점은 구글의 공식 업데이트 심사를 거치지 않고도, 개발자가 서버 측 설정 변경만으로 언제든 악성 스크립트를 주입하고 실행할 수 있는 '우회 경로'를 열어두었다는 데 심각성이 있습니다.

 

 보고서에 따르면, 해당 스크립트 삽입 경로는 현재 서버 응답이 비활성화된 '잠복 상태(Dormant)'일 뿐입니다. 하지만 개발자의 악의적인 의도나 혹은 해당 서버가 해킹당할 경우, 단 한 번의 설정 변경만으로 1,000만 대의 PC가 일제히 해커의 좀비 PC나 데이터 탈취 통로로 돌변할 수 있는 완벽한 백도어(Backdoor) 구조를 갖추고 있습니다.

🔍 2. 허술한 검증의 함정: 업무용 사내망(ERP) 접근을 허용하다

 이 프로그램의 이름은 '유튜브용 광고 차단기'이지만, 실제로는 사용자가 방문하는 '모든 웹사이트'에 대한 광범위한 권한을 요구합니다. 더 큰 문제는 작동 여부를 판별하는 내부 검증 로직이 매우 허술하다는 점입니다.

 

 단순히 주소창에 youtube.com이라는 문자열이 포함되어 있는지만 검사하기 때문에, 해커가 https://사내망주소.com/?q=youtube.com 처럼 기업 내부망 주소 뒤에 파라미터만 살짝 덧붙여도 검증을 우회하여 악성 스크립트를 실행할 수 있습니다.

 

만약 권한이 높은 관리자나 임원이 이 확장 프로그램을 설치한 상태로 사내 시스템에 접속한다면, 해커는 브라우저 세션을 하이재킹하여 기업의 민감한 데이터를 고스란히 탈취할 수 있습니다.

🚨 3. 섀도우 IT(Shadow IT)의 끝판왕, 확장 프로그램 통제 시급

 이번 사태는 '편의성'을 위해 직원들이 무단으로 설치하는 섀도우 IT(Shadow IT)의 위험성을 극명하게 보여줍니다.

기존의 백신이나 EDR(엔드포인트 탐지 및 대응) 솔루션은 운영체제(OS) 단의 악성코드는 잘 잡아내지만, 정상적인 브라우저 프로세스 위에서 돌아가는 확장 프로그램의 백그라운드 데이터 수집 행위는 쉽게 탐지하지 못하는 경우가 많습니다. 특히 과거에도 광고 강제 삽입 이력이 있거나, 소유권이 불분명한 프로그램일수록 그 위험도는 배가됩니다.

💡 결론: 엔터프라이즈 브라우저 보안 정책을 원점에서 재검토하라

"1,000만 명이 쓰고 구글이 추천했으니 안전하겠지"라는 안일한 믿음은 이제 통하지 않습니다. 기업의 보안 부서(CISO 및 IT Admin)는 지금 당장 다음과 같은 조치를 취해야 합니다.

  1. 사내 확장 프로그램 현황 전수 조사: 임직원의 브라우저에 설치된 '애드블록 포 유튜브' 등 비인가 확장 프로그램을 즉각 식별하고 삭제 조치해야 합니다.
  2. 화이트리스트(Whitelist) 기반 통제: 업무에 필수적인 확장 프로그램만 설치할 수 있도록 브라우저 관리 정책(Chrome Enterprise Policy 등)을 강화하여, 임의의 프로그램 설치를 원천 차단해야 합니다.
  3. 브라우저 격리 및 가시성 확보: 주요 사내 시스템 접속 시에는 확장 프로그램이 동작하지 않는 안전한 격리 브라우저 환경을 제공하는 방안을 고려해야 합니다.

가장 치명적인 위협은 항상 가장 일상적이고 무해해 보이는 곳(광고 차단기)에 숨어있음을 명심해야 할 때입니다.