"해커들, 4일만에 크롬 새 보안 조치 뚫었다"

크롬의 정보보안을 강화하기 위해 새 암호화 알고리즘을 도입한 구글의 조치가 무용지물이 됐다. 새 알고리즘에 적응한 악성코드들이 유포되고 있기 때문이다.

미국 IT 매체 블리핑컴퓨터는 정보 탈취 기능을 탑재한 악성코드 중 적어도 네 개 이상이 지난달 출시된 크롬 80 버전에서도 동작하도록 업데이트됐다고 지난 10일 보도했다.

■구글, 크롬 80에 'AES-256' 도입...패스워드·쿠키 보안 강화

구글은 크롬 80 버전에서 저장된 패스워드와 쿠키를 256비트 키 AES 암호 알고리즘(AES-256)를 사용해 암호화하도록 조치했다. 이전까지는 윈도에서 기본 제공 구성 요소로 제공하던 데이터 보호 API(DPAPI)만 사용했다. 80 버전부터는 패스워드와 쿠키 데이터를 AES 표준으로 암호화한 뒤 DPAPI로 암호화하는 과정을 거친다.

이에 대해 구글 대변인은 미국 지디넷에 "크롬 80으로 크롬의 네트워크 스택을 강력한 샌드박스 프로세스로 분리할 수 있게 했다"며 "이런 변화의 일환으로, 패스워드와 쿠키 암호화를 위한 알고리즘을 강화하고, 저장 메커니즘을 변경해 데이터를 탈취하는 해커들이 사용해오던 도구에 더 이상 의존하지 못하도록 했다"고 설명했다.

주요 브라우저 중 하나인 크롬이 보다 강력한 암호화를 적용하면서, 악성코드로 인한 데이터 탈취 사례도 감소세를 보였다.

미국 지디넷에 따르면, 위협 인텔리전스 기업 KELA는 '제네시스 스토어'에서 판매하는 자격 증명 정보 건수가 33만5천개에서 크롬 80 업데이트 이후 20~23만개로 35% 가량 감소했다고 지난달말 밝혔다. 자격 증명 정보 유입 건수가 줄면서 나타난 결과다. 일 1만8천개가 유입되던 작년 대비, 지난달 말 기준 일 600개 수준으로 감소한 것이다.

제네시스 스토어는 도난된 자격 증명 정보들이 판매되는 곳으로 지난 2018년 11월 등장했다. 제네시스 스토어에서 자격 증명 정보를 구매하면 해당 정보의 주인으로 위장할 수 있는 크롬 확장 프로그램도 사용할 수 있다. 사용자 계정과 패스워드 외에도 과거 사용한 IP 주소, 브라우저 쿠키, 사용자 에이전트 문자열, OS 관련 기술적 세부사항들을 함께 판매해 2단계 인증 등 계정 보호 절차를 우회하고자 하는 해커들에게 필요한 정보를 제공하는 곳으로 알려져 있다.

■"크롬 80 알고리즘 알아냈다"…정보 탈취 공격 지속될 듯

구글은 AES-256 도입에 대해 해당 알고리즘의 효과를 강조하면서도, 데이터 탈취 공격에 대한 영구적인 방어가 아니라고 언급했다. 그러면서 "강력한 다중 인증, 특히 크롬 고유의 유니버설세컨드팩터(U2F) 키 지원을 사용하길 권장한다"고 덧붙였다.

우려는 현실이었다. 정보 탈취 악성코드 '케이폿' 개발자는 크롬 80 버전이 출시된 지 4일만에 알고리즘을 알아냈으며, 코드를 곧 수정할 것이라는 게시글을 게재했다. 이후 후속 게시글에서 코드를 업데이트한 버전을 90 달러(약 10만9천원)에 판매한다고 발표했다.

정보 탈취 악성코드 '라쿤'의 개발자도 크롬 80 버전의 보안 계층을 우회하는 데 성공했다고 발표했다. 이후 크롬 80 버전에서도 사용 가능한 라쿤 1.4.8 버전을 소개했다.

크롬 80 버전을 지원하는 새로운 정보 탈취 악성코드도 나타났다. KELA는 러시아 사이버 범죄 포럼에서 '레드라인'을 소개하는 게시글을 발견했다. 해당 악성코드의 특징으로 크롬 최신 버전을 포함한 크로미엄 기반의 모든 브라우저에서 동작한다는 점을 내세우고 있었다.

관련기사

지난 2년간 활발히 유포돼온 정보 탈취 악성코드 '아조럴트'도 대세를 따랐다. 크롬 80 버전을 지원하는 3.4 버전이 발견된 것. 다만 아조럴트의 경우 지난 2018년 12월 이후 개발자에 의한 코드 업데이트는 이뤄지지 않고 있다. 여러 이용자들에 의한 버전 업데이트가 지속적으로 이뤄지고 있다.

블리핑컴퓨터는 대부분의 악성코드들이 추가된 암호화 계층에 맞춰 작업하는 방식을 상당히 빠르게 찾아냈다며, 이같은 방식의 악성 행위가 금세 잦아들지 않을 것으로 전망했다.