크롬 확장 프로그램의 배신... 수백만대의 브라우저 해킹 가능 작성일 06-20 47 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Z3XZvryOsF"> <p contents-hash="04555ced651f602ccbf2164378d7c49e204c34ef36f584387654067b39cd0182" dmcf-pid="50Z5TmWIwt" dmcf-ptype="general"><strong>AI 기반 에이전트 사이드 패널 확장 프로그램 ‘SiderAI’와 ‘MaxAI’에 심각한 보안 취약점<br>악성 웹사이트로 조작된 메시지를 콘텐츠 스크립트로 전송하면 그대로 전달... 악용가능</strong></p> <p contents-hash="cbb56c3e895aa3d021d386c7b6567c790c08f500bb31617af49a4baffb287b45" dmcf-pid="1bUu5vtWE1" dmcf-ptype="general">[보안뉴스 원병철 기자] 널리 사용되는 크롬 확장 프로그램인 ‘SiderAI’와 ‘MaxAI’에서 심각한 보안 취약점이 발견되어 수백만 명의 사용자가 위험에 처했다. 이 취약점을 악용하면 브라우저 세션을 완전히 장악하고 웹사이트 및 로컬 시스템의 민감한 데이터에 접근할 수 있다.</p> <figure class="figure_frm origin_fig" contents-hash="d61623a82cc0bd819c74dfb2387b2fa6e14d8ba77ea3bf0d105e04b10e968438" dmcf-pid="tKu71TFYE5" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/20/552815-KkymUii/20260620093002968stse.jpg" data-org-width="1000" dmcf-mid="X2YGhESrm3" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/20/552815-KkymUii/20260620093002968stse.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [출처: gettyimagesbank] </figcaption> </figure> <div contents-hash="a6f533266948ae6dd5ca0c5cbe813d98cda697b9f33d0d8bfebd311fd06971b9" dmcf-pid="F97zty3GrZ" dmcf-ptype="general"> <br>AI 및 브라우저 확장 프로그램의 보안연구그룹인 Rebora Security의 보안 연구원들은 AI 기반 ‘에이전트 사이드 패널’ 확장 프로그램에 영향을 미치는 ‘Spyder’와 ‘MaXSS’라는 취약점을 발견했다고 밝혔다. </div> <p contents-hash="6accae189670806c571e284046be810548fb2bea22631f09081c7bef976db1b3" dmcf-pid="32zqFW0HwX" dmcf-ptype="general">인공지능 기반 요약 및 자동화를 통해 웹 브라우징 경험을 향상시키도록 설계된 이 도구들은 크롬 호환 브라우저를 사용하는 1천만 대 이상의 기기에 설치됐다. 특히 SiderAI는 크롬 웹 스토어에서 상위 25위 안에 드는 확장 프로그램으로, 상당한 인지도를 자랑한다.</p> <p contents-hash="49b0167b21b6b77b067fcac078de06d65bb10cd1be10911d055f7e6184b13cc4" dmcf-pid="0VqB3YpXIH" dmcf-ptype="general">이번에 발견된 취약점은 웹 페이지와 확장 프로그램의 내부 구성 요소, 특히 콘텐츠 스크립트 간의 통신을 처리하는 과정에서 발견됐다. 크롬 확장 프로그램에서 콘텐츠 스크립트는 웹사이트와 확장 프로그램의 백그라운드 프로세스 사이에서 중개자 역할을 한다.</p> <p contents-hash="5d7ecd532e4dcfc73237661413e9e661e6abf1605fa125a7d778d9bdb8eaf0c1" dmcf-pid="pfBb0GUZsG" dmcf-ptype="general">때문에 엄격한 격리를 시행해야 함에도, SiderAI와 MaxAI 모두 웹 페이지에서 수신한 입력값을 제대로 검증하지 못했다.</p> <p contents-hash="7fed75fb00a38ed65c9bb4f1b1e940f0c00d3fe3256aa97111f766c729797c49" dmcf-pid="U4bKpHu5wY" dmcf-ptype="general">MaxAI의 경우, 연구원들은 악성 웹사이트가 조작된 메시지를 확장 프로그램의 콘텐츠 스크립트로 보낼 수 있으며, 해당 스크립트는 적절한 검증 없이 해당 메시지를 백그라운드 프로세스로 전달한다는 사실을 발견했다. 이는 공격자가 숨겨진 탭을 열거나, 스크린샷을 캡처하거나, 사용자 계정과 상호작용을 하는 등의 권한이 필요한 작업을 실행할 수 있도록 효과적으로 허용했다.</p> <p contents-hash="3e1d394a25ec4c43664f4a6b21ef1fb0cd6fbe2f6edbf6c461f1573444ffcf01" dmcf-pid="u8K9UX71OW" dmcf-ptype="general">실제 공격 시나리오에서 연구원들은 사용자가 인지하지 못하는 사이에 Gmail 및 Google 캘린더 세션에 접근해 민감한 정보를 추출했다.</p> <p contents-hash="a8cfeb81c2559ae356bc931321bf540a56df4538078b678b78c86a558e8c0d61" dmcf-pid="7xf4qtb0wy" dmcf-ptype="general">마찬가지로 SiderAI의 Spyder 취약점을 통해 공격자는 내장된 웹 세션에서 클릭 및 키 입력과 같은 사용자 상호작용을 시뮬레이션할 수 있었다.</p> <p contents-hash="15dfd1342d7bdda6aefd73e63f6402d0e4ee215105a45b40004ab380d52dafe2" dmcf-pid="zM48BFKpIT" dmcf-ptype="general">이러한 기능을 악용하면 악성 사이트는 구글 제미나이와 같은 서비스를 몰래 실행하고, 인공지능의 개인 대화 데이터를 추출해 외부로 유출할 수 있다. </p> <p contents-hash="f7eedec6877894eea490a4eb2d354984edc119a739f3b1bc15393149d1db62af" dmcf-pid="qR86b39UOv" dmcf-ptype="general">보안전문매체 Cyber Security News에 따르면, 이번 문제는 확장 프로그램 공급업체에 보고했지만, 아무런 답변을 받지 못했다. 문제의 심각성 때문에 발견된 내용은 공개됐으며, 크롬 웹 스토어 운영사인 구글에도 통보됐다.</p> <p contents-hash="3c55f4057190fc9fa75dd62f92b67fe2ab3f3b2dcee7268d69742fa94a1c874b" dmcf-pid="Be6PK02uOS" dmcf-ptype="general">Rebora Security의 보안 연구원들은 브라우저에 SiderAI 또는 MaxAI가 설치되어 있는지 확인하고, 설치되어 있다면 즉시 제거할 것을 강력히 권장했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 마음AI, '피지컬 AI 얼라이언스 2기' 출범식서 기술 시연 06-20 다음 잠실 봉쇄 시위에…'남의 칼' 들고 출전한 오상욱, 아시아선수권 우승 06-20 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.