악성 Chrome 확장프로그램으로 인한 AI 대화 유출 사건 #

기사 정보 #

출처: OX Security, The Hacker News, SecurityWeek
작성일: 2025-12-29
링크:
카테고리: 악성코드 / 데이터 유출 / 브라우저 확장프로그램

핵심 요약 #

정상적인 AI 도구로 위장한 2개의 악성 Chrome 확장프로그램이 총 90만 명 이상 사용자의 ChatGPT 및 DeepSeek 대화 내용과 브라우징 데이터를 30분마다 공격자 서버로 전송했다. 합법적인 AITOPIA 확장프로그램을 모방했으며, 그 중 하나는 Google의 “Featured” 뱃지까지 획득했다.

사건/이슈 배경 #

무슨 일이 일어났는가? #

2025년 12월 29일, OX Security 연구팀이 Chrome 웹 스토어에서 악성 확장프로그램 2개를 발견했다. 이 확장프로그램들은 합법적인 AI 사이드바 도구인 AITOPIA(약 100만 사용자 보유)를 모방하여, 사용자가 어떤 웹사이트에서든 ChatGPT, DeepSeek 등의 LLM과 대화할 수 있는 사이드바 기능을 제공하는 것처럼 보였다.

그러나 실제로는 사용자의 AI 챗봇 대화 전체와 모든 Chrome 탭 URL을 수집하여 30분마다 공격자가 제어하는 C2 서버(chatsaigpt[.]com, deepaichats[.]com)로 전송했다. 확장프로그램 설치 시 “익명의, 식별 불가능한 분석 데이터” 수집 동의를 요청했지만, 실제로는 완전한 대화 내용과 식별 가능한 브라우징 데이터를 탈취했다.

흥미롭게도, 한 확장프로그램을 제거하면 자동으로 다른 악성 확장프로그램 설치를 제안하는 탭이 열렸다. 이는 지속성(persistence)을 확보하기 위한 전략이었다.

누가 관련되었는가? #

공격자/위협 주체: 신원 미상의 위협 행위자 (Lovable AI 플랫폼을 악용하여 인프라 익명화)
피해자:
- “Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” 사용자 600,000명
- “AI Sidebar with Deepseek, ChatGPT, Claude and more” 사용자 300,000명
- 총 900,000명 이상
기타 관련 당사자:
- Google (Chrome 웹 스토어 운영, “Featured” 뱃지 부여)
- AITOPIA (정상 확장프로그램 개발자, 모방 대상)
- Lovable (AI 기반 웹 개발 플랫폼, 악의적으로 악용됨)

원인 분석 #

기술적 원인 #

과도한 권한 요청: 확장프로그램은 “모든 웹사이트 콘텐츠 읽기” 권한을 요청했으며, 사용자들은 이를 승인했다.
DOM 스크래핑: chrome.tabs.onUpdated API를 활용하여 실시간으로 탭 변경과 페이지 로드를 모니터링. ChatGPT나 DeepSeek 페이지 감지 시, DOM(Document Object Model)에서 직접 데이터를 추출했다.
- 사용자 프롬프트와 AI 응답 전체 추출
- 세션 메타데이터 수집
- 네트워크 트래픽 가로채기나 제로데이 취약점 악용 없이 렌더링된 페이지에서 직접 수집
데이터 은닉 및 전송:
- 수집된 데이터를 로컬에 임시 저장
- Base64 인코딩으로 난독화
- 30분마다 배치로 C2 서버에 전송 (탐지 회피)
인프라 익명화: Lovable(AI 웹 개발 플랫폼)을 악용하여 가짜 개인정보 보호정책 및 리다이렉션 페이지 호스팅 (chataigpt[.]pro, chatgptsidebar[.]pro). 이를 통해 연구자들의 추적과 차단을 어렵게 만들었다.

관리적/절차적 원인 #

Chrome 웹 스토어 검토 프로세스 미흡: Google의 검토를 통과했을 뿐만 아니라, 한 확장프로그램은 “Featured” 뱃지까지 받았다. 이는 사용자에게 신뢰성을 제공하고 설치율을 높였다.
보고 후에도 지속: OX Security가 2025년 12월 29일 Google에 보고했음에도, 보도 시점까지 두 확장프로그램 모두 Chrome 웹 스토어에서 다운로드 가능했다. 이후 제거되었으나 초기 대응이 지연되었다.
기업 확장프로그램 관리 부재: 많은 조직에서 직원들이 브라우저 확장프로그램을 자유롭게 설치할 수 있도록 허용했다. 화이트리스트, 사이드로딩 차단, 권한 변경 재검증 등의 통제가 없었다.

인적 원인 #

신뢰성 착각: 사용자들은 Chrome 웹 스토어에 게시되고 특히 “Featured” 뱃지가 있는 확장프로그램을 신뢰했다.
권한 요청에 대한 무분별한 승인: “익명 분석 데이터” 수집이라는 애매한 설명에도 불구하고, “모든 웹사이트 콘텐츠 읽기” 같은 광범위한 권한을 승인했다.
AI 도구 보안 인식 부족: 사용자들은 AI 챗봇과의 대화가 얼마나 민감한 정보를 포함할 수 있는지, 그리고 제3자 확장프로그램이 이를 가로챌 수 있다는 점을 인식하지 못했다.

영향 및 파급효과 #

직접적 영향 #

AI 대화 내용 유출:
- 완전한 ChatGPT 및 DeepSeek 대화 (프롬프트 + 응답)
- 업로드된 파일 (이미지, 비디오, 텍스트, CSV 등) 및 출력물
- 세션 메타데이터
브라우징 데이터 유출:
- 모든 Chrome 탭의 완전한 URL
- 민감한 키워드 포함 검색 쿼리
- URL 파라미터 (세션 토큰, 사용자 ID, 인증 데이터 포함 가능)
- 내부 기업 URL (조직 구조 및 도구 노출)

간접적 영향 #

기업 스파이:
- 지적 재산권 (소스 코드, 개발 쿼리)
- 비즈니스 전략 및 경쟁 인텔리전스
- 기밀 연구 및 법적 문제
개인정보 침해:
- PII (Personally Identifiable Information)
- 의료 증상, 직업 상담 (이력서 공유), 개인적 고민 등 AI와 공유한 민감한 개인 정보
표적 피싱 및 사회공학: 유출된 대화 및 브라우징 데이터를 활용한 정교한 공격 가능
다크웹 판매: 수집된 데이터는 지하 포럼에서 판매될 수 있음

예상 피해 규모 #

총 900,000명 사용자 영향
기사에는 구체적인 금전적 피해나 데이터 판매 증거는 언급되지 않음
유사 사례: 이번 달 초 Koi Security가 발견한 다른 악성 VPN 확장프로그램들은 800만 다운로드 이상을 기록하며 2025년 7월부터 AI 대화를 수집했음

예방 및 대응 방안 #

사전 예방 방법 #

확장프로그램 관리 정책:
- 기업 환경에서 확장프로그램 화이트리스트 적용
- 사이드로딩(비공식 설치) 차단
- 확장프로그램의 권한이나 소유권 변경 시 재검증
- 엔드포인트 및 브라우저 관리 도구로 기업 브라우저 프로필 강제
권한 최소화 원칙:
- 확장프로그램이 요청하는 권한을 신중히 검토
- “모든 웹사이트 읽기” 같은 광범위한 권한에 특히 주의
- 필요하지 않은 확장프로그램 설치 지양
AI 사용 모니터링:
- DLP(Data Loss Prevention) 제어를 AI 플랫폼 사용에 적용
- AI 도구와 공유되는 민감 데이터 노출 감지 및 제한
- AI 사용 로깅
사용자 교육:
- AI 기반 브라우저 확장프로그램의 위험성 교육
- AI 도구에 민감한 정보 공유 시 주의사항 안내
- 확장프로그램 권한 요청의 의미 이해

사고 발생 시 대응 방안 #

즉시 제거:
- chrome://extensions/ 접속하여 악성 확장프로그램 제거
- 영향받은 확장프로그램 ID 목록:
  - fnmihdojmnkclgjpcoonokmkhjpjechg
  - inhcgfpbfdjbjogdfjbclgolkmhnooop
영향 평가:
- 엔드포인트 텔레메트리 검토하여 영향받은 사용자 식별
- 잠재적 데이터 노출 범위 평가
- AI 플랫폼과 공유했던 민감 정보 목록 작성
모니터링 강화:
- 브라우저 및 네트워크 활동 모니터링 (비정상적 API 사용, 의심스러운 아웃바운드 연결)
- 확장프로그램 기반 침해 지표(IoC) 탐지
후속 조치:
- 유출 가능성이 있는 민감 정보에 대한 완화 조치
- 필요시 패스워드 변경, 세션 토큰 무효화
- 피싱 공격 가능성에 대한 직원 경고

재발 방지 대책 #

확장프로그램을 관리 대상 공격 표면으로 취급:
- 정기적으로 설치된 확장프로그램 감사
- 권한 변경 모니터링
- 무단 확장프로그램 설치 방지
사고 대응 계획 개선:
- 확장프로그램 및 AI 관련 시나리오로 정기적 훈련
- 신속한 침해 억제 및 데이터 노출 평가 능력 확보
벤더 및 플랫폼 개선 요구:
- Google에 Chrome 웹 스토어 검토 프로세스 강화 요청
- 확장프로그램 권한의 세분화
- “Featured” 뱃지 부여 기준 재검토

개인 인사이트 #

배운 점 #

브라우저 확장프로그램의 위험성: 확장프로그램은 제로데이 취약점이나 정교한 익스플로잇 없이도 막대한 피해를 입힐 수 있다. 사용자가 승인한 권한만으로도 완전한 대화 내용과 브라우징 이력을 수집할 수 있다. 이는 “권한 남용"의 전형적인 사례다.
“Featured” 뱃지의 허점: Google의 공식 “Featured” 뱃지조차 보안을 보장하지 않는다. 이는 사용자에게 잘못된 신뢰감을 제공하며, 검토 프로세스의 한계를 드러낸다.
AI 대화의 민감성: 사람들은 AI 챗봇에 소스 코드, 비즈니스 전략, 의료 정보, 개인 고민 등 매우 민감한 정보를 공유한다. 이런 대화는 공격자에게 “보물창고"나 다름없으며, 기업 스파이, 신원 도용, 표적 공격에 악용될 수 있다.
공급망 공격의 새로운 형태: 전통적인 공급망 공격은 소프트웨어 배포 과정을 침해하는 것이었다. 하지만 이 사건은 “확장프로그램 생태계"를 악용한 공급망 공격이다. 사용자가 자발적으로 악성 도구를 설치하게 만드는 것이다.
지속성 전략: 한 확장프로그램 제거 시 다른 확장프로그램 설치를 제안하는 방식은 랜섬웨어에서 보던 지속성(persistence) 기법과 유사하다. 공격자는 한 번의 침해로 끝나지 않고 지속적 접근을 시도한다.
Lovable 플랫폼 악용: 합법적인 AI 웹 개발 플랫폼을 악의적 인프라 호스팅에 악용한 것은 흥미롭다. 이는 공격자들이 탐지 회피를 위해 합법적 서비스를 어떻게 활용하는지 보여준다.
DOM 기반 데이터 수집: 네트워크 트래픽을 가로채지 않고도 렌더링된 페이지의 DOM에서 직접 데이터를 추출할 수 있다는 점이 인상적이다. 이는 HTTPS나 네트워크 레벨 보안이 브라우저 내부의 악성 코드로부터 데이터를 보호하지 못한다는 것을 의미한다.

느낀 점 #

이 사건은 “사용자의 신뢰"가 얼마나 강력한 공격 벡터인지 보여준다. 사람들은 공식 스토어에 있고, 수십만 명이 사용하고, “Featured” 뱃지가 있는 확장프로그램은 안전하다고 믿는다. 그러나 이런 신뢰는 공격자에게 완벽한 은폐막이 된다.

특히 우려되는 것은 AI 챗봇과의 대화가 점점 더 개인적이고 민감해진다는 점이다. 사람들은 AI를 “치료사"처럼 사용하거나, 업무 기밀을 공유하거나, 범죄를 고백하기까지 한다. 이런 대화가 제3자에게 노출되면 그 파급력은 단순한 데이터 유출을 넘어선다.

또한 이 사건은 기업 보안 담당자들에게 새로운 과제를 제시한다. 이제는 직원들이 어떤 브라우저 확장프로그램을 사용하는지, 어떤 AI 도구와 무엇을 공유하는지까지 관리해야 한다. 이는 기술적 통제뿐만 아니라 문화적 변화도 필요로 한다.

마지막으로, 이 사건은 유사한 공격이 계속 발생하고 있음을 보여준다. Koi Security가 발견한 800만 다운로드 VPN 확장프로그램 사건, ShadyPanda 그룹의 7년간 활동 등은 이것이 일회성 사건이 아니라 지속적인 위협임을 시사한다. 브라우저 확장프로그램 생태계의 보안은 업계 전체가 해결해야 할 근본적 문제다.