[보안] Chrome 검색 엔진이 Yahoo로 변하는 '브라우저 하이재킹' 현상과 해결 방안

오프닝

코드마스터입니다. 핵심부터 짚겠습니다. Google Chrome을 사용하다 어느 날 갑자기 검색 엔진이 본인이 설정하지 않은 Yahoo로 바뀌어 있는 현상을 경험하셨다면, 이는 단순한 브라우저의 일시적 오류가 아닙니다. 이는 시스템의 설정값(Configuration)이 외부의 비인가된 프로세스에 의해 변조되었음을 의미하는 명백한 보안 경고 신호입니다.

국내 사용자들의 경우, 유틸리티 소프트웨어나 무료 폰트, 혹은 각종 무료 유틸리티를 설치하는 과정에서 '추가 동의' 항목을 꼼꼼히 확인하지 않아 의도치 않게 이러한 `Browser Hijacking`(브라우저 하로킹) 현상에 노출되는 경우가 매우 빈번합니다. 이는 단순히 검색 엔진이 바뀌는 불편함을 넘어, 사용자의 브라우징 패턴과 데이터가 광고 수익을 목적으로 하는 제3자에게 노출될 수 있음을 시사합니다.

오늘 브리핑에서는 이 현상이 발생하는 기술적 메커니즘을 분석하고, 시스템의 무결성을 회복하기 위한 단계별 대응 프로토콜을 정리해 드리겠습니다. 이 문제는 단순한 UI의 변경이 아니라, 브라우저의 `Integrity`(무결성)가 훼손된 상태임을 인지하는 것이 첫 번째 단계입니다.

핵심 내용

이 현상의 기술적 배경에는 `Browser Extension`(브라우저 확장 프로그램)의 오용과 `PUP(Potentially Unwanted Program, 잠재적으로 원치 않는 프로그램)`의 침투가 자리 잡고 있습니다. 브라우저의 `Architecture`(아키텍처) 구조상, 확장 프로그램은 사용자의 편의를 위해 브라우저의 특정 기능에 접근할 수 있는 권한을 가집니다. 하지만 악의적인 의도를 가진 확장 프로그램이 설치될 경우, 브라우저의 `Search Engine Engine`(검색 엔진 엔진) 설정값을 `Override`(덮어쓰기) 하여 사용자의 의도와 상관없이 특정 검색 엔진으로 트래인(Train) 시키는 것이 가능해집니다.

이 과정은 마치 소프트웨어의 `Deployment`(배포) 과정에서 허가되지 않은 스크립트가 삽입되는 것과 유사합니다. 사용자가 신뢰할 수 없는 사이트에서 파일을 다운로드하거나, '다음' 버튼을 무심코 클릭할 때 함께 설치되는 `Adware`(애드웨어)는 브라우저의 `Preference`(설정) 파일을 직접 수정하거나, 레지스트리(Registry)를 통해 브라우저 실행 시 특정 파라로미터를 주입합니다.

구체적으로는 Chrome의 `User Data` 디렉토리 내에 존재하는 `Preferences`라는 JSON 파일이 타깃이 됩니다. 이 파일에는 사용자의 검색 엔진 우선순위, 기본 검색 엔진 URL 등이 정의되어 있는데, 공격자는 이 JSON 객체의 특정 키 값을 Yahoo 검색 엔진의 URL로 강제 변경하는 방식을 취합니다. 이는 브라우저의 `Configuration`(설정) 데이터가 외부 프로세스에 의해 `Write`(쓰기) 권한을 탈취당했음을 의미합니다.

이러한 공격 방식은 일종의 `Man-in-the-Browser`(MITB) 공격의 아주 기초적인 형태라고 볼 수 있습니다. 사용자는 자신이 여전히 Google을 사용하고 있다고 믿지만, 실제로는 모든 검색 쿼리가 Yahoo의 광고 서버를 경유하게 되며, 이 과정에서 사용자의 검색 키워드와 유입 경로 등 소중한 데이터가 광고주에게 전달되는 구조입니다.

여러분은 최근에 설치한 브라우저 확장 프로그램 중에 출처가 불분명하거나, 설치 직후부터 브라우저 동작이 무거워진 경험이 없으신가요?

심층 분석

왜 공격자들은 하필 'Yahoo'를 선택할까요? 이는 기술적 결함이라기보다는 비즈니스 모델의 문제입니다. Yahoo는 강력한 광고 네트워크를 보유하고 있으며, 브라우저 하이재킹을 통해 유입된 트래픽을 광고 수익으로 전환하기에 매우 용이한 구조를 가지고 있습니다. 즉, 이는 `Legacy`(레거시)한 광고 수익 모델이 현대의 보안 아키텍처와 충돌하며 발생하는 전형적인 사례입니다.

보안 관점에서 볼 때, 이는 브라우저의 `Attack Surface`(공격 표면)가 확장되었음을 의미합니다. 과거에는 단순히 악성 파일을 실행하는 것만으로도 위험했지만, 이제는 사용자가 설치하는 수많은 확장 프로그램과 `Plugin`(플러그인)들이 잠재적인 공격 통로가 될 수 있습니다. 이는 마치 마이크로서비스(Microservices) 환경에서 각 서비스 간의 통신 보안이 확보되지 않았을 때 전체 시스템이 위험해지는 것과 맥락을 같이 합니다.

또한, 이러한 문제는 `Software Supply Chain`(소프트웨어 공급망) 공격의 아주 단순화된 형태이기도 합니다. 사용자가 신뢰하는 소프트웨어 배포 경로에 악성 코드를 심어두는 방식은, 현대의 `CI/CD`(지속적 통합/지속적 배포) 파이으로 구축된 복잡한 인프라 환경에서도 가장 경계해야 할 핵심 위협 중 하나입니다.

저는 개인적으로 이러한 현상이 단순한 '설정 변경'으로 치부되어서는 안 된다고 생각합니다. 이는 브라우저의 `Sandbox`(샌드박스) 격리 기능이 사용자 인터랙션(사용자의 동의)이라는 허점을 통해 무력화된 결과이기 때문입니다. 사용자가 보안의 `SLA`(서비스 수준 협약)를 스스로 파괴하고 있는 셈입니다. 따라서 단순한 설정 복구를 넘어, 브라우저 환경 전체에 대한 `Audit`(감사)이 필요합니다.

실용 가이드

문제를 해결하기 위한 단계별 대응 체크리스트를 제공합니다. 순서대로 진행하시기 바랍니다.

1. 확장 프로그램(Extension) 전수 조사 - Chrome 주소창에 `chrome://extensions`를 입력하여 접속합니다. - 본인이 직접 설치하지 않았거나, 최근 설치한 이후 문제가 발생했다면 즉시 `Remove`(삭제)를 클릭하십시오. 특히 'Search', 'Tab Manager' 등의 이름을 가진 의심스러운 항목을 주의 깊게 살펴보십시오.

2. 브라우저 설정 초기화(Reset Settings) - Chrome 설정 메뉴의 `Reset settings` 항목을 실행합니다. - 이 작업은 확장 프로그램을 비활성화하고, 쿠키 및 임시 데이터를 삭제하며, 검색 엔진 설정을 기본값으로 되돌립니다. 이는 오염된 `Preferences` 파일을 초기 상태로 `Rollback`(롤백)하는 가장 확실한 방법입니다.

3. 시스템 내 불필요한 프로그램(PUP) 제거 - Windows 제어판의 '프로그램 및 기능'에서 설치 날짜순으로 정렬하십시오. - 문제가 발생한 시점과 일치하는, 출처가 불분명한 소프트웨어를 삭제하십시오. 특히 `Search Bar`, `Toolbar` 등의 단어가 포함된 프로그램은 위험군입니다.

4. 전문 보안 스캔 실행 - `Malwarebytes`와 같은 전문적인 안티 멀웨어(Anti-Malware) 도구를 사용하여 시스템 전체를 스캔하십시오. 브라우저 설정뿐만 아니라 레지스트리에 남아있는 잔재까지 제거해야 합니다.

필자의 한마리

브라우저 보안은 개인의 프라이버시를 지키는 최전선입니다. 시스템의 `Configuration`이 변조되는 것을 방치하는 것은, 우리 집 현관문의 도어락 비밀번호가 타인에게 노출된 것을 알고도 방치하는 것과 다름없습니다. 보안은 귀찮은 번거로움이 아니라, 디지털 삶을 영위하기 위한 가장 기본적인 `Infrastructure`(인프라) 구축 과정임을 명심해야 합니다.

앞으로 브라우저 제조사들은 더욱 강력한 샌드박싱 기술을 도입하겠지만, 결국 가장 취약한 연결 고리는 사용자의 '클릭'입니다. 앞으로도 이러한 보안 위협에 대해 지속적인 모니터링과 대응이 필요할 것입니다.

실무 관점에서 결론은 명확합니다. 의심스러운 확장 프로그램은 즉시 제거하고, 정기적인 브라우저 상태 점검을 습관화하십시오. 댓글로 여러분이 겪었던 브라우저 보안 이슈나 해결 방법을 공유해 주세요. 코드마스터였습니다.

출처: "https://www.digitalcitizen.life/fix-search-engine-keeps-changing-to-yahoo-in-chrome-easy-guide/"