구글이 크립토재킹과 몰래 채굴 악성코드로부터 자체 브라우저인 크롬(Chrome)을 보호하고자 브라우저 익스텐션에 더 엄격한 규정을 적용한다. 구글은 지난 1일 크롬의 익스텐션 관련 규정을 대대적으로 개편하고, 크롬 웹스토어에서 배포하는 익스텐션에 앞으로 더 엄격한 보안 규정을 적용한다고 발표했다.
브라우저에 설치하는 익스텐션은 제대로 작동하는 것은 기본이고 개인정보가 유출되지 않으며 해킹 등에 안전해야 한다. 그래야만 이용자들이 익스텐션을 신뢰하고 설치할 수 있다. 이용자들은 항상 익스텐션이 구체적으로 어떤 기능을 하며 개인정보를 비롯한 이용자 데이터에 어디까지 접근할 수 있는지를 투명하게 확인할 수 있어야 한다.
현재 베타 버전을 시험 중인 크롬 70부터 이용자들은 익스텐션 별로 접근할 수 있는 웹사이트를 미리 정해두거나 매번 페이지에 접속할 때마다 익스텐션의 접근을 허용할지 결정할 수 있다고 구글은 설명했다.
“포괄적인 접근 권한을 부여받아야 하는 익스텐션은 개인정보 보호 등 관련 규정을 어기지 않는지 별도의 심사를 거쳐야 한다. 또한, 외부의 코드로 원격 조종, 운영되는 익스텐션을 특히 주의해 살펴보며 감시하고 있다.”
구글은 익스텐션이 호스트 권한을 부여받아 데이터에 접근할 수 있게 될 때 이를 활용해 제공할 수 있는 많은 기능만큼이나 단점도 적지 않다고 설명했다.
“익스텐션에 호스트 권한을 허용하면 이를 활용해 수많은 기능을 구현할 수 있다. 하지만 동시에 악의적인 혹은 의도하지 않게 접근 권한이 오용되거나 남용되기도 한다. 익스텐션이 어디까지 데이터에 접근할 수 있는지 이용자가 투명하게 확인하고 결정할 수 있도록 하는 것이 우리의 목표다.”
구글은 이어 1일부터 크롬 웹스토어에서 내려받을 수 있는 익스텐션의 코드 관련 규정도 개정했다고 덧붙였다. 코드가 명확하지 않거나 숨겨놓은 코드로 운용하는 익스텐션은 앞으로 90일 안에 새로운 규정에 맞춰 코드를 개선하지 않으면 크롬 웹스토어에서 퇴출된다.
악성 코드를 포함했거나 보안 규정을 위반한 익스텐션의 70%는 코드를 명확하지 않게 써둔 프로그램이라고 구글은 밝혔다. 명확하지 않은 코드는 익스텐션의 정확한 기능을 숨기는 데 주로 쓰이지만, 동시에 구글이 코드의 규정 준수 여부를 심사하는 과정도 복잡하게 만든다. 구글은 이에 심사 기준과 절차를 대대적으로 개편해 애매하게 코드를 쓴 익스텐션들을 바로잡겠다고 밝혔다.
이어 2019년부터는 보안을 강화하기 위한 또 다른 절차로 모든 익스텐션 개발자의 계정은 이중 검증 절차를 거쳐야만 접속할 수 있게 된다. 해커들이 계정을 해킹해 익스텐션을 조종하지 못하게 하기 위한 조처다.
해커들이 크롬 익스텐션 계정을 해킹해 피해자들의 컴퓨터에 익스텐션을 타고 접속한 사례가 없지 않다. 당장 지난달에 해커들은 메가(Mega)라는 익스텐션에 악성 코드를 심어 이를 웹스토어에 올렸다. 이후 몇 시간 내에 해당 익스텐션을 공식 인스톨러를 이용해 내려받은 이용자들은 마이이더월렛(MyEtherWallet), 마이모네로(MyMonero) 암호화폐 지갑, 분산 암호화폐 거래소 아이덱스(IDEX) 등 여러 계정이 한동안 먹통이 되는 피해를 겪었다.
구글은 이와 함께 익스텐션을 내려받는 이용자 몰래 해당 기기에 침투해 암호화폐를 채굴한 뒤 빼돌리는 익스텐션에 대한 제재도 강화한다고 밝혔다. 구글은 지난 4월부터 크롬 웹스토어에서 크립토재킹에 쓰이는 악성 소프트웨어는 물론 정식 암호화폐 채굴 익스텐션도 차단해 왔다.
https://www.coindeskkorea.com/googlechromeextensions/
. 
. 
. 
. 
. 
. 
Shop
Topic: 구글, 크립토재킹 방지 포함해 크롬 익스텐션 보안 규정 강화 (Read 470 times)
Latest news: