크롬 확장 프로그램은 생산성을 높여주는 도구처럼 보이지만, 이번 이슈는 그 편리함이 얼마나 큰 보안 구멍이 될 수 있는지를 다시 보여줬다. 문제의 핵심은 단순한 광고 삽입이나 브라우저 느려짐이 아니다. 일부 악성 확장 프로그램이 텔레그램 세션 정보, 구글 계정 정보, OAuth 토큰까지 노렸다는 점이다. 이 정도면 브라우저 보조 기능 문제가 아니라, 업무 계정과 개인 계정을 동시에 위협하는 보안 사고로 봐야 한다.
이번 사안을 가볍게 보면 안 되는 이유는 명확하다. 요즘 업무는 브라우저 안에서 거의 끝난다. 메일, 캘린더, 드라이브, 노션, 메신저, 관리자 페이지까지 다 브라우저 세션 위에 올라가 있다. 즉 확장 프로그램 하나가 악성으로 바뀌면, 사용자가 비밀번호를 입력하지 않아도 이미 로그인된 세션과 토큰이 공격 대상이 될 수 있다. 계정을 해킹당했다기보다, 계정에 들어가 있는 문 자체를 통째로 넘겨준 셈이 된다.
이번 사건에서 특히 위험한 지점
보도 내용에 따르면 문제의 확장 프로그램은 100개가 넘는 규모로 확인됐다. 겉보기에는 텔레그램 사이드바, 유튜브 보조 도구, 번역기, 브라우저 유틸리티처럼 보이지만, 내부에서는 전혀 다른 일을 하고 있었다. 일부는 사용자 화면에 공격자가 조작한 HTML을 삽입했고, 일부는 이메일 주소, 이름, 프로필 정보, 구글 계정 아이디를 수집했다. 더 위험한 사례에서는 구글 OAuth2 베어러 토큰 탈취 정황도 언급됐다.
이 말이 무서운 이유는 분명하다. 비밀번호가 안 털려도 토큰이 털리면 상당수 서비스는 이미 열린 문처럼 취급된다. 특히 텔레그램 웹 세션을 일정 주기로 외부로 보내는 방식은, 사용자가 로그인 상태를 유지하는 한 세션 탈취가 반복적으로 일어날 수 있다는 뜻이다. 단발성 노출이 아니라 지속적인 감시 구조에 가깝다.
왜 확장 프로그램이 이렇게 위험해졌나
많은 사용자는 앱 설치보다 확장 프로그램 설치를 가볍게 생각한다. 휴대폰 앱은 권한을 물어보면 경계하지만, 브라우저 확장은 생산성 도구라는 이미지 때문에 그냥 추가하는 경우가 많다. 그런데 확장 프로그램은 브라우저 탭, 페이지 내용, 로그인 세션, 저장된 데이터와 가까이 붙어 있다. 즉 위치만 보면 거의 실무 현장 한가운데 들어와 있는 셈이다.
문제는 정상 기능과 악성 행위를 동시에 수행할 수 있다는 점이다. 사용자는 눈앞에서 기능이 작동하니 의심을 늦춘다. 그러나 뒤에서는 화면 조작, 정보 수집, 세션 탈취, 외부 명령 수신이 같이 돌아갈 수 있다. 이번 사례가 특히 불쾌한 이유도 여기에 있다. 망가진 프로그램처럼 보인 게 아니라, 멀쩡한 도구처럼 보이는 상태에서 뒤로 훔쳐갔다는 점이다.
실무에서 바로 해야 할 1차 점검
1. 크롬 확장 프로그램 목록부터 정리
제일 먼저 해야 할 일은 많이 쓰는 확장을 더 추가하는 게 아니라, 이미 깔린 확장을 줄이는 일이다. 꼭 필요한 것만 남기고 나머지는 끄거나 삭제해야 한다. 특히 번역기, 다운로드 도우미, 메신저 보조, 영상 사이트 보조, 쿠폰, 생산성 보조류는 한 번 더 의심해볼 필요가 있다.
2. 최근 설치 확장과 사용 안 하는 확장 우선 제거
이름이 낯설거나 언제 설치했는지 기억 안 나는 확장은 바로 점검 대상이다. 실무에서는 오래된 확장보다 애매하게 새로 추가된 확장이 더 위험한 경우가 많다. 잘 안 쓰는 확장을 그냥 두는 습관이 제일 좋지 않다.
3. 텔레그램 웹과 구글 계정 세션 재확인
이번 이슈처럼 세션 탈취 가능성이 있으면 비밀번호 변경만으로 끝내면 안 된다. 웹 로그인 세션을 종료하고, 연결된 기기 목록과 보안 활동 기록을 확인해야 한다. 텔레그램 웹, 구글 계정의 보안 활동, 로그인된 기기, 앱 연결 권한까지 같이 보는 게 맞다.
4. OAuth 연결 앱과 브라우저 권한 점검
구글 계정은 연결된 앱과 세션을 같이 봐야 한다. 쓰지 않는 앱 권한은 해제하고, 수상한 로그인 흔적이 보이면 로그아웃 처리 후 다시 로그인하는 편이 안전하다. 업무 계정이라면 관리자 페이지에서 보안 알림도 함께 확인해야 한다.
중요한 계정일수록 대응 순서가 다르다
개인 계정도 문제지만, 업무용 계정은 우선순위가 더 높다. 회사 메일, 공유 드라이브, 캘린더, 고객 응대 메신저, 관리자 계정이 브라우저에 열려 있었다면 피해 범위가 넓어진다. 이런 경우에는 단순히 확장을 지우는 선에서 끝내지 말고, 다음 순서로 보는 게 좋다.
- 의심 확장 제거
- 브라우저 로그아웃 및 세션 정리
- 구글 계정 비밀번호 변경
- 2단계 인증 재확인
- 연결 앱 및 기기 목록 점검
- 텔레그램 웹 세션 종료
- 업무용 서비스 접근 기록 확인
특히 관리자 권한 계정은 빠르게 조치해야 한다. 개인 계정 하나 털리는 것과, 회사 전체 문서와 일정, 고객 커뮤니케이션 흐름이 열리는 건 무게가 다르다.
이 사건에서 배워야 할 실무 교훈
이번 일은 새로운 해킹 기법이 대단해서라기보다, 우리가 브라우저를 너무 신뢰하고 있었다는 사실을 보여준다. 확장 프로그램은 작은 도구가 아니라 브라우저 내부 직원 같은 존재다. 그런데 그 직원을 검증 없이 계속 채용해온 셈이다.
이제는 생산성보다 신뢰를 먼저 봐야 한다. 리뷰 수가 많다고 안전한 것도 아니고, 다운로드 수가 높다고 검증된 것도 아니다. 실무 기준으로는 확장 프로그램을 필요한 순간만 켜고, 평소에는 최소한만 유지하는 쪽이 더 안전하다. 브라우저를 만능 작업실로 쓰는 시대일수록, 확장 프로그램은 많이 깔수록 좋은 게 아니라 적게 남길수록 좋은 자산이 된다.
지금 바로 해볼 체크리스트
- 크롬 주소창에 chrome://extensions 입력해서 목록 확인
- 기억 안 나는 확장 프로그램 바로 끄기 또는 삭제
- 텔레그램 웹 사용 중이면 활성 세션 종료 확인
- 구글 계정 보안 활동과 연결 앱 점검
- 중요 계정 비밀번호와 2단계 인증 상태 재확인
- 업무용 브라우저와 개인용 브라우저 분리 사용 검토
마무리
보안 사고는 거창한 랜섬웨어나 해킹 도구에서만 시작되지 않는다. 자주 쓰는 브라우저 안, 익숙한 확장 프로그램 한 개에서 시작될 때가 많다. 이번 크롬 확장 프로그램 이슈는 그 사실을 아주 선명하게 보여준다. 편리함 때문에 넣은 도구가 계정과 세션을 통째로 흔들 수 있다면, 이제 점검 방식도 달라져야 한다.
결국 중요한 건 하나다. 브라우저를 업무의 중심으로 쓰고 있다면, 확장 프로그램은 도구가 아니라 보안 자산으로 관리해야 한다. 그걸 가볍게 보면 계정이 털리는 게 아니라, 일하는 흐름 전체가 흔들린다.
참고자료
- 디지털투데이, 텔레그램·구글 계정까지 털렸다…크롬, 확장 프로그램 대규모 해킹
- TechRadar 보도 인용 내용
- Socket 분석 내용 인용 보도