브라우저 확장 프로그램은 애플리케이션만큼이나 위험할 수 있다. 일상에서 늘 사용하는 브라우저에 밀착 통합돼 있다 보니 종종 무해한 것처럼 보이기 쉽다. 예를 들어 크롬을 비롯한 주요 브라우저용 확장 프로그램은 웹사이트 콘텐츠를 스크래핑할 수 있다. 이는 브라우저 사용자를 사실상 공짜 데이터센터로 전락시키는 셈이며, 이들의 컴퓨팅 자원은 제삼자에게 팔려 금전적 이익을 창출하는 데 활용된다.

아스 테크니카(Ars Technica)가 입수한 보안 업체 시큐어 애넥스(Secure Annex)의 최근 보고서가 이 사례의 실태를 구체적으로 보여준다. 이번 보고서는 기존에 배포되던 멜로텔(Mellowtel) 라이브러리가 어떻게 악용될 수 있는지를 집중적으로 분석했다. 작동 방식은 다음과 같다. 먼저, 정상적인 확장 프로그램 개발자에게 멜로텔 라이브러리를 통합하는 툴이 제공된다. 이후 이 라이브러리는 PC 사용자가 알아채기 힘든 방식으로 브라우저의 ‘남는 대역폭’을 몰래 활용해 수익을 만들어낸다.

멜로텔이 통합된 확장 프로그램은 교묘한 방식으로 웹사이트를 백그라운드에서 스캔하고 스크래핑한다. 이는 구글 같은 검색 엔진이 작동하는 방식과 비슷하지만, 중요한 차이가 있다. 보안 헤더나 robots.txt 같은 기본적인 방어 장치를 우회한다는 점이다.

이런 확장 프로그램은 웹의 기본적인 보안 장치를 우회할 뿐 아니라, 아무것도 모르는 사용자의 PC에서 실행되며 연산 자원, 대역폭, 전력까지 소비한다. 연구팀의 표현을 빌리면, 사용자는 단순히 무료 브라우저 확장 프로그램을 설치했을 뿐인데 사용자의 브라우저는 사실상 ‘봇(bot)’으로 전락하는 셈이다.

이렇게 수집된 스크래핑 데이터는 판매된다. AI 학습용 데이터셋이 금값으로 취급되는 오늘날 이런 데이터는 매우 높은 가치를 가진다. 확장 프로그램 개발자는 이 모든 과정을 인지했든 아니든 대가를 받는다. 물론 소프트웨어 라이브러리 개발사도 수익을 함께 챙긴다.

크롬, 엣지, 파이어폭스용 확장 프로그램 수백 개에서 멜로텔 사용례가 확인됐다. 다만, 일부는 맬웨어 문제로 제거됐거나(시큐어 애넥스 연구와 직접적 관련은 없을 수 있음), 업데이트 과정에서 삭제된 것으로 파악됐다. 시큐어 애넥스 연구원 존 터커가 공개한 최신 목록에서 크롬 웹 스토어, 마이크로소프트 엣지 애드온 저장소, 파이어폭스 애드온 저장소의 관련 확장 프로그램 페이지 링크를 확인할 수 있다.

흥미로운 점은 이런 동작이 분명 봇넷이나 기타 맬웨어의 작동 방식과 유사하지만, 법정에서 명백히 악의적이라고 단정 지을 수준은 아니라는 것이다. 사용자는 브라우저 확장 프로그램을 다운로드해 설치했고(물론 대부분 이용 약관 같은 건 읽지 않았겠지만), 개발자는 거기에 해당 라이브러리를 포함했을 뿐이다. 이는 어쩌면, 지금 이 페이지에 뜨는 광고가 사용자의 정보 상당 부분을 수집하는 방식과도 크게 다르지 않다. 게다가 이 스크래핑 시스템은 오픈소스로 공개돼 누구나 코드 내용을 들여다볼 수 있다.

그렇다고 해도 개인적으로 판단하건대 이는 분명 윤리적 선을 넘는 행위다. ‘사용되지 않는 대역폭’을 몰래 가져다 쓰는 것은 경고 신호를 받을 만하다. 이 대역폭은 사용자가 요금을 내고 확보한 자원이며, 특히 모바일처럼 종량제 환경에서는 요금 청구서에 그대로 반영된다. 명시적이고 충분히 고지된 사용자 동의 없이 남의 대역폭, 더 나아가 컴퓨팅 자원까지 사용하는 것은 과거 일부 확장 프로그램이 타인의 컴퓨터로 암호화폐를 채굴하던 것과 같다.

여기에 보안 문제까지 고려하면 상황은 더 심각해진다. 터커는 이번 사례에서 단순히 스크래핑 행위에 그치지 않고, 확장 프로그램이 컴퓨터, 즉 사용자의 위치 같은 추가 정보까지 수집하며, 데이터를 전송하기 위해 원격 웹 서버와 잠재적으로 위험한 연결을 열고 있다고 지적했다. 브라우저 확장 프로그램이 악성 혹은 안전하지 않을 수 있다는 사실은 새로운 이야기가 아니지만, 이런 유형의 스크래핑 및 데이터 수집 행위는 앞으로 점점 더 흔해질 가능성이 높다.
dl-itworldkorea@foundryco.com