브라우저 확장 프로그램의 보안 위험: 내 데이터가 유출되는 경로
브라우저 확장 프로그램이 비밀번호를 탈취하고, 광고를 삽입하고, 브라우징을 추적하는 방법을 알아봅니다. 실제 크롬 웹스토어 사례와 권한 점검 방법을 정리합니다.
브라우저 확장 프로그램의 보안 위험: 내 데이터가 유출되는 경로
광고 차단, 비밀번호 관리, 문법 검사, 쿠폰 찾기. 대부분의 사람들은 브라우저 확장 프로그램을 별생각 없이 설치합니다. 편리하니까요. 하지만 모든 확장 프로그램은 브라우저 안에서 실행되는 소프트웨어이며, 설치 시 부여한 권한에 따라 당신이 온라인에서 하는 거의 모든 것에 접근할 수 있습니다.
문제는 모든 확장 프로그램이 선의로 만들어진 것은 아니라는 점입니다. 처음부터 데이터 수집을 목적으로 만들어진 것도 있고, 원래는 정상적이었지만 다른 회사에 매각된 후 악성 업데이트가 배포된 경우도 있습니다. 크롬 웹스토어의 검수 과정은 완벽하지 않습니다.
확장 프로그램이 데이터에 접근하는 방식
확장 프로그램을 설치하면 권한을 부여하게 됩니다. 이 권한이 확장 프로그램이 볼 수 있고 할 수 있는 것을 결정합니다.
- 모든 웹사이트의 데이터 읽기 및 변경: 방문하는 모든 페이지, 입력하는 모든 양식, 타이핑하는 모든 비밀번호를 볼 수 있음
- 방문 기록 읽기: 방문한 모든 URL에 대한 전체 접근
- 다운로드 관리: 다운로드를 실행하거나 다운로드 기록을 읽을 수 있음
- 복사/붙여넣기 데이터 수정: 클립보드에 복사한 비밀번호 등을 가로챌 수 있음
- 네이티브 애플리케이션과 통신: 브라우저 외부의 소프트웨어와 상호작용 가능
대부분의 사용자는 권한 목록을 읽지 않고 "Chrome에 추가"를 클릭합니다. 그 한 번의 클릭으로 모르는 개발자에게 은행 세션, 이메일 계정, 모든 비밀번호에 대한 접근 권한을 줄 수 있습니다.
실제 악성 확장 프로그램 사례
가상의 시나리오가 아닙니다. 실제로 사용자 데이터를 탈취하다 적발된 사례들입니다.
The Great Suspender (2021)
200만 명 이상의 사용자를 보유한 인기 크롬 확장 프로그램이 정체불명의 주체에게 매각되었습니다. 새 소유자는 브라우징을 추적하고 광고를 삽입하는 악성 코드가 포함된 업데이트를 배포했습니다. 결국 Google이 크롬 웹스토어에서 삭제했습니다.
DataSpii (2019)
보안 연구원들이 Hover Zoom, SpeakIt 등 여러 인기 확장 프로그램이 사용자가 방문한 모든 URL을 수집해 분석 회사에 판매하고 있음을 발견했습니다. 수집된 데이터에는 세금 신고서, 환자 정보, 여행 일정 등 URL을 통해 접근한 개인 문서들이 포함되어 있었습니다.
Web Developer for Chrome (2017)
개발자 계정이 해킹당해 100만 명 이상의 사용자에게 악성 업데이트가 배포되었습니다. 변조된 버전은 사용자가 방문하는 모든 웹페이지에 광고를 삽입했습니다.
Nano Adblocker와 Nano Defender (2020)
새로운 개발자에게 매각된 후, 이 인기 광고 차단 확장 프로그램들이 브라우징 데이터를 수집하고 소셜 미디어 계정을 조작하는 코드로 업데이트되어 30만 명 이상의 사용자에게 피해를 입혔습니다.
권한 위험 신호
모든 권한이 위험한 것은 아니지만, 설치 전에 한 번 더 생각하게 만들어야 하는 권한들이 있습니다.
| 권한 | 위험도 | 이유 |
|---|---|---|
| 모든 웹사이트의 데이터 읽기 및 변경 | 높음 | 브라우저의 모든 것에 접근 가능 |
| 방문 기록 읽기 | 높음 | 방문한 모든 사이트 기록 확인 가능 |
| 다운로드 관리 | 중간 | 원치 않는 다운로드 실행 가능 |
| 복사/붙여넣기 데이터 수정 | 높음 | 복사한 비밀번호와 민감 텍스트 탈취 가능 |
| 북마크 읽기 및 변경 | 낮음 | 프라이버시 영향 제한적 |
| 알림 표시 | 낮음 | 성가실 수 있지만 위험하지는 않음 |
| 앱, 확장 프로그램, 테마 관리 | 높음 | 다른 확장 프로그램을 설치하거나 수정 가능 |
판단 기준: 색상 추출기나 스크린샷 도구 같은 단순한 도구가 "모든 웹사이트의 데이터 읽기" 권한을 요청한다면, 뭔가 이상한 것입니다. 권한은 기능과 일치해야 합니다.
설치된 확장 프로그램 점검 방법
Chrome
- 주소창에
chrome://extensions/입력 - 각 확장 프로그램의 "세부정보"를 눌러 권한 확인
- 모르거나 더 이상 사용하지 않는 것은 삭제
- 남은 확장 프로그램은 하나씩 확인: 알려진 개발자인가? 마지막 업데이트는 언제인가? 권한이 기능에 맞는가?
Firefox
- 주소창에
about:addons입력 - 각 확장 프로그램을 클릭해 권한 확인
- addons.mozilla.org에서 확장 프로그램 페이지를 통해 상세 권한 확인 가능
Edge
- 주소창에
edge://extensions/입력 - Chrome과 동일한 방식. Edge는 같은 확장 프로그램 형식을 사용하므로 권한 시스템도 동일
Safari
- Safari > 설정 > 확장 프로그램으로 이동
- 각 확장 프로그램이 어떤 웹사이트에 접근하는지 확인
- Safari는 Chrome보다 확장 프로그램을 더 엄격하게 제한하지만, 설치된 것은 반드시 검토
이 점검을 3개월마다 하세요. 확장 프로그램은 언제든 소유권이 바뀌고 악성 업데이트가 배포될 수 있습니다.
확장 프로그램 안전 사용 수칙
- 최소한만 설치: 실제로 사용하는 것만 남기세요. 모든 확장 프로그램은 공격 표면입니다
- 오픈소스 확장 프로그램 우선: uBlock Origin처럼 코드가 공개된 확장 프로그램은 보안 연구원들이 검증할 수 있습니다
- 개발자 확인: 확장 프로그램을 만든 주체를 확인하세요. 웹사이트와 평판이 있는 회사가 익명 개발자보다 안전합니다
- 최근 리뷰 확인: 갑자기 부정적인 리뷰가 늘었다면 악성 업데이트나 소유권 변경 신호입니다
- 설치 전 권한 확인: 쿠폰 확장 프로그램이 모든 브라우징 데이터를 읽겠다고 한다면, 다른 것을 찾으세요
- 브라우저 업데이트: 브라우저 업데이트에는 확장 프로그램의 동작을 제한하는 보안 패치가 포함되기도 합니다
- 별도 브라우저 프로필 사용: 은행, 결제 등 민감한 작업은 확장 프로그램이 하나도 없는 프로필에서 하세요
- 소유권 변경 주의: 확장 프로그램의 개인정보 보호 정책 변경 알림을 받으면 즉시 확인하세요
민감한 정보는 더 안전한 방법으로
브라우저 확장 프로그램은 데이터가 유출될 수 있는 여러 경로 중 하나일 뿐입니다. 비밀번호, 출입 코드, 기밀 메모를 브라우저를 통해 자주 공유한다면 위험은 배가 됩니다.
카카오톡에 비밀번호를 그대로 보내면 대화 기록에 영원히 남고, 악성 확장 프로그램이 이를 가로챌 수도 있습니다. LOCK.PUB을 사용하면 비밀번호로 보호된 링크를 만들어 민감한 텍스트를 전달할 수 있습니다. 만료 시간을 설정하면 시간이 지나면 접근이 차단됩니다. 채팅 기록에 원문이 남지 않으니 확장 프로그램이 가로챌 것도 없습니다.
지금 바로 확장 프로그램을 점검하세요
브라우저는 가장 민감한 계정으로 가는 관문입니다. 설치된 확장 프로그램 하나하나가 잠재적인 보안 약점이 됩니다. 오늘 확장 프로그램을 정리하고, 불필요한 것은 삭제하고, 앞으로 설치할 때는 신중해지세요. 민감한 정보를 공유할 때는 LOCK.PUB처럼 신뢰할 수 있는 전용 도구를 사용하세요.
관련 키워드
다른 글도 읽어보세요
직장에서 익명 피드백을 주고받는 방법: 솔직한 의견을 안전하게
직장에서 진짜 솔직한 피드백을 주고받으려면 익명성이 보장되어야 합니다. 익명 설문의 함정과 안전한 피드백 채널을 만드는 방법을 알아봅니다.
일회용 이메일 완전 가이드: 서비스 비교, 활용법, 주의사항
가입용 임시 이메일이 필요하신가요? Guerrilla Mail, Temp Mail, 10 Minute Mail 등 일회용 이메일 서비스를 비교하고, 언제 사용하면 좋은지, 어떤 위험이 있는지 정리했습니다.
가짜 채용 사기: 허위 취업 제안을 알아보는 법
가짜 채용 제안에 속지 않는 방법을 알아보세요. 선불 요구, 모호한 회사 정보, 비현실적 급여, 개인정보 수집 수법까지 상세히 분석합니다.