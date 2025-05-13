과거 대부분의 'Man-in-the-Browser' 공격은 멀웨어가 브라우저 메모리를 스캔하여 특정 HTML 패턴을 식별하고 페이지의 인메모리 콘텐츠에 직접 <script> 태그를 삽입하는 방식으로 수행되었습니다. 악의적인 의도에도 불구하고 이러한 스크립트는 샌드박스 환경 내에서 작동하고 동일 출처 정책을 준수하며 주입된 페이지의 수명 주기에 따라 제한을 받는 등 여전히 브라우저의 보안 메커니즘에 종속되어 있었습니다.

예를 들어 주입된 스크립트는 다른 출처의 쿠키나 리소스에 액세스할 수 없었으며 페이지가 닫히면 지속되거나 실행될 수 없었습니다.

반면 악성 브라우저 확장 프로그램을 이용한 최신 공격은 이러한 제약을 대부분 극복했습니다. 확장 프로그램은 특정 웹페이지와 독립적으로 작동하며 백그라운드에서 지속적으로 실행될 수 있습니다. 또한 동일 출처 제약을 우회하고 쿠키나 스토리지와 같은 브라우저 전체 리소스에 접근할 수 있는 확장된 권한을 가지고 있으며 페이지가 열려 있지 않아도 활성 상태를 유지할 수 있습니다. 이러한 변화로 인해 브라우저 확장 프로그램은 공격자에게 전통적인 웹 인젝션보다 훨씬 높은 수준의 지속성과 제어력을 제공하는 강력한 도구가 되었습니다.

확장 프로그램은 JavaScript 실행 컨텍스트에도 변화를 가져왔으며 이는 자체적인 악의적인 이점을 제공합니다. 전통적인 웹 인젝션은 보안 도구를 포함한 웹 애플리케이션 코드와 동일한 컨텍스트에서 실행되었습니다. 스크립트 요소, 네트워크 요청, js 변수 등 남겨진 증거가 있는 경우 멀웨어를 탐지할 수 있었습니다.

현재는 페이지 컨텍스트 외에 두 가지 JavaScript 환경이 추가로 존재합니다.

첫 번째는 콘텐츠 스크립트 컨텍스트로 페이지 문서에 액세스할 수 있지만 메인 페이지 환경과는 부분적으로 격리되어 있습니다. 또한 콘텐츠 스크립트나 메인 페이지 환경에 액세스할 수 없는 백그라운드 코드 컨텍스트(서비스 워커)가 존재합니다.

이들 컨텍스트 간의 모든 통신은 페이지나 개발자에게 보이지 않는 정의된 브라우저 인터페이스를 통해 이루어집니다. 확장 프로그램의 대부분의 동작과 증거는 설계상 격리되어 있으며 메인 문서에 변경이 없으면 탐지가 특히 어렵습니다.

향상된 회피 기능을 제공할 뿐만 아니라 최신 브라우저 API가 제공하는 광범위한 내장 기능과 권한 덕분에 브라우저 확장 프로그램 개발 역시 비교적 간단합니다. 다음 분석은 확장 프로그램을 통해 복잡한 공격을 쉽게 개발할 수 있는 방법을 보여줍니다.

확장 프로그램이 제공하는 향상된 제어력, 지속성, 회피 능력 및 개발 용이성을 고려할 때 기존의 'Man-in-the-Browser' 기법에서 확장 프로그램 기반 공격으로의 전환은 이해 가능할 뿐 아니라 브라우저 기반 위협의 진화에서 불가피합니다.