나는 Mozilla의 추천 확장 프로그램만 사용하는 편임
이 프로그램은 Mozilla 보안 전문가들이 직접 코드 검토를 거친 확장만 포함함
Google은 사람을 고용하기 싫어하지만, 이런 영역은 자동 스캔이 아닌 사람의 눈이 꼭 필요한 부분임 Mozilla Recommended Extensions Program
IT 전문가나 파워 유저들은 이런 조치를 취할 수 있지만, 일반 사용자는 화려한 기능 설명에 속아 악성 확장을 설치하기 쉬움 사회공학 공격은 기술적 수단만으로 막을 수 없으며, 결국 일반 사용자들의 보안 인식이 높아지거나, 아니면 컴퓨팅 기기가 점점 폐쇄적인 구조로 바뀌게 될 위험이 있음
더 철저하게 하려면 XPI 파일을 직접 압축 해제해 코드 검토를 하는 것도 방법임
단순한 기능의 확장인데 코드가 과도하게 복잡하면 의심해야 함
확장이 폐쇄형 블롭으로 바뀌는 순간이 오면 도망칠 때임
하지만 Mozilla가 모든 업데이트를 매번 검토하는지 의문임
한 번만 심사하고 이후 업데이트에서 악성 기능을 추가해도 계속 ‘추천’ 배지를 유지할 수 있다면 위험함
대부분의 코드베이스는 수백만 줄이라 수동 검토가 사실상 불가능함
TypeScript 같은 언어로 컴파일된 경우, 원본을 받아도 빌드 과정이 복잡해 검증이 어려움
악성 코드는 절대 main.ts에 있지 않고, 깊숙한 라이브러리 체인 속에 숨겨져 있을 가능성이 큼
흥미롭게도 기사에 따르면 이 확장은 실제로 수동 검토를 통과한 “Featured” 배지를 받았다고 함
이 확장 프로그램의 배후 회사는 Urban Cyber Security Inc. 로, 델라웨어에 등록된 실제 법인처럼 보임
주소와 전화번호까지 공개되어 있음 회사 정보, 공식 사이트, 비즈니스 등록 정보
겉보기엔 매우 합법적으로 보여서, 어쩌면 이들도 피해자일 가능성이 있음
하지만 이런 외형만으로 합법성을 판단하는 건 위험함
몇 백 달러면 이런 법인을 꾸릴 수 있고, 가상 사무실 주소와 간단한 웹사이트만으로도 충분히 그럴듯하게 보일 수 있음
인터넷에서 보는 정보는 항상 의심해야 함
실제로 Urban VPN은 BiScience라는 데이터 브로커 회사와 연관되어 있음
이 회사는 과거에도 사용자 클릭스트림 데이터 수집으로 연구자들의 주목을 받았음
동일한 데이터 수집 기능이 여러 확장에서 발견되었고, 무료 서비스라는 점에서 매우 수상함
“한 번은 우연, 두 번은 우연의 일치, 세 번은 적대 행위”라는 말이 떠오름
미국 내 주소 등록과 전화번호 확보는 월 15달러면 가능하고, 법인 설립도 몇 백 달러면 충분함
나는 Google의 검토팀이 내 확장 절반을 거절하는 걸 보고 놀랐음
Uber Driver 앱은 백그라운드 위치 접근을 항상 허용해야 하는데, 설정에서 바꿀 방법이 없음 관련 포럼 글
Google이 사용자 보호에 진심이라면 WhatsApp 같은 앱의 지속적인 마이크 권한 요구를 막았어야 함
Meta 앱만 유독 “매번 묻기” 옵션을 무시함
Google은 사용자보다 광고주를 더 신경 쓰는 듯함
아마 “While using” 권한이 백그라운드 내비게이션 실행을 포함하기 때문일 것임
Apple의 개발자 문서에 설명되어 있음
앱 권한 구분이 애매한 경우도 있음
예를 들어 블루투스 연결만 필요한데도 “위치 데이터 접근” 권한을 요구하는 식임
브라우저 확장의 권한 모델이 근본적으로 잘못됨
설치 시 모든 권한을 한 번에 부여하고, 이후 업데이트에서 무슨 일이 생길지 모름
iOS처럼 런타임 권한 요청이 필요함
“Recommended” 배지는 임시방편일 뿐이며, “모든 사이트의 데이터 읽기/변경” 권한이 필요한 확장은 애초에 존재하지 말아야 함
현재는 특정 사이트 하나 또는 모든 사이트 중 하나만 선택 가능해서 너무 극단적임
일부 사이트에만 적용되는 확장도 모든 사이트 접근 권한을 요구함
2025년쯤엔 더 세밀한 샌드박스 기반 권한 모델이 필요하다고 생각함
“몇 주 전 인생의 중요한 결정을 내릴 때 Claude를 열었다”는 문장을 보고 놀랐음
정말 우리가 이런 시대에 살고 있는 것 같음
예전엔 제비뽑기로 결정을 내렸는데, 이제는 이해 능력 없는 예측기에게 맡기는 시대임
인간은 생각의 혼란을 피하려고 점점 AI에 의존하게 됨
어떤 사람들은 생각을 글로 써야 정리됨
그런 면에서 그들의 뇌는 LLM처럼 작동한다고 볼 수 있음
나로선 AI에게 결정을 맡기는 게 미친 일처럼 느껴짐
Claude를 두 번 써봤지만 별로 도움이 안 됐음
DuckDuckGo의 AI 요약 정도만 가끔 씀
하지만 HBR 조사에 따르면 ChatGPT의 가장 흔한 사용 사례가 ‘치료/대화 상대’ 라고 함 출처
인생 결정을 AI에 맡기는 건 어리석지만, 생각을 정리하고 질문하는 도구로는 유용함
과거 BiScience의 트래킹 행위를 직접 본 적이 있어서 이번 일도 놀랍지 않음
예전에 Cyberhaven 확장 해킹 사건에서도 언급된 적 있음 관련 블로그 1, 관련 블로그 2
왜 그렇게 많은 사람들이 무료 VPN을 신뢰하는지 이해가 안 됨
“우리에게 모든 트래픽을 맡겨라, 우리는 무료다”라니, 절대 사양임
ISP는 정부 요청에 따라 모든 접속 기록을 제공하지만, Mullvad 같은 VPN은 KYC 없이 운영되어 실제로 수색 영장에도 고객 데이터가 노출되지 않았음 관련 사례
ISP도 모든 트래픽을 처리하므로 VPN과 다를 바 없음
그래서 TLS가 존재하는 것임
인터넷 트래픽은 기본적으로 감청된다고 봐야 함
일부 저소득 국가에서는 접근 제한 때문에 무료 VPN을 쓸 수밖에 없음
하지만 개인적으로는 Mullvad/IVPN/ProtonVPN 외엔 신뢰하지 않음
대부분은 단순히 차단된 콘텐츠(토렌트, 성인물, 도박 등)를 보기 위해 무료 VPN을 씀
이런 사람들은 장기 계약을 피하려고 “무료 VPN”을 검색해 바로 설치함
사실 이런 습관은 확장 프로그램 남용과도 비슷함
그래도 TLS 덕분에 은행 정보까지 털리진 않음
Google은 이런 확장을 더 철저히 검토하고 제거해야 함
신뢰성이 핵심이며, LastPass나 Ward 같은 확장은 실제로 가치가 있음 공개 확장 보안 디렉터리 같은 시스템이 필요함
하지만 코드 리뷰로 이런 문제를 잡을 수 있을지 의문임
확장이 “AI 보호 도구”라며 데이터를 수집하는 건 기능상 일관됨
문제는 코드가 아니라 정책과 데이터 활용 방식임
자동화된 검토만으로는 한계가 있음
일정 설치 수 이상이면 사람이 직접 검토해야 하지만, Google은 이런 방식을 선호하지 않음
Google이 정말 코드 리뷰를 하고 있는지도 의문임
코드 리뷰로는 사용자의 대화 데이터가 이후 어떻게 쓰이는지 알 수 없음
Manifest V3가 Chrome 확장을 더 안전하게 만든다고 들었는데, 정말 그런지 의문임
그래도 Manifest V3 덕분에 코드가 확장 내부에 포함되어 외부 스크립트 로딩을 막을 수 있었음
예전엔 이런 감지가 불가능했음
하지만 결국 “그들이 어떻게 돈을 버는가?”라는 질문으로 돌아감
이번 사건은 시스템이 해킹된 게 아니라, 처음부터 사기성 확장이었음
예전엔 Greasemonkey로 커스터마이징을 즐겼지만, 지금은 Privacy Badger와 Ublock Origin 같은 오픈소스 확장만 신뢰함
그래도 여전히 위험은 존재함
Hacker News 의견들
나는 Mozilla의 추천 확장 프로그램만 사용하는 편임
이 프로그램은 Mozilla 보안 전문가들이 직접 코드 검토를 거친 확장만 포함함
Google은 사람을 고용하기 싫어하지만, 이런 영역은 자동 스캔이 아닌 사람의 눈이 꼭 필요한 부분임
Mozilla Recommended Extensions Program
사회공학 공격은 기술적 수단만으로 막을 수 없으며, 결국 일반 사용자들의 보안 인식이 높아지거나, 아니면 컴퓨팅 기기가 점점 폐쇄적인 구조로 바뀌게 될 위험이 있음
단순한 기능의 확장인데 코드가 과도하게 복잡하면 의심해야 함
확장이 폐쇄형 블롭으로 바뀌는 순간이 오면 도망칠 때임
한 번만 심사하고 이후 업데이트에서 악성 기능을 추가해도 계속 ‘추천’ 배지를 유지할 수 있다면 위험함
TypeScript 같은 언어로 컴파일된 경우, 원본을 받아도 빌드 과정이 복잡해 검증이 어려움
악성 코드는 절대 main.ts에 있지 않고, 깊숙한 라이브러리 체인 속에 숨겨져 있을 가능성이 큼
이 확장 프로그램의 배후 회사는 Urban Cyber Security Inc. 로, 델라웨어에 등록된 실제 법인처럼 보임
주소와 전화번호까지 공개되어 있음
회사 정보, 공식 사이트, 비즈니스 등록 정보
겉보기엔 매우 합법적으로 보여서, 어쩌면 이들도 피해자일 가능성이 있음
몇 백 달러면 이런 법인을 꾸릴 수 있고, 가상 사무실 주소와 간단한 웹사이트만으로도 충분히 그럴듯하게 보일 수 있음
인터넷에서 보는 정보는 항상 의심해야 함
The Mill Space의 델라웨어 주소도 코워킹 스페이스임
이 회사는 과거에도 사용자 클릭스트림 데이터 수집으로 연구자들의 주목을 받았음
동일한 데이터 수집 기능이 여러 확장에서 발견되었고, 무료 서비스라는 점에서 매우 수상함
“한 번은 우연, 두 번은 우연의 일치, 세 번은 적대 행위”라는 말이 떠오름
참고 링크
나는 Google의 검토팀이 내 확장 절반을 거절하는 걸 보고 놀랐음
Uber Driver 앱은 백그라운드 위치 접근을 항상 허용해야 하는데, 설정에서 바꿀 방법이 없음
관련 포럼 글
Meta 앱만 유독 “매번 묻기” 옵션을 무시함
Google은 사용자보다 광고주를 더 신경 쓰는 듯함
Apple의 개발자 문서에 설명되어 있음
예를 들어 블루투스 연결만 필요한데도 “위치 데이터 접근” 권한을 요구하는 식임
브라우저 확장의 권한 모델이 근본적으로 잘못됨
설치 시 모든 권한을 한 번에 부여하고, 이후 업데이트에서 무슨 일이 생길지 모름
iOS처럼 런타임 권한 요청이 필요함
“Recommended” 배지는 임시방편일 뿐이며, “모든 사이트의 데이터 읽기/변경” 권한이 필요한 확장은 애초에 존재하지 말아야 함
일부 사이트에만 적용되는 확장도 모든 사이트 접근 권한을 요구함
2025년쯤엔 더 세밀한 샌드박스 기반 권한 모델이 필요하다고 생각함
“몇 주 전 인생의 중요한 결정을 내릴 때 Claude를 열었다”는 문장을 보고 놀랐음
정말 우리가 이런 시대에 살고 있는 것 같음
인간은 생각의 혼란을 피하려고 점점 AI에 의존하게 됨
그런 면에서 그들의 뇌는 LLM처럼 작동한다고 볼 수 있음
Claude를 두 번 써봤지만 별로 도움이 안 됐음
DuckDuckGo의 AI 요약 정도만 가끔 씀
출처
과거 BiScience의 트래킹 행위를 직접 본 적이 있어서 이번 일도 놀랍지 않음
예전에 Cyberhaven 확장 해킹 사건에서도 언급된 적 있음
관련 블로그 1, 관련 블로그 2
왜 그렇게 많은 사람들이 무료 VPN을 신뢰하는지 이해가 안 됨
“우리에게 모든 트래픽을 맡겨라, 우리는 무료다”라니, 절대 사양임
관련 사례
그래서 TLS가 존재하는 것임
인터넷 트래픽은 기본적으로 감청된다고 봐야 함
하지만 개인적으로는 Mullvad/IVPN/ProtonVPN 외엔 신뢰하지 않음
이런 사람들은 장기 계약을 피하려고 “무료 VPN”을 검색해 바로 설치함
사실 이런 습관은 확장 프로그램 남용과도 비슷함
Google은 이런 확장을 더 철저히 검토하고 제거해야 함
신뢰성이 핵심이며, LastPass나 Ward 같은 확장은 실제로 가치가 있음
공개 확장 보안 디렉터리 같은 시스템이 필요함
확장이 “AI 보호 도구”라며 데이터를 수집하는 건 기능상 일관됨
문제는 코드가 아니라 정책과 데이터 활용 방식임
일정 설치 수 이상이면 사람이 직접 검토해야 하지만, Google은 이런 방식을 선호하지 않음
Manifest V3가 Chrome 확장을 더 안전하게 만든다고 들었는데, 정말 그런지 의문임
예전엔 이런 감지가 불가능했음
이번 사건은 시스템이 해킹된 게 아니라, 처음부터 사기성 확장이었음
예전엔 Greasemonkey로 커스터마이징을 즐겼지만, 지금은 Privacy Badger와 Ublock Origin 같은 오픈소스 확장만 신뢰함
그래도 여전히 위험은 존재함