AI 툴로 위장한 악성 확장 프로그램 설치 주의
최근 정상 툴로 위장한 악성 브라우저 확장 프로그램으로 인해 계정 정보와 로그인 세션, 업무 데이터가 유출되는 사례가 증가하고 있다. 특히 유명 AI 서비스를 지원하는 툴로 위장한 악성 확장 프로그램들이 대규모로 배포되면서 피해가 확산되고 있으며, 실제로 공식 브라우저 스토어에 등록돼 있거나 이름만으로는 정상 툴과 구분하기 어렵다는 특징이 있다. 이번에 확인된 악성 확장 프로그램의 주요 특징과 주의사항을 함께 살펴본다.
실제로 ChatGPT for Chrome with GPT-5, Claude Sonnet, DeepSeek AI, AI Sidebar with Deepseek, ChatGPT, Claude 등이 실제로 가장 많은 보안 사고를 낸 것으로 알려졌다. 이름만 보면 유용한 AI 툴처럼 보이기 때문에 설치를 유도하기 쉽다는 점이 특징이다.
1. 주요 위험 유형
악성 브라우저 확장 프로그램은 다음과 같은 형태로 유포된다.
1) 정상 기능 위장형
광고 차단기, 문서 뷰어, 번역기, AI 도구 등으로 위장해 설치를 유도한 뒤 계정 정보와 데이터를 탈취한다.
2) 업데이트 악성화형(공급망 공격)
처음에는 정상적으로 동작하다가, 업데이트 과정에서 악성 기능이 추가된다.
3) 비정상 주입형
공식 확장 목록에 없는 프로그램이 로컬 서버(예: 127.0.0.1) 등을 통해 강제로 로드된다.
2. 감염 경로 및 사례
공격자는 웹 검색, 광고, 팝업 등을 통해 “설치 필요”라는 문구로 사용자를 유도한다. 공식 브라우저 스토어에 등록된 확장 프로그램이라 해도 악성 업데이트 가능성으로 인해 안전하다고 할 수 없다.
3. 사용자 주의사항
1) 웹페이지 이용 중 아래 브라우저 확장 프로그램 설치 안내 문구 경계
- “보안 업데이트/인증이 필요합니다. 확장을 설치하세요”
- “문서 확인/동영상 재생을 위해 확장 설치가 필수입니다”
- “오류 해결/속도 개선을 위해 플러그인 설치”
- “AI 요약/번역/사이드바 무료 제공—지금 설치”
2) 최소 설치 원칙에 따른 업무상 꼭 필요한 확장 프로그램만 설치
3) 설치 화면에서 과도한 권한 요청이 있을 경우 설치 금지
*과도한 권한 요청: 사이트 데이터 읽기·변경, 클립보드 접근, 프록시 변경 등
4) 게시자·이름·아이콘이 유사하거나 리뷰가 부자연스러운 경우 주의
4. 이상 징후 점검
다음과 같은 이상 증후가 나타날 경우, 악성 브라우저 확장 프로그램 감염 가능성을 의심하고 설치된 확장 프로그램을 점검할 필요가 있다.
- 알 수 없는 브라우저 확장 프로그램이 설치되거나 삭제되지 않는 경우
- 홈 화면 또는 검색엔진이 임의로 변경되거나 “조직에서 관리됨(Managed)” 표시가 발생하는 경우
- 로그인 세션이 반복적으로 풀리거나 계정 보안 알림이 늘어나는 경우
- 비정상적인 리다이렉트·팝업이 증가하는 경우
- 브라우저 시작 시 로컬 URL(예: 127.0.0.1:<포트>/ChromeExt/<확장ID>) 접속 정황이 확인되는 경우
5. 확장 프로그램 점검 방법
아래 주소를 브라우저 주소창에 입력하면 설치된 확장 프로그램을 확인할 수 있다.
- Chrome: chrome://extensions
- Edge: edge://extensions
- Firefox: about:addons
악성 브라우저 확장 프로그램은 겉보기에는 정상적인 AI 도구나 업무 지원 기능처럼 보이지만, 설치 이후 계정 정보와 업무 데이터까지 탈취할 수 있다는 점에서 각별한 주의가 필요하다.
특히 공식 스토어에 등록된 경우에도 악성 업데이트를 통해 위협이 발생할 수 있는 만큼, 확장 프로그램은 반드시 필요한 것만 최소한으로 설치하고 권한 요청과 게시자 정보를 꼼꼼히 확인해야 한다.
평소 설치된 확장 목록을 주기적으로 점검하는 습관이 개인정보와 계정 보안을 지키는 가장 기본적인 예방책이 될 수 있다.
출처 : AhnLab
