기술 가이드

Rust 기반 맬웨어로부터 Google Chrome 보호 방법

6 min read 브라우저 보안 업데이트됨 05 Oct 2025
Chrome을 Rust 맬웨어로부터 보호하는 방법
Chrome을 Rust 맬웨어로부터 보호하는 방법

Google Chrome 브라우저를 Rust 기반 맬웨어 EDDIESTEALER로부터 보호하는 대표 이미지.

개요

Rust는 성능과 안전성을 이유로 브라우저 백엔드에서 점점 더 많이 사용되고 있습니다. 하지만 공격자는 Rust의 정교한 은닉 기법과 다단계 페이로드를 이용해 Chrome 사용자를 노리고 있습니다. 2025년 5월 30일 Elastic Security Labs가 분석한 EDDIESTEALER 사례는 가짜 CAPTCHA로 사용자를 속여 악성 페이로드를 다운로드하도록 유도하는 전형적 사회공학 공격입니다.

중요: 이 문서는 악성 코드 실행 방법을 제공하지 않습니다. 대신 Chrome 사용자를 위한 예방·탐지·대응 지침을 제공합니다.

Rust 기반 맬웨어가 Chrome에서 효과적인 이유

  • 사회공학 기반 유도: 가짜 CAPTCHA, 피싱, 악성 광고 등으로 사용자가 직접 악성 명령을 실행하도록 유도합니다.
  • 은닉 기법: 문자열/엔드포인트 난독화, 자체 삭제, 다단계 페이로드를 사용해 탐지를 회피합니다.
  • 광범위한 표적: Chrome의 높은 점유율과 신뢰성으로 피해 범위가 큽니다.

사례 중심 설명: EDDIESTEALER는 윈도우 사용자에게 가짜 CAPTCHA 페이지를 보여주고, 사용자가 PowerShell 같은 실행 환경에 특정 내용을 붙여넣게 유도해 obfuscated JavaScript 페이로드(gverify.js)를 다운로드하게 합니다. 페이로드는 암호 관리자, 암호화폐 지갑, 메신저 등의 데이터를 수집하는 것으로 보고되었습니다.

참고: Rust 기반 맬웨어는 이전의 Fickle Stealer(2024년 중반)나 StealC(2023년 초)와 기법적으로 유사한 점이 많습니다.

Chrome: 향상된 보호 모드 활성화

  1. Chrome 우측 상단 점 세 개 메뉴 클릭
  2. 설정 -> 개인정보 및 보안 -> 보안 -> 향상된 보호 사용

향상된 보호 모드를 활성화하는 Chrome 설정 화면.

향상된 보호는 실시간 머신러닝 기반 위협 판별을 통해 가짜 CAPTCHA나 신뢰할 수 없는 사이트를 더 잘 식별하고, 잠재적으로 위험한 다운로드를 차단할 수 있습니다. 사용자 주도 공격에서는 100% 방어할 수는 없지만, 추가 방어층으로서 유효합니다.

중요: 설정을 변경한 후에도 의심스러운 링크와 실행 요청은 항상 수동으로 검토하세요.

신뢰하지 않는 사이트의 자바스크립트 차단(선택사항)

자바스크립트 차단은 방문 사이트 수가 적거나, 별도 프로필로 웹 서핑을 분리할 수 있는 사용자에게 적합합니다.

  • 설정 -> 개인정보 및 보안 -> 사이트 설정 -> 콘텐츠 -> 자바스크립트 -> 자바스크립트 허용 안 함
  • 필요한 사이트는 예외에 개별 등록

'사이트에서 자바스크립트를 사용하지 않도록 설정하는 Chrome 화면.

장점: 지금까지 관찰된 대부분의 Rust 기반 인포스틸러는 자바스크립트를 이용해 추가 페이로드를 불러왔습니다. 자바스크립트 차단은 이런 흐름을 원천적으로 끊을 수 있습니다.

단점: 현대 웹사이트는 자바스크립트 의존도가 높아 사용자 경험이 크게 저하될 수 있습니다. 일부 서비스는 별도의 비자바스크립트 모드를 제공하므로 대체 방문 방법을 확인하세요.

참고: 광고 차단기나 콘텐츠 보안 확장으로 인라인 스크립트와 서드파티 스크립트를 통제하는 것도 대안입니다.

자동 다중 파일 다운로드 차단

자바스크립트를 완전 차단하기 어렵다면 자동 다운로드 제어로 피해 가능성을 줄일 수 있습니다.

  • 설정 -> 다운로드 -> 파일 저장 위치 묻기 사용
  • 설정 -> 개인정보 및 보안 -> 사이트 설정 -> 추가 권한 -> 자동 다운로드 -> 사이트가 여러 파일을 자동으로 다운로드하지 못하도록 함

사이트의 자동 다운로드를 차단하는 Chrome 설정 화면.

이 설정은 배경에서 몰래 파일을 내려받아 실행하는 악성 스크립트의 작동을 방해합니다. EDDIESTEALER의 예시에서 gverify.js와 같은 파일이 사용자 몰래 다운로드되는 것을 여기서 차단할 수 있습니다.

엄격한 사이트 격리 적용

  • 주소 표시줄에 chrome://flags 입력 후 엔터
  • Disable site isolation 플래그를 Default로 유지

Chrome Flags에서 사이트 격리가 Default로 설정된 화면.

사이트 격리는 웹 프로세스를 분리해 메모리 기반 익스플로잇과 세션 도용 위험을 줄입니다. 운영체제 수준의 격리와 결합하면 더욱 안전합니다.

참고: 플래그 변경은 실험적이거나 버전에 따라 다를 수 있으니 신중하게 적용하세요.

확장 프로그램은 Chrome 웹 스토어에서만 다운로드

서드파티 사이트에서 배포되는 확장 프로그램은 숨겨진 API 호출이나 권한 남용을 통해 브라우저 권한을 악용할 수 있습니다. 공식 스토어에서 제공되는 확장도 항상 무결성 검토가 필요하지만, 비공식 소스보다 리스크가 낮습니다.

중요: 확장 설치 시 요청 권한을 꼼꼼히 검토하고, 필요 이상 권한을 요구하면 설치를 중단하세요.

계정 보안: SMS 대신 강력한 대체 수단 사용

Google은 SMS 기반 2단계 인증을 단계적으로 축소하고 패스키나 인증 앱 같은 안전한 인증 수단을 권장합니다. 가능한 한 패스키 또는 TOTP 기반 인증 앱을 활성화하세요.

중요: 비밀번호 공동 사용과 재사용을 피하고, 암호 관리자 사용을 고려하세요. 침해 사고 발생 시 암호 관리자도 점검 대상이므로 마스터 비밀번호 변경과 2FA 재설정이 필요합니다.

추가 권장 보안 하드닝

  • 운영체제 및 브라우저를 최신 상태로 유지하세요.
  • 기본 사용자 계정을 사용하고 관리자 권한으로 일상 작업을 하지 마세요.
  • 의심스러운 다운로드는 샌드박스나 VM에서 먼저 검사하세요.
  • 엔드포인트 탐지·대응(EDR) 도입을 고려하세요.
  • 네트워크 레벨에서 웹 필터링과 DNS 보안 서비스를 사용하세요.

감염 의심 시 즉각 대응 절차(간단한 인시던트 런북)

  1. 네트워크 연결 차단: 의심 기기의 네트워크 연결을 즉시 차단합니다.
  2. 프로세스·네트워크 모니터링: 의심 프로세스, 비정상적 네트워크 연결을 기록합니다.
  3. 임시 계정 차단: 노출된 서비스 계정의 토큰과 세션 제거 및 비밀번호 변경을 강제합니다.
  4. 엔드포인트 스캔: 업데이트된 안티바이러스/EDR로 전체 검사 수행
  5. 로그 보존: 관련 로그와 증거를 보존해 분석에 활용합니다.
  6. 복구 및 재평가: 시스템 이미지 또는 백업에서 복구하고 재발 방지 대책을 적용합니다.
flowchart TD
  A[감염 의심 발견] --> B{네트워크 연결 여부}
  B -->|연결됨| C[네트워크 차단]
  B -->|연결 끊김| D[엔드포인트 검사]
  C --> D
  D --> E{악성 여부 판정}
  E -->|악성| F[증거 보존 및 대응팀 호출]
  E -->|정상| G[추가 모니터링]

중요: 실제 인시던트에서는 조직의 보안 정책과 법무·컴플라이언스 요구사항을 따르세요.

언제 위 방법들이 실패할 수 있는가

  • 사회공학의 정교함이 높아 사용자가 직접 관리자 권한을 부여하거나 명령을 실행할 경우 방어가 뚫릴 수 있습니다.
  • 브라우저 확장이나 플러그인 자체가 이미 손상된 경우, 브라우저 내부 방어가 무력화될 수 있습니다.
  • 오프라인에서 실행되는 악성 프로그램(예: 외부 장치로 전달된 실행 파일)은 브라우저 설정만으로 막기 어렵습니다.

대응: 사용자 교육과 최소 권한 원칙, 엔드포인트 보안 통합으로 다층 방어를 유지하세요.

역할별 체크리스트

  • 일반 사용자

    • 향상된 보호 활성화
    • 신뢰할 수 없는 사이트에서 자바스크립트 차단 고려
    • 자동 다운로드 요청은 항상 확인
    • 의심스러운 CAPTCHA나 실행 요청 거절

  • IT 관리자

    • 정책 기반으로 자바스크립트·다운로드 제한 배포
    • 브라우저 및 확장 관리 도구(MDM/그룹 정책) 사용
    • EDR 및 중앙 로깅으로 이상 징후 모니터링

  • 보안 운영팀

    • 위협 인텔리전스 업데이트 및 YARA 서명 준비
    • 인시던트 대응 플레이북 유지
    • 사용자 교육 자료 주기적 배포

대체 접근법 및 보완 전략

  • 콘텐츠 보안 정책(CSP) 강화로 외부 스크립트 로드 차단
  • 네트워크 레벨에서 스크립트 호스트·배포 도메인 화이트리스트 관리
  • 브라우저 샌드박스 솔루션 및 원격 브라우징 서비스 도입

1줄 용어집

  • 인포스틸러: 시스템에서 자격증명·지갑·메시지 등을 탈취하는 악성코드
  • 다단계 페이로드: 초기 적은 기능의 파일이 추가 페이로드를 다운로드하여 기능을 확장하는 방식
  • 사이트 격리: 서로 다른 도메인의 렌더링 프로세스를 분리하는 보안 메커니즘

요약

  • EDDIESTEALER 같은 Rust 기반 맬웨어는 사회공학과 자바스크립트 기반 페이로드를 결합해 Chrome 사용자를 노립니다.
  • 향상된 보호 모드, 자바스크립트 제어, 자동 다운로드 차단, 엄격한 사이트 격리, 공식 확장 스토어 사용은 실질적인 방어 수단입니다.
  • 의심스러운 활동이 발견되면 네트워크 차단, 엔드포인트 검사, 계정 보호 조치를 신속히 수행하세요.

중요: 보안은 한 번의 조치로 끝나는 것이 아니라 지속적인 모니터링, 패치, 사용자 교육의 반복입니다.

공유하기: X/Twitter Facebook LinkedIn Telegram
저자
편집

유사한 자료

Hulu 오류 코드 P-TS207 해결 방법
스트리밍 문제

Hulu 오류 코드 P-TS207 해결 방법

Windows 11 오디오 드라이버 업데이트 방법
윈도우

Windows 11 오디오 드라이버 업데이트 방법

1분 만에 인물 사진에 따뜻한 글로우 적용하는 법
사진 보정

1분 만에 인물 사진에 따뜻한 글로우 적용하는 법

내 Gmail 해킹 복구 및 보안 가이드
보안

내 Gmail 해킹 복구 및 보안 가이드

Chrome을 Rust 맬웨어로부터 보호하는 방법
브라우저 보안

Chrome을 Rust 맬웨어로부터 보호하는 방법

맥도날드 셀프서브 결제 오류로 '50% 할인' 논란
뉴스

맥도날드 셀프서브 결제 오류로 '50% 할인' 논란