광고 차단 확장 프로그램의 데이터 판매, 터무니없지만 엄연한 현실
사람들이 광고 차단기를 설치하는 이유는 광고와 추적기에서 벗어나기 위해서입니다. 그런데 일부 광고 차단 확장 프로그램이 사용자의 브라우징 데이터를 수집해 판매할 권리를 버젓이 정책에 명시해두고 있으며, 심지어 자신들이 "차단해 준다"고 주장하는 바로 그 광고주에게 데이터를 넘길 수도 있다는 사실은 아이러니하게 느껴집니다. 그러나 사이버보안 기업 LayerX Security의 새로운 조사에 따르면, 실제로 이런 일이 벌어지고 있을 가능성이 있습니다.
LayerX 연구팀은 확장 프로그램 6,666개의 개인정보처리방침을 분석했습니다. AI 분류와 수동 검토를 병행한 결과, 최소 82개의 확장 프로그램이 사용자 데이터를 제3자에게 판매, 공유, 라이선스 제공 또는 상업적으로 이전할 수 있다고 정책에 명시하고 있는 것으로 확인되었습니다. 이 중 75개는 2026년 4월 조사 발표 시점까지도 Chrome 웹 스토어에 그대로 등록되어 있었습니다.
많은 확장 프로그램이 사용자 데이터를 판매하거나 공유할 수 있다는 사실을 개인정보처리방침 깊숙한 곳에 다소 모호한 문구로 숨겨두고 있습니다. 실제로 사용된 문구는 다음과 같습니다.
"당사는 귀하의 개인정보를 제3자에게 판매하거나 공유할 수 있습니다."
"이 정보는 비즈니스 파트너에게 판매되거나 공유될 수 있습니다."
일부 확장 프로그램은 ‘분석’, ‘마케팅’ 또는 ‘상업적 목적’을 위해 브라우징 활동, 행동 프로필, 스트리밍 기록, 인구통계 정보, 추론된 관심사를 수집한다고 공공연히 밝히고 있습니다.
반면 아예 다른 방식을 택하는 경우도 있습니다. 연구진에 따르면 Chrome 웹 스토어에 등록된 확장 프로그램 대부분은 개인정보처리방침 자체를 공개하지 않고 있으며, 이는 오히려 더 위험한 신호일 수 있습니다. LayerX의 이전 보고서에 따르면 Chrome 확장 프로그램의 약 71%가 개인정보처리방침을 전혀 게시하지 않고 있다고 밝혔습니다. Google의 Chrome 웹 스토어 정책상 사용자 데이터를 처리하는 확장 프로그램은 개인정보처리방침을 반드시 게시해야 합니다. 이들 중 일부는 실제로 사용자 데이터를 처리하지 않을 수도 있지만, 인기 있는 확장 프로그램 카테고리 상당수가 작동을 위해 브라우징 활동이나 웹페이지 콘텐츠에 접근해야 하는 만큼, 대부분은 실제로 데이터를 처리하고 있을 가능성이 높습니다.
Chrome 웹 스토어 규정에도 불구하고 개인정보처리방침조차 게시하지 않은 개발자라면, 사용자 정보를 다룰 때 갑자기 신중하고 투명해질 것이라 기대하기는 어렵습니다. 현실적으로 이런 확장 프로그램은 데이터 수집 사실을 공개적으로 인정하는 확장 프로그램보다 오히려 데이터를 수집, 공유, 수익화할 가능성이 더 큽니다.
행동 데이터의 가치가 얼마나 커졌는지를 떠올리기 전까지는 이 모든 이야기가 다소 추상적으로 들릴 수 있습니다. 저희는 이전에도 겉보기에 무해해 보이는 상업용 데이터셋이 어떻게 감시 산업과 프로파일링 시스템, 나아가 데이터 브로커와 위치 정보 기업을 통한 법 집행 수사에까지 활용되는지를 다룬 바 있습니다. "분석"이라는 명목으로 시작된 데이터 수집은 결국 사용자가 애초에 동의했던 목적과는 전혀 다른, 거대한 행동 데이터베이스 속으로 흘러 들어갈 수 있습니다.
사용자 데이터를 판매하는 광고 차단 확장 프로그램
이번 보고서에서 가장 아이러니한 발견 중 하나는 바로 광고 차단기였습니다. 연구진은 개인정보처리방침에 사용자 데이터 수집 및 제3자 공유를 명시적으로 허용하고 있는 다수의 광고 차단 확장 프로그램을 확인했습니다. 이들을 모두 합치면 550만 명이 넘는 사용자에게 영향을 미치는 것으로 알려졌습니다.
보고서에서 언급된 대표적인 사례는 다음과 같습니다.
- Stands AdBlocker (사용자 300만 명)
- Poper Blocker (사용자 200만 명)
- All Block — YouTube용 광고 차단기 (사용자 50만 명)
- TwiBlocker (사용자 8만 명)
- Urban AdBlocker (사용자 1만 명)
LayerX에 따르면 이들 확장 프로그램 중 일부는 브라우징 활동, 행동 프로필, 광고 상호작용 데이터는 물론, 방문한 URL을 기반으로 추론한 민감한 관심사까지 수집한다고 명시하고 있습니다.
분명히 짚고 넘어가자면, 이들은 AdGuard나 uBlock Origin, Ghostery처럼 프라이버시를 중시하는 주류 도구가 아닙니다. 하지만 그럼에도 수백만 명에 달하는 사용자를 확보하고 있습니다. 그리고 이는 아마도 빙산의 일각에 불과할 것입니다. 사실 이 문제는 전혀 새로운 것이 아닙니다. 저희는 5년도 더 전에, 수백만 건의 설치 수를 기록하면서도 사용자 데이터 수집부터 웹페이지에 광고와 추적 스크립트를 삽입하는 것까지 기만적인 행위를 저지른 가짜 광고 차단기 수십 개를 확인한 바 있습니다.
바로 이런 이유로, 브라우저 확장 프로그램을 설치하기 전에 가장 먼저 확인해야 할 것 중 하나가 바로 투명성입니다. AdGuard Browser Extension은 사용자가 무엇을 살펴봐야 하는지 보여주는 좋은 예시입니다. AdGuard AdBlocker의 Chrome 웹 스토어 페이지에는 사용자 데이터의 수집, 공유, 판매 여부가 명확히 명시되어 있으며, 데이터 처리 방식에 대한 추가 정보도 함께 공개되어 있습니다. 더 자세한 내용을 확인하고 싶은 사용자들을 위해 AdGuard의 전체 개인정보처리방침도 공개되어 있으며, 스토어 페이지에서 바로 연결됩니다.

넷플릭스, 스트리밍 확장 프로그램, 그리고 엔터테인먼트 뒤에 숨은 데이터 경제
보고서는 또한 Netflix, Hulu, Disney+, Prime Video, HBO Max, Apple TV+ 등 주요 스트리밍 플랫폼 전반에서 작동하는 스트리밍 관련 확장 프로그램 네트워크도 밝혀냈습니다. 이 확장 프로그램들은 모두 "dogooodapp"이라는 브랜드로 운영되는 단일 퍼블리셔 네트워크에 속해 있었으며, 미국 와이오밍주의 HideApp LLC라는 회사를 통해 등록되어 있었습니다.
규모가 큰 확장 프로그램으로는 다음과 같은 것들이 있습니다.
- Custom Profile Picture for Netflix (사용자 20만 명)
- Hulu Ad Skipper (사용자 10만 명)
- Netflix Picture in Picture (사용자 10만 명)
- Ad Skipper for Prime Video (사용자 6만 명)
- Netflix Extended (사용자 6만 명)
연구진에 따르면 이들 확장 프로그램의 개인정보처리방침에는 시청 기록, 콘텐츠 선호도, 스트리밍 행동, 구독 정보, 인구통계, 참여 패턴을 수집한다고 명시되어 있습니다. 이렇게 수집된 데이터는 이후 광고주, 분석 기업, 미디어 리서치 기업에 공유되거나 판매될 수 있습니다.
바로 이 지점에서 아이러니를 지나치기 어려워집니다. 이런 확장 프로그램 다수가 자체적으로 빠르게 광고 생태계로 변모하고 있는 플랫폼을 기반으로 존재하고 있기 때문입니다. Netflix는 광고 없는 프리미엄 요금제 가격을 올리는 한편, 광고 포함 요금제를 공격적으로 확대해 왔습니다. Amazon Prime Video는 광고 제거 비용을 지불하지 않는 사용자에게 자동으로 광고를 도입했습니다. 업계 전반적으로 스트리밍 플랫폼들은 구독료 수익만이 아니라 광고 성장과 행동 프로파일링에 점점 더 무게를 두고 있습니다.
그리고 이 모든 콘텐츠를 실제로 보여주는 화면, 즉 대부분의 스트리밍이 이루어지는 스마트 TV 역시 빼놓을 수 없습니다. 스마트 TV는 이미 오래전부터 데이터 수집과 광고 타겟팅 생태계에서 가장 공격적인 플레이어 중 하나로 자리 잡아 왔습니다. 저희가 최근 블로그에서 HDMI 입력과 게임 화면에까지 광고를 삽입하는 스마트 TV에 대해 다룬 것처럼, TV 제조사들은 더 이상 앱과 홈 화면만으로 수익을 올리는 데 그치지 않고, 시청 경험 자체를 수익화하는 방향으로 점점 나아가고 있습니다.
결국 이런 확장 프로그램들은 동일한 생태계에 편승하고 있는 셈입니다. 사람들이 무엇을 보고, 클릭하고, 건너뛰고, 어떻게 반응하는지에 관한 데이터를 수집하는 것이죠. 이제는 하드웨어나 구독료 자체보다 이런 정보가 광고주와 분석 기업에게 훨씬 더 큰 가치를 지니게 되었기 때문입니다.
이것이 중요한 이유
브라우저 확장 프로그램의 추적 행위를, 악성코드나 비밀번호·PIN 같은 인증 정보 탈취에 비하면 무해하다고 여기고 싶어질 수도 있습니다. 하지만 현대의 데이터 수집은 훨씬 더 거대한 감시 퍼즐의 한 조각일 뿐입니다.
겉보기에 무해해 보이는 분석 과정을 통해 수집된 데이터는 실제 삶에 영향을 미칠 수 있습니다. 보험료가 인상될 수도 있고, 기업이 동일한 상품에 대해 사람마다 다른 가격을 매기기 더 쉬워질 수도 있으며, 사용자의 관심사에 맞춘 더욱 공격적인 광고와 사기에 노출될 수도 있습니다. 브라우저 확장 프로그램은 모바일 앱처럼 정확한 물리적 위치를 파악하지는 못하더라도, 여전히 방대한 양의 행동 데이터를 수집할 수 있습니다. 여기에는 브라우징 기록, 검색어, 쇼핑 활동, 스트리밍 습관, 클릭한 링크, 열어본 탭, 방문한 웹사이트로부터 추론된 관심사, 때로는 사용자가 상호작용한 페이지의 내용까지 포함됩니다.
이런 데이터셋은 그 자체로는 별다를 것 없어 보일 수 있습니다. 하지만 광고주, 데이터 브로커, 공공 기록의 정보와 결합되는 순간, 재정 상황, 정치적 성향, 건강 문제 등 놀라울 정도로 많은 것을 드러낼 수 있습니다.
저희는 최근 상업용 위치 정보 및 광고 생태계가 어떻게 이런 대규모 프로파일링과 감시를 가능하게 하는지, 그리고 현대의 애드테크 산업이 어떻게 실시간 데이터 방송 시스템처럼 작동하며 사용자 정보를 끊임없이 공유, 거래, 분석하고 있는지에 관해 다룬 바 있습니다.
그리고 해킹당한 비밀번호와 달리, 한 번 노출된 행동 프로필은 그렇게 간단히 바꿀 수 없습니다.
브라우저 확장 프로그램을 설치하기 전에 확인해야 할 것들
공식 브라우저 스토어에 등록되어 있다는 이유만으로 무조건 신뢰할 수 있는 확장 프로그램은 없습니다. 브라우저 확장 프로그램은 종종 방문하는 모든 페이지의 데이터를 읽고 수정할 수 있는 권한처럼 매우 광범위한 권한을 요구하기도 합니다. 그렇다고 해서 이런 확장 프로그램이 곧바로 데이터를 훔친다는 의미는 아닙니다. 일부 카테고리의 확장 프로그램은 정상적으로 작동하기 위해 실제로 광범위한 접근 권한이 필요합니다. 예를 들어 광고 차단기는 광고를 제거하고, 추적기를 차단하고, 악성 스크립트가 로드되기 전에 걸러내기 위해 웹페이지 콘텐츠를 읽고 수정할 권한이 필요합니다.
확장 프로그램을 설치하기 전에 다음 체크리스트를 간단히 확인해 보는 것이 좋습니다.
- 개인정보처리방침에서 다음과 같은 위험 신호가 될 만한 문구를 확인하세요.
- "공유할 수 있다(may share)"
- "비즈니스 파트너(business partners)"
- "분석 목적(analytics purposes)"
- "상업적 목적(commercial purposes)"
- "제휴사 및 제3자(affiliates and third parties)"
- 개인정보처리방침이 아예 없는 확장 프로그램은 주의하세요.
- 개발사가 어디인지 확인하세요.
- 설치 수를 참고하되, 인위적으로 부풀려질 수 있다는 점을 기억하세요.
- 리뷰는 비판적으로 읽으세요. 가짜 리뷰가 흔하며, 비슷한 문구의 긍정적인 리뷰가 많다면 오히려 의심해봐야 합니다.
- 불필요한 확장 프로그램은 아예 설치하지 마세요.
- 가능하면 검증된 오픈소스 프라이버시 도구를 선택하세요.
흥미롭게도 보고서는 사용자가 자발적으로 데이터를 공유하는 대가로 보상을 지급하는 일부 확장 프로그램도 언급했습니다. 적어도 이 경우에는 사용자가 데이터를 돈과 맞바꾼다는 사실을 명확히 알고 동의한다는 점에서 투명하다고 볼 수 있습니다. 더 큰 문제는 대부분의 사람이 읽지 않는 모호한 법률 문구 뒤에 숨어, 훨씬 더 거대한 생태계가 조용히 사용자 행동을 수집하고 수익화하고 있다는 점입니다. 그리고 결국, 브라우징 데이터를 판매해 광고 생태계로 되돌려보내는 광고 차단기는 사실상 광고와 싸우고 있는 것이 아닙니다. 그저 광고 시스템의 또 다른 부분에 먹이를 주고 있을 뿐입니다.








