QuickLens - Google Lens 악성 확장 프로그램이 포함된 검색 화면

QuickLens - Google Lens를 이용한 화면 검색 브라우저 확장 프로그램은 원래 화면 이미지 검색, 콘텐츠 번역, 시각적 검색을 통한 제품 정보 검색 등을 편리하게 할 수 있는 도구로 홍보되었습니다. 합법적인 것처럼 보이고 기능도 괜찮아 보였지만, 이 확장 프로그램은 결국 심각한 사이버 보안 위협으로 발전했습니다. 조사 결과, 이 소프트웨어에는 민감한 정보를 수집하고 감염된 시스템에 ClickFix 소셜 엔지니어링 공격을 실행할 수 있는 악성 스크립트가 포함되어 있는 것으로 밝혀졌습니다.

초기에 해당 확장 프로그램은 많은 기존 사용자를 보유하고 있었고 널리 신뢰받았습니다. 그러나 2026년 2월, 브라우저 확장 프로그램 마켓플레이스에서 해당 확장 프로그램이 매각되어 'support@doodlebuggle.top'이라는 이메일 주소와 LLC Quick Lens라는 회사명으로 운영되는 새로운 소유자에게 넘어간 중대한 변화가 발생했습니다. 인수 직후 의심스러운 개인정보 보호정책이 도입되었고, 이어서 모든 사용자에게 악성 업데이트가 배포되었습니다.

공식 채널을 통해 악성 업데이트가 배포되었습니다.

이미 수천 명의 사용자가 확장 프로그램을 설치했기 때문에 악성 업데이트가 빠르게 확산되었습니다. 크롬 웹 스토어의 자동 업데이트 메커니즘은 사용자의 추가적인 조작 없이 기존 설치 환경에 악성 버전을 직접 배포했습니다.

업데이트된 버전은 브라우저에 광범위한 권한을 요청하여 사용자의 브라우징 행동을 모니터링하고 웹사이트 활동을 수정할 수 있도록 했습니다. 이러한 권한을 통해 확장 프로그램은 웹사이트에서 일반적으로 적용하는 중요한 보안 보호 기능을 제거할 수 있었습니다. 악성 스크립트 차단, 사이트 프레임 방지, 특정 공격 기법 완화 등을 위한 보호 조치가 비활성화되어, 피해자가 방문하는 모든 페이지에서 악성 코드가 훨씬 쉽게 실행될 수 있게 되었습니다.

명령 및 제어 인프라와의 지속적인 통신

설치 후, 감염된 확장 프로그램은 원격 명령 및 제어(C2) 서버와 통신을 설정했습니다. 이 악성 프로그램은 감염된 사용자마다 고유 식별자를 생성하고 지리적 위치, 브라우저 유형, 운영 체제와 같은 환경 정보를 수집했습니다.

해당 확장 프로그램은 5분마다 요청을 전송하여 원격 서버와 지속적인 통신을 유지했습니다. 이러한 정기적인 확인을 통해 공격자는 새로운 지침을 전달하거나, 악성 페이로드를 업데이트하거나, 손상된 시스템에서 추가 공격 작업을 시작할 수 있었습니다.

ClickFix 소셜 엔지니어링 및 가짜 업데이트 알림

퀵렌즈의 악성 버전은 공격적인 소셜 엔지니어링 기법도 사용했습니다. 피해자가 방문하는 모든 웹페이지에 스크립트를 삽입하여 가짜 구글 업데이트 알림을 표시할 수 있었습니다.

이러한 기만적인 경고는 합법적인 소프트웨어 업데이트 알림처럼 보이도록 설계되었습니다. 실제로는 클릭픽스(ClickFix) 유형의 공격의 일부였으며, 이 기법은 사용자를 속여 악성 명령을 실행하거나 추가 악성 프로그램을 다운로드하도록 유도합니다. 공격자들은 여러 웹사이트에 걸쳐 이러한 경고를 표시함으로써 피해자들이 알림을 신뢰하고 악성 지시를 따를 가능성을 높였습니다.

암호화폐 지갑 및 데이터 도용 가능성

해당 확장 프로그램의 가장 위험한 기능 중 하나는 암호화폐 자산과 민감한 사용자 데이터를 노리는 것이었습니다. 내장된 악성 스크립트는 브라우저에 설치된 암호화폐 지갑을 검색하고 지갑 시드 구문, 인증 자격 증명, 민감한 양식 데이터와 같은 기밀 정보를 추출하려고 시도했습니다.

해당 악성 소프트웨어는 특히 다음과 같은 암호화폐 지갑 플랫폼을 표적으로 삼았습니다.

• 아르곤
• 배낭
• 바이낸스 체인 월렛
• 브레이브 월렛
• 코인베이스 지갑
• 이동
• 메타마스크
• 환상
• 솔플레어
• 트러스트 월렛
• WalletConnect

암호화폐 절도 외에도, 해당 확장 프로그램은 웹사이트에 입력된 다양한 민감한 데이터를 수집할 수 있었습니다. 여기에는 로그인 자격 증명, 결제 정보, 웹 양식을 통해 전송되는 기타 개인 데이터가 포함됩니다.

온라인 계정 및 비즈니스 플랫폼 접근 권한

추가 분석 결과, 해당 악성 확장 프로그램은 여러 널리 사용되는 온라인 플랫폼에 접근하여 정보를 추출할 수 있는 것으로 드러났습니다. 이러한 기능은 개인 사용자뿐 아니라 기업과 콘텐츠 제작자에게까지 잠재적인 피해를 확대할 수 있습니다.

데이터 수집 기능은 다음과 같습니다.

• Gmail 받은편지함 내 이메일 데이터 읽기
• 페이스북 비즈니스 관리자에서 광고 계정 정보 수집
• YouTube 채널에서 분석 및 운영 데이터 가져오기

이러한 기능은 영향을 받는 브라우저를 통해 마케팅 캠페인, 재무 계정 또는 온라인 미디어 플랫폼을 관리하는 조직에 상당한 위험을 초래했습니다.

확장 기능 제거 및 보안 관련 사항

악성 활동이 발견됨에 따라 Google은 Chrome 웹 스토어에서 QuickLens - Google Lens를 사용한 검색 화면 확장 프로그램을 삭제하고 사용을 중지했습니다. 하지만 이러한 조치에도 불구하고, 이전에 해당 확장 프로그램을 설치했던 시스템에는 소프트웨어가 여전히 남아 있을 경우 위험에 노출될 수 있습니다.

해당 확장 프로그램의 영향을 받는 사용자는 즉시 이를 제거하고 시스템에 잠재적인 보안 문제가 있는지 점검해야 합니다. 계정 정보 변경, 지갑 보안 점검 및 시스템 검사를 강력히 권장합니다.

퀵렌즈(QuickLens) 사건은 브라우저 확장 프로그램과 관련된 보안 위험이 점점 커지고 있음을 보여줍니다. 합법적인 도구로 시작된 소프트웨어조차도 소유권이 변경되거나 공식 업데이트 채널을 통해 악성 업데이트가 배포되면 위협으로 변질될 수 있습니다. 이 사례는 신뢰받는 애플리케이션이 어떻게 보안 제어를 우회하고, 민감한 데이터를 탈취하며, 대규모 소셜 엔지니어링 공격을 수행하는 데 악용될 수 있는지를 보여줍니다.