메뉴
한국어

연구에 따르면 확장 프로그램이 웹사이트에서 비밀번호를 훔칠 수 있다고 합니다. 걱정할 필요가 있을까요?

위스콘신-매디슨 대학교의 최근 연구에 따르면 Chrome의 상당수 확장 프로그램(약 12.5%)이 사용자로부터 민감한 개인 정보에 액세스할 수 있는 권한을 받은 것으로 나타났습니다. 이 연구는 주로 평판이 좋은 웹사이트의 소스 코드 내에 평문으로 저장되는 경우가 많은 비밀번호에 초점을 맞추고 있습니다. 이러한 보호되지 않은 비밀번호는 데이터를 많이 사용하는 악의적인 확장 프로그램의 쉬운 표적이 될 수 있습니다.

연구진은 조사 대상 웹사이트의 15%에서 (Google,Cloudflare 등 ) 비밀번호가 HTML 소스 코드에 일반 텍스트로 존재한다는 사실을 발견했습니다. 연구진은 부주의한 웹사이트 개발자 태도와 상대적으로 느슨한 확장 프로그램 개발자 Chrome 규칙이 결합된 상황이 공격자에게 취약점으로 악용될 수 있는 것으로 보고 있습니다. 연구 과정에서 비밀번호 필드에 직접 액세스하는 190개의 확장 프로그램을 확인했으며, 여기에는 1,000만 건 이상의 다운로드를 자랑하는 인기 확장 프로그램인 AdBlockPlusHoney가 포함되어 있습니다.

연구 내용 발췌
출처

연구진은 다음과 같이 언급했습니다.

연구원들은 "매니페스트 파일(확장 프로그램의 기능과 사용하는 파일에 대한 중요한 정보를 제공하는 JSON 형식의 파일)을 분석한 결과, 12.5%(17.3천 개)의 확장 프로그램이 모든 웹페이지에서 민감한 정보를 추출하는 데 필요한 권한을 가지고 있는 것으로 나타났습니다."라고 말했습니다.

구글 크롬의 새로운 확장 프로그램 플랫폼인 매니페스트 V3는 확장 프로그램이 수행할 수 있는 작업에 제약을 가했지만, 연구진은 이러한 조치가 보안에 대한 위험을 실질적으로 완화하지 못한다는 사실을 발견했습니다. 연구진은 다음과 같이 주장했습니다: "MV3가 사용자 개인정보 보호와 보안을 개선하기 위한 의도에도 불구하고 콘텐츠 스크립트의 작동 방식은 그대로 유지되고 있습니다. 이로 인해 확장 프로그램과 웹페이지 사이에 보안 경계가 없는 상태가 유지되고 확장 프로그램이 DOM 트리에 로드되면서 웹페이지에 제한 없이 액세스할 수 있어 사용자에게 보안 위험을 초래할 수 있습니다."

별로 안 좋게 들리지 않나요? 그 이유를 알아봅시다.

신뢰의 중요성

광고 차단 확장 프로그램(다른 확장 프로그램과 마찬가지로)이 위험해 보이는 권한을 요구하는 것은 사실이지만, 본질적으로 악의적이거나 데이터를 훔치려는 의도가 있어서가 아닙니다. 이러한 권한은 확장 프로그램이 제대로 작동하는 데 필수적입니다. 확장 프로그램이 올바르게 작동하려면 확장 프로그램 자체를 신뢰해야 합니다.

사실 확장 프로그램이 데이터를 통해 사용자에 대해 얼마나 많은 정보를 얻을 수 있는지에 대한 경고가 울린 것은 이번이 처음이 아닙니다. 이 문제는 Chrome에만 국한된 것이 아니며, Firefox와 같은 다른 브라우저의 확장 프로그램에도 동일한 권한이 있습니다. 광고 차단기뿐만 아니라 비밀번호 관리자, 생산성 도구 등 웹페이지의 콘텐츠를 수정해야 하는 모든 확장 프로그램은 해당 웹페이지의 정보에 대한 광범위 액세스 권한을 필요로 합니다. 그 기술적 이유는 이러한 확장 프로그램이 웹페이지의 HTML 요소를 읽고 변형하여 목적을 달성할 수 있는 프로그래밍 언어인 JavaScript를 사용하기 때문입니다. 예를 들어, 비밀번호 관리자는 JavaScript를 사용하여 입력 필드에 비밀번호와 사용자 이름을 삽입합니다. 반면에 생산성 도구는 방해 요소를 차단하고, 시간을 추적하면서, 웹페이지를 저장하는 데 사용합니다. 그렇다면 광고 차단기는 어떨까요?

광고 차단기는 자바스크립트를 실행하여 웹페이지에서 차단 목록과 일치하는 광고 스크립트 및 기타 요소를 검색하여 차단할 수 있습니다. 또한 차단된 광고에 의해 남겨졌을 수 있는 빈 공간과 깨진 요소를 숨길 수 있습니다. 이 프로세스를 "외관 처리"라고 합니다.

크롬 웹 브라우저 스토어에 있는 AdGuard 확장 프로그램 설명에 특정 권한이 필요한 이유를 투명하게 공개하고 있습니다.

AdGuard 권한

따라서 광고를 차단하고 웹페이지가 깔끔하게 보이도록 외관상 규칙을 적용하려면 모든 웹사이트의 데이터를 읽고 변경할 수 있는 권한(Chrome의 '호스트 권한')과 탭에 액세스할 수 있는 권한('탭 권한')이 필요하다고 설명합니다. 또한 광고 차단 스크립트를 삽입할 시점, 즉 페이지에 광고가 로드되기 전을 포착하려면 웹 탐색 권한이 필요합니다.

요약하자면, AdGuard 확장 프로그램뿐만 아니라 다른 많은 확장 프로그램도 작동하려면 침입처럼 보이는 권한이 필요할 수 있습니다. 궁극적으로 이러한 권한을 부여할 만큼 해당 개발자와 해당 권한이 필요한 이유를 신뢰할 수 있는지는 사용자의 선택에 달려 있습니다.

그렇다면 걱정해야 할까요?

예, 큰 틀에서 보면 그래야 합니다. 웹페이지에서 데이터에 액세스할 수 있는 확장 프로그램을 설치할 때는 주의해야 합니다. 설치하려는 확장 프로그램이 악성 확장 프로그램일 가능성이 매우 낮더라도 웹사이트의 HTML 소스 코드에 일반 텍스트로 저장된 비밀번호나 은행 정보를 훔칠 수 있습니다. 추가 기능에는 위험이 따르며, 이는 애드온뿐만 아니라 다른 서비스 및 기기에도 적용됩니다. 예를 들어 Wi-Fi 지원 진공청소기나 센서가 장착된 최신 자동차를 들 수 있습니다. 따라서 본론으로 들어가면, 광고 차단과 같은 애드온의 기능을 허용할 때 보안 및 개인정보 보호에 대한 더 높은 수준의 위험을 감수해야 합니다. 이러한 절충안이 공평하다고 생각하든 그렇지 않든 간에, 이는 피할 수 없는 선택입니다.

2018년에 Mozilla는 '무서운' 권한을 포함한 확장 프로그램에 대한 블로그 게시물을 작성했습니다. 이 글에서는 광고 차단기와 같은 확장 프로그램이 필요한 이유를 설명하고, 설치와 관련된 위험에 대해서도 지적했습니다.

그러나 악의적인 개발자가 확장 프로그램의 기능에 대해 거짓말하는 경우는 여전히 드물다고 Firefox는 언급했습니다.

Mozilla 블로그

출처: Mozilla

"드물게" 발생하는 것 조차도 몇 사람들은 자주 발생하는 것이라고 주장할 수 있습니다. 이 문제에 대해 침묵한다고 해서 좋은 결과를 얻을 수 있는 것은 아닙니다. 몇 년 전, 저희는 합법적인 광고 차단 확장 프로그램의 코드를 도용하여 브라우저의 동작을 어떤 식으로든 변경할 수 있는 악성 광고 차단 확장 프로그램을 여러 개 발견했습니다. 당시 저희는 20,000,000명 이상의 사용자가 이러한 가짜 광고 차단기의 영향을 받을 수 있다고 추정했습니다. 그렇다면 이제 어떻게 해야 확장 프로그램이 사용자의 모든 검색 활동을 볼 수 있도록 허용하는 것을 더 편안하게 할 수 있을까요?

확장 프로그램이 안전한 것으로 간주되기 위해 충족해야 하는 체크리스트는 다음과 같습니다.

  • 확장 프로그램의 작성자는 명확하게 명시되어 있고 실제 주소가 있으며 이상적으로는 수년 동안 업계에 종사해 온 사람이어야 합니다.

  • 개인정보취급방침은 명확하고 사용자 친화적입니다.

  • 권한 부여 사유가 명확하게 명시되어 있고 확장 목적과 일치합니다.

  • 확장 프로그램은 오픈 소스입니다. 모든 커밋 목록을 볼 수 있으며 항상 사용할 수 있습니다(예: Chrome용 AdGuard 광고 차단기 확장 프로그램은 무료이며 공개되어 있습니다).

  • 개발자는 온라인 상태를 유지하고 사용자가 소셜 미디어, 웹사이트 또는 전용 지원 센터를 통해 쉽게 연락할 수 있으며 적시에 응답을 제공합니다.

  • 이 확장 프로그램에는 긍정적인 평가와 호의적인 리뷰들이 있습니다. 봇에 의해 리뷰가 조작되거나 확장 프로그램이 작동한다는 사실에 감사해 하는 일반 사용자도 리뷰를 남길 수 있기 때문에 안전을 보장하는 것은 아닙니다.

이 게시물을 좋아하시나요?

Windows용 AdGuard

Windows용 AdGuard는 단순한 광고 차단기가 아니라 광고를 차단하고 위험한 사이트에 대한 액세스를 제어하는 다목적 프로그램입니다. 또한 페이지 로딩 속도를 높이고 유해한 사이트로부터 어린이를 보호합니다.
사용자 리뷰: 13550
최대 5점 중 4.7점
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.
자세히 알아보기

Mac용 AdGuard

다른 광고 차단기들과 달리, AdGuard는 macOS에서 최적화되도록 디자인되었습니다. 앱과 브라우저의 광고뿐만 아니라 추적, 피싱 및 사기로부터 사용자를 보호합니다.
사용자 리뷰: 13550
최대 5점 중 4.7점
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.
자세히 알아보기

Android용 AdGuard

Android용 AdGuard는 Android 모바일 기기를 위한 이상적인 해결책입니다. AdGuard는 대부분의 다른 광고 차단기와 달리 AdGuard는 루트 권한이 필요하지 않으며 다양한 앱 관리 옵션을 제공합니다.
사용자 리뷰: 13550
최대 5점 중 4.7점
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.

iOS용 AdGuard

최고의 Safari용 광고 차단기: 성가신 팝업 광고를 없애 버리고, 페이지를 불러오는 속도를 높이고, 개인 데이터를 보호해줍니다. 수동 요소 차단 도구나 사용자 마음대로 바꿀 수 있는 설정을 통하여 필터링을 필요에 맞게 정확히 조정할 수 있습니다.
사용자 리뷰: 13550
최대 5점 중 4.7점
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.

AdGuard 브라우저 확장프로그램

AdGuard는 웹 모든 페이지에 있는 온갖 종류의 광고를 효과적으로 차단하는 확장 프로그램이며 빠르고 가볍습니다! 빠른 브라우저를 위해 AdGuard를 선택해서 광고를 제거하고 안전하게 이용하세요.
사용자 리뷰: 13550
최대 5점 중 4.7점

Safari용 AdGuard

Apple 사가 모든 사용자에게 새로운 SDK를 사용하게끔 강요한 후부터 확장형 Safari 광고 차단 프로그램들은 좋은 효과를 내지 못했습니다. AdGuard는 다시 Safari에 뛰어난 성능의 광고 차단 기능을 제공해 줄 것입니다.
사용자 리뷰: 13550
최대 5점 중 4.7점
App Store
다운로드
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.

AdGuard Home

AdGuard Home은 광고 및 추적을 차단하는 네트워크 전반에 걸친 소프트웨어입니다. 설정한 후에는 모든 가정용 기기에 적용되므로 클라이언트 소프트웨어가 필요하지 않습니다. 사물인터넷(IoT)의 확산과 인터넷과 연결된 장치의 증가로 전체 네트워크를 제어하는 것이 점점 더 중요해지고 있습니다.
사용자 리뷰: 13550
최대 5점 중 4.7점

AdGuard 콘텐츠 차단기

AdGuard 콘텐츠 차단기는 Samsung Internet, Yandex.Browser와 같이 콘텐츠 차단 기술을 지원하는 모바일 브라우저의 모든 종류의 광고를 제거합니다. Android용 AdGuard보다 제한적이기는 하지만, 설치가 간편하며 무료로 높은 광고 차단 품질을 제공합니다.
사용자 리뷰: 13550
최대 5점 중 4.7점
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.
자세히 알아보기

AdGuard Assistant

AdGuard 데스크톱 앱와 함께하는 브라우저 확장 프로그램입니다. 브라우저 내부에서 사용자 지정 요소 차단, 사이트를 화이트리스트에 추가, 리포트 전송과 같은 기능을 제공합니다.
사용자 리뷰: 13550
최대 5점 중 4.7점
Chrome용 어시스턴트 현재 사용하고 계신 브라우저가 맞나요?
설치
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.
Firefox용 어시스턴트 현재 사용하고 계신 브라우저가 맞나요?
설치
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.
Edge용 어시스턴트 현재 사용하고 계신 브라우저가 맞나요?
설치
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.
Opera용 어시스턴트 현재 사용하고 계신 브라우저가 맞나요?
설치
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.
Yandex용 어시스턴트 현재 사용하고 계신 브라우저가 맞나요?
설치
프로그램을 내려받음으로써 라이선스 계약에 동의하게됩니다.
Safari용 어시스턴트 현재 사용하고 계신 브라우저가 맞나요?
브라우저를 찾을 수 없는 경우, AdGuard 확장 설정에서 찾을 수 있는 구버전의 어시스턴트를 사용해보세요.

AdGuard Temp Mail β

익명을 보장하고 개인정보를 보호하는 무료 임시 이메일 주소 생성기입니다. 더 이상 기본 받은 편지함에 스팸이 없습니다!
사용자 리뷰: 13550
최대 5점 중 4.7점

Android TV용 AdGuard

Android TV용 AdGuard는 광고를 차단하고 개인 정보를 보호하며 스마트 TV용 방화벽 역할을 하는 유일한 앱입니다. 웹 위협에 대한 경고를 받고, 보안 DNS를 사용하면 트래픽이 암호화됩니다. 좋아하는 프로그램을 광고 없이 안전하게 시청하세요!
사용자 리뷰: 13550
최대 5점 중 4.7점
AdGuard 다운로드 시작 AdGuard를 설치하려면 화살표가 가리키는 파일을 클릭하세요 "열기"를 선택한 다음 "확인"을 누른 후, 다운로드가 완료될 때까지 기다리세요. 창이 열려있다면, AdGuard를 "애플리케이션" 폴더에 드래그해주세요. AdGuard를 선택해주셔서 감사합니다! "열기"를 선택 후 "확인"을 클릭한 다음, 다운로드가 완료될 때까지 기다리세요. 열렸으면, "설치"를 눌러주세요. AdGuard를 선택해 주셔서 감사합니다!
모바일 기기용 AdGuard도 설치할 수 있습니다