오픈소스 Chrome 확장 프로그램 개발자의 유혹
(github.com/extesy)- Hover Zoom+ 유지관리자는 2015년부터 2026년까지 받은 확장 프로그램 수익화·인수 제안을 공개하며, 사용자를 팔지 않기 위해 제안을 거절해 왔다고 밝힘
- 제안은 익명 사용자 데이터 판매, 검색 트래픽 수익화, affiliate 링크 삽입, 광고·쿠폰 노출, SDK 설치, 확장 프로그램 인수처럼 브라우저 권한과 사용자 기반을 돈으로 바꾸는 방식이 반복됨
- 제안서들은 “익명”, “개인정보 없음”, “UX 영향 없음”, “Google 정책 준수”를 강조하면서도 DNS 오류, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream, 검색 쿼리 같은 행동 데이터를 요구함
- 유지관리자는 Hover Zoom+가 여러 브라우저에서 약 40만 사용자를 갖고 모든 페이지에서 동작하기 때문에, 악의적 행위자에게 큰 공격 표면과 수익 가능성을 만든다고 설명함
- 댓글 논의에서는 소스 코드 확인, 권한 목록 검토, Chrome Web Store의 privacy practices 탭, 최근 리뷰, 네트워크 요청 확인, Site Access를 “On Click”으로 제한하는 방식이 확장 프로그램 위험을 줄이는 실용적 방법으로 제시됨
유지관리자가 공개한 문제의식
- Hover Zoom+ 유지관리자는 수년간 확장 프로그램을 수익화하자는 제안을 많이 받았고, “재미로 공개하지만 이익을 위해서는 아니다”라고 밝힘
- 계속 유지보수하는 가장 큰 이유는 다른 사람에게 맡겼을 때 이런 제안에 넘어가지 않을 것이라고 신뢰하기 어렵기 때문이라고 설명함
- 본인은 충분히 보수가 좋은 직업이 있어 “도덕적 나침반”을 유지하고 제안을 무시할 수 있었다고 말함
- 모든 개발자가 같은 재정적 안정성을 가진 것은 아니므로, 이 스레드가 확장 프로그램 개발자가 받는 금전적 압박을 보여주길 바란다고 함
반복되는 수익화 제안의 유형
- 많은 제안은 Hover Zoom+의 Chrome Web Store 사용자 기반을 이유로 “상당한 수익”을 만들 수 있다고 접근함
- 반복적으로 등장한 방식은 다음과 같음
- 익명 사용자 데이터를 수집해 광고 타기팅, 시장 조사, 비즈니스 인텔리전스, clickstream 데이터로 판매
- Bing, Yahoo, Google 검색 또는 search lander/feed를 추가해 검색 쿼리와 광고 클릭에서 수익 배분
- organic search 결과에 store logo, affiliate link, “Sponsored” 링크를 넣어 구매 발생 시 수수료 지급
- coupon, cashback, PopUnder, in-text, new tab, search injection, in-image monetization 같은 광고 포맷 삽입
- SDK나 JS 몇 줄을 추가해 데이터 수집 또는 광고 노출 기능을 확장 프로그램에 통합
- 확장 프로그램 자체를 인수하거나 Google 계정 이전 없이 Chrome extension ownership을 이전하자는 제안
- 일부 제안은 “soft to hard methods”, “invisible monetization methods”, “does not interfere with UX”처럼 사용자에게 잘 보이지 않는 수익화를 강조함
제안서에 등장한 데이터와 금액
- 2015년 제안 중 하나는 anonymous user data를 수익화하지 않으면 “많은 돈을 놓치고 있을 수 있다”고 말하며, NAI와 IAB 승인 광고 네트워크를 언급함
- 2016년 DNS 오류 연구 제안은 다음 데이터를 요구함
- NXD, 즉 사용자가 입력했지만 존재하지 않는 도메인
- 발생 시간
- GEO
- 해시 가능하고 사용자 추적이 불가능하다고 주장한 고유 랜덤 사용자 ID
- 2020년 이후 제안에는 GEO, 일간·월간 활성 사용자, 관심사 분류, URL, referrer, country, timestamp, browsing behavior, clickstream, browser history 같은 항목이 반복됨
- 제안 금액은 매우 다양함
- 2016년 확장 프로그램 구매 제안: $14,500
- 2020년 analytics platform 통합 제안: $2,000/월
- 2020년 검색 수익화 제안: 300,000 사용자 기준 하루 $9,000 가능하다고 주장
- 2021년 데이터 marketplace SDK 통합 제안: $30,000/년
- 2023년 데이터 제안: 최대 $20K/월
- 2024년 clickstream data partnership 제안: $30,000~$40,000/월
- 2024년 구매 제안: $30,000
- 2025년 구매 제안: 사용자당 $0.05~$0.15
- 2024년 말 한 구독 수익화 제안은 400,000+ 사용자 기반에서 5% 전환을 가정해 $0.99/월이면 약 $19,800/월, $4.99/월이면 약 $99,800/월, $9.99/월이면 약 $199,800/월을 예시로 제시함
유지관리자의 대응과 판단 기준
- 회사명을 공개하지 않는 이유에 대해, 일부 회사는 부유하고 합법적으로 운영될 수 있으며 소송 위험을 감수하고 싶지 않다고 답함
- 팝업 광고는 사용자가 알아차리고 원인 확장 프로그램을 비활성화하기 쉽지만, 은밀한 방식은 오래 지속될 수 있다고 설명함
- 원격 측정에 대해 유지관리자는 사용자 관점에서는 유용성과 추적의 침해성 사이에서 균형을 보지만, 개발자 관점에서는 추적을 전혀 넣지 않는 것이 가장 넓은 사용자층에 도달하고 익명화 수준 논쟁도 피한다고 말함
- Hover Zoom+ 이름이 과거 악성 논란이 있던 Hover Zoom과 혼동된다는 지적에는, 모든 사용자를 확보하는 것이 목표가 아니며 30만 명 이상이 이미 가치를 느꼈고 무료·무수익 확장이라 이름 변경이나 추가 입증에 시간을 쓰지 않겠다고 답함
- 2023년 댓글에서 유지관리자는 Hover Zoom+가 가치 있는 이유를 두 가지로 정리함
- 모든 브라우저 합산 약 40만 사용자
- 특정 사이트가 아니라 모든 페이지에서 활성화됨
- 이 두 요소가 결합되어 최종 사용자에 대한 큰 잠재적 공격 표면을 만들고, 악의적 행위자에게 큰 잠재 수익을 뜻한다고 설명함
사용자와 개발자를 위한 위험 신호
- 한 댓글은 확장 프로그램이 인수된 뒤 다음 버전에 adware나 botnet script가 들어갈 수 있으며, 기존 권한 때문에 추가 권한 팝업 없이 동작할 수 있다고 지적함
- 다른 댓글은 일부 데이터 제안이 AdTech/RTB 목적의 사용자 데이터 판매와 연결될 수 있다고 설명하며 Privacy International의 adtech 자료를 링크함
- DNS 오류 데이터를 요구하는 제안에 대해, 한 댓글은 일반 오타 도메인이나 만료 도메인을 확보해 사용자의 이동을 가로채려는 의도일 수 있다고 해석함
- The Great Suspender 사례를 언급한 댓글은 일부 거래가 SDK 설치가 아니라 repository 또는 확장 프로그램 소유권 이전을 노린다고 지적함
- 2026년 제안 중 하나는 you.com 권한, 페이지 내용 읽기, keystroke 캡처, 외부 서버 전송, session cookie 접근, browsing history 수집 패턴을 언급했지만, 유지관리자 메모는 Hover Zoom+가 그런 동작을 하지 않으며 이 회사가 사고 싶어 하는 데이터가 무엇인지 보여준다고 덧붙임
확장 프로그램이 수익화됐는지 확인하는 방법
- 유지관리자는 가장 신뢰할 수 있는 방법은 소스 코드 읽기라고 말함
- 그 외 확인 신호로 다음을 제시함
- Chrome Web Store의 privacy practices 탭에서 개발자가 데이터를 수집하거나 사용하지 않는다고 공개했는지 확인
- public source가 있는지 확인
- 확장 프로그램의 권한 목록이 기능과 맞지 않는 수상한 권한을 요구하는지 확인
- 최근 사용자 리뷰에서 동작에 대한 반복적인 불만 패턴이 있는지 확인
- chrome-stats 같은 사이트의 위험 추정 참고
- 유지관리자는 이 신호들이 모두 조작될 수 있으므로 “무죄 입증”보다는 문제 확인에 가깝다고 덧붙임
- 다른 댓글은 Webpack 등으로 소스 읽기가 어려울 수 있으므로, 확장 프로그램이 만드는 네트워크 요청을 확인하는 방법이 더 쉬울 수 있다고 제안함
- 같은 댓글은 background 또는 service worker의 요청도 확인하고, 많은 확장 프로그램이 필요 이상으로 모든 페이지에서 실행되므로 Chrome의 Site Access를 “On Click”으로 제한하는 방법을 설명함
커뮤니티 반응과 이어진 논의
- 여러 댓글은 유지관리자가 사용자를 팔지 않은 점과 제안을 공개한 점을 지지함
- 한 사용자는 이런 관행에 대한 사용자와 확장 개발자의 인식이 더 필요하다고 말함
- 유지관리자는 악성 확장 프로그램을 둘러싼 상황이 이미 충분히 나쁘며, 더 많은 사람이 알아야 한다고 답함
- Hacker News에 올라왔다는 댓글에 유지관리자는 다른 개발자들이 “stand”를 취하는 데 영감을 받길 바란다고 말함
- 한 확장 개발자는 17만 사용자를 가진 본인도 비슷한 제안을 많이 받았으며, 가난한 대학생으로서 유혹적이지만 비침해적인 다른 방식으로 수익화했다고 말함
댓글과 토론
Hacker News 의견들
-
ChatGPT for Google이 올해 초 HN 1위였는데, 지금 GitHub 저장소를 보면 그 확장 프로그램은 이미 매각됐음
나도 약 25,000 설치 수의 무료 사이드 프로젝트 확장 프로그램이 있었고, “수익화를 도와주겠다”는 연락을 꽤 많이 받았음
그래서 온갖 찝찝한 수익화 경로를 정리해볼 가치가 있다고 느꼈음: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...- 모바일 앱 쪽에서 본 가장 기막힌 제안은 사용자의 마이크를 켜서, 주변 TV 광고 소리를 듣고 오프라인에서 어떤 광고에 노출됐는지 추적하자는 것이었음
광고 기술 업계는 정말 전반적으로 역겨운 분야임 - 확장 프로그램에 11,000달러를 제안받으면 거절하기 꽤 힘들 것 같음
그 돈이면 집 계약금 문제가 훨씬 작아짐
자기 윤리의 선이 어디인지 생각해두는 건 언제나 좋음 - 받은 이메일 중 하나가 링크된 글의 문구와 확장 프로그램 이름만 빼고 완전히 일치해서 전혀 놀랍지 않음
이런 쓰레기성 제안은 상당수가 자동화돼 있는 게 분명함
“저는 [extension name]의 팬이고, 얼마나 편리하고 유용한지 정말 마음에 듭니다.
확장 프로그램에서 자기 제품을 홍보하려는 사람들에게 홍보 지면을 제공하는 걸 고려해보셨나요? 제 확장 프로그램을 [extension name]에서 홍보하고 싶고, 이 가능성을 논의해보고 싶습니다.
관심 있으시면 알려주세요.” 같은 식임
- 모바일 앱 쪽에서 본 가장 기막힌 제안은 사용자의 마이크를 켜서, 주변 TV 광고 소리를 듣고 오프라인에서 어떤 광고에 노출됐는지 추적하자는 것이었음
-
참고로 여기 몇몇이 아마 쓰고 있을 JSON Formatter 확장 프로그램 [0]은 내가 소유하고 있음
12년 전에 만들고 오픈소스로 공개했으며, 지금까지 유지보수해왔고 [1] 현재 사용자는 200만 명임
어떤 데이터도 어디로 보내는 코드를 절대 추가하지 않을 것이고, 그런 짓을 할 사람 손에 넘기지도 않겠다고 엄숙히 맹세함
모두의 데이터를 훔치거나 더 나쁜 짓을 하려는 것으로 보이는 수상한 사람들에게서 혹할 만한 현금 제안을 여러 번 받았음
가끔은 내 이름을 붙이지 말 걸 그랬다고 생각함. 그랬다면 평판을 해치지 않고 돈을 받을 수도 있었을 테니까
하지만 이름을 붙였으니 명예롭게 남는 수밖에 없음. 그래도 장점은 내가 절대 팔아넘기지 않았다고 언제나 말할 수 있다는 것임
[0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
[1] 솔직히 노력은 별로 안 들였음- 예전에 절대 팔지 않고, 최초 릴리스 이후 업데이트도 하지 않겠다고 약속한 확장 프로그램이 있었음
한 줄짜리라 바뀔 일이 전혀 없었기 때문임
그런데 Chrome Web Store가 5년 넘게 지난 뒤 내려버렸고, 아마 업데이트를 한 번도 배포하지 않아서 이제 필수가 된 입력란들이 비어 있었기 때문으로 보임 - 현금 제안이 사용자 수에 선형으로 비례한다면, 그 확장 프로그램은 정말 유혹적이었을 듯함
팔아넘기지 않은 건 존경스러움
내가 하는 것처럼 이런 매수 제안 공개를 시작해볼 생각은 없는지 궁금함 - 이건 정말 이상하게 느껴짐
분명 세상에 가치를 제공하고 있고, 내 도덕관으로는 수상한 짓 없이 그 가치 일부를 회수할 자격이 있어야 함
나는 Streak 창업자이고, 우리는 Grammarly 같은 다른 곳들처럼 확장 프로그램을 직접 수익화함
들인 노력에 대해 사용자들에게 직접 돈을 요청해본 적이 있는지 궁금함 - 그 확장 프로그램을 매일 쓰는 입장에서, 강한 의지를 정말 고맙게 여김
이 업계에서는 날이 갈수록 강한 윤리 의식을 유지하기가 어려워지는 것 같음 - 내가 쓰던 확장 프로그램이 팔려나가면 권한이 바뀔 때 물어보는지 궁금함
아니면 그냥 몰래 끼워 넣는 건지 모르겠음
적어도 위험 신호가 될 팝업 알림은 봤으면 좋겠음
- 예전에 절대 팔지 않고, 최초 릴리스 이후 업데이트도 하지 않겠다고 약속한 확장 프로그램이 있었음
-
유지보수자임
내 확장 프로그램은 사실상 수익화가 거의 불가능해서, 어떤 제안을 받든 어느 정도의 도덕적 희생이 필요함
지금까지 본 가장 덜 침습적인 제안은 내 확장 프로그램 안에 다른 확장 프로그램으로 가는 상호 링크를 넣자는 것이었고, DarkReader가 자기 웹사이트에서 하는 것과 비슷함
사용자 데이터를 침해하지는 않더라도, 그걸 하지 않는 이유는 그 다른 확장 프로그램을 간접적으로 보증하는 셈이고 그들이 사용자 데이터를 어떻게 다루는지는 내가 통제할 수 없기 때문임- 정말 존경할 만한 일을 하고 있음
커지면 “모두가 결국 팔아넘긴다”는, 잘 말해지진 않지만 흔한 인식을 깨는 데 도움이 됨 - 투명하게 말해줘서 고마움
지금은 Chrome을 안 쓰지만 예전에는 Hover Zoom+를 정말 좋아했고, 아내는 지금도 잘 쓰고 있음
훌륭한 확장 프로그램이고, 이 댓글과 링크된 GitHub 이슈를 읽고 나니 더 안심됨 - 예전에 Hover Zoom을 정말 좋아했는데, 한동안 악성코드 논란이 있었던 게 맞는지 아니면 이름이 비슷한 플러그인과 헷갈리는 건지 모르겠음
그때 imagus로 옮겨서 적응했음
어쨌든 수익화 시도를 거절해줘서 고마움
- 정말 존경할 만한 일을 하고 있음
-
이 문제의 해법은 모르겠지만, 사용자에게 실제 돈으로 이미 수익화를 하면서도 사용자 데이터를 연 20파운드 정도에 파는 신뢰받는 합법 회사들을 몇 곳 알고 있음
나는 프라이버시 침해가 내 신념의 핵심에 어긋나기 때문에 절대 그러지 않겠지만, 풀리지 않는 충돌이 있음
한편으로는 사용자 대다수가 단 한 푼을 내기보다 자기 프라이버시를 팔기를 선호한다는 걸 앎
그들은 언제든 “돈 내기” 버튼보다 “내 데이터 팔기” 버튼을 기꺼이 누를 것임
충분히 많은 사용자와 접해봤기 때문에 그렇게 안다고 말할 수 있음
많은 사용자는 무료가 아니면 난리를 치지만, 개인정보를 넘기는 일에는 잠도 못 설침
물론 대체로 다수에 대해 말하는 것임
다른 한편으로는 인터넷이 비양심적인 행위자가 번성하지 않는 곳이 되길 바람
현실 세계에서는 대부분 공짜로 뭔가를 얻을 거라고 기대하지 않는데, 왜 인터넷은 달라야 하는가
왜 모두가, 나 자신까지 포함해서, 인터넷에서는 늘 공짜를 찾는가
최악은 결국 온라인에서 돈을 쓰려는 유일한 주체가 데이터 도둑과 광고주라는 점임
나머지는 자기 영혼을 내주고 있음
개발자는 이 모든 구조가 유지되도록 공짜로 일해야 하는 것처럼 기대됨- “사람들은 언제든 ‘내 데이터 팔기’를 ‘돈 내기’보다 기꺼이 누를 것이다”라고 했지만, 그런 식의 명확한 선택지가 실제로 주어진 적이 없으니 알 수 없음
게다가 “데이터”라는 표현도 보통 사용자에게는 불투명함
EU와 캘리포니아 같은 규제가 바로 이런 걸 강제해야 함
“우리가 당신에 대해 가진 데이터는 이것들입니다: 소름 끼치는 추적의 산물 a,b,c,d...를 포함합니다. 우리가 여러 방식으로 당신의 프라이버시를 침해하도록 허용하면 이 작은 장신구를 무료로 드립니다. 아니면 x원을 내세요”라고 선택지를 제시한다면, 얼마나 많은 사람이 프라이버시 침해를 고를까
인터넷의 상당 부분은 어떤 형태로든 소통임
현실 세계에서도 많은 소통은 무료로 얻음
오히려 왜 모두가 인터넷을 무지한 원주민에게 장신구를 팔아 부자가 되기 위한 플랫폼으로 가정하는지 궁금함
어떤 것은 비영리로 운영하는 편이 더 나을 수도 있음 - 해법은 오픈소스이고 감사를 받은 확장 프로그램일 수 있음
Firefox에는 이미 이런 것이 있는 듯함(https://mzl.la/3Acn4DU)
Chrome 확장 프로그램용 감사자는 아는 곳이 없음
Google이나 Mozilla 같은 신뢰할 만한 조직이나 그룹이 확장 프로그램을 감사해서 악성코드가 없다고 “인증”하게 하면 됨
추가로 확장 프로그램은 100% 오픈소스여야 하며, 신뢰 조직이 침해되거나 일을 못 해도 결국 들통나고 사람들은 사용을 멈출 것임
물론 완벽하지는 않음
광고ware가 감사자에게도 숨겨질 수 있고, 감사자가 침해됐는데 아무도 모를 수도 있음
복잡한 코드가 많은 확장 프로그램일수록 비용과 시간이 많이 들기 때문에, 아무 문제 없는 인기 확장 프로그램도 인증받지 못할 수 있음
변경분도 항상 감사를 받아야 해서 업데이트가 늦어지고 억제됨
쉽게 간과할 수 있는 마지막 문제는 감사자가 특정 확장 프로그램, 예를 들어 돈을 내는 쪽을 승인하는 데 편향될 수 있다는 것임
코드가 너무 읽기 어렵거나 검토 대기열 뒤쪽에 있으면 승인되지 않을 수 있는데, “너무 읽기 어렵다”의 기준과 대기열 위치는 돈으로 쉽게 영향을 받을 수 있음
그래도 웹 확장 프로그램은 다른 앱들에 비해 감사하기 좋은 소프트웨어임
대체로 훨씬 작고 단순하며, 사용자가 필요한 수가 적고, 은행과 기밀 사이트를 포함한 모든 웹 탐색이라는 매우 신뢰된 영역에서 동작하기 때문임
샌드박스된 휴대폰 앱이나 컴퓨터의 사용자 모드 프로그램과 비교하면 피해는 여전히 있지만 훨씬 작음 - 인터넷에는 사용하기 쉬운 완전 익명 현금 등가물이 없음
뭔가를 결제하면 어차피 신원 정보를 넘기게 됨
가치 교환이 확실히 한쪽으로 기울어져 있지만, X를 얻기 위해 신원도 공유하고 돈도 내야 한다면 돈도 잃고 신원도 공유한 셈임
신원을 공유하고 X를 무료로 얻는다면 적어도 돈은 잃지 않음 - “내 데이터 팔기”와 “돈 내기”의 선택지가 실제로는 거의 일어나지 않음
현실에서는 보통 돈을 내도 데이터를 팔고, 무료로 쓰면 데이터를 정말 많이 파는 선택지 사이에 놓임
대부분의 유료 서비스도 개인정보 처리방침, 약관, 사용자 계약에 데이터를 어떻게 파는지 똑같이 적어둠
최선의 경우 현금흐름에 덜 desperate하니 판매 대상을 조금 더 선별할 것이라고 기대할 수 있을 뿐임
하지만 사용자에게 미치는 영향은 더 큼
이제 그들은 신용카드, 주소, 실명, 전화번호를 가지며 이 모든 것은 해킹과 유출에 취약함
무료 계정 때보다 이런 정보를 속이기도 어렵기 때문에 수집되는 데이터의 가치가 더 크고, 그만큼 유혹도 커짐
게다가 유료 서비스는 다크 패턴이 만연한 소비자 적대적 구독 시스템을 갖고 있음
마음에 들지 않아 해지하려면 쓸데없이 번거롭고, 무료 체험조차 신용카드를 요구함
돈이 실제로 어디에 쓰이는지도 투명성이 매우 낮음
많은 서비스가 적자로 운영되고, 고객 요금은 겉치레일 뿐 실제 돈은 투자자에게서 나옴
어떤 회사들에게 유료 모델은 위장에 가깝고, 실제 출구는 몇 년 동안 데이터를 모은 뒤 데이터 집계업체에 인수되는 것일 수 있음
반대편에는 터무니없이 부풀린 가격으로 호구를 낚는 사람들도 있음
이런 이유로 돈을 낸다는 선택지는 불신으로 오염돼 있으며, 단지 소비자가 인색하고 권리 의식이 강해서만은 아님
불신은 어떤 시장이든 빠르게 정체시킬 수 있음
그렇다고 업계를 크게 탓하진 않음
1848년 캘리포니아처럼, 널려 있는 금을 줍는 사람을 탓하기는 어려움
진짜 문제는 사용자가 자기 데이터가 어떻게 쓰이는지 보고 통제할 수 있게 해주는 도구, 인프라, 규제 체계가 없다는 것임
사람들이 정말 결제 대신 자기 데이터를 팔고 싶다면 그렇게 하게 두면 됨
하지만 현재 대부분의 사용자는 어떤 데이터가 정확히 수집되는지, 그 가치가 얼마인지 모름
5달러 앱을 사는 편이 20달러어치 데이터 채굴을 당하는 것보다 낫다고 합리적으로 결정할 수 없는 상태임 - 충분히 정보가 제공된 결정 자체에는 큰 문제가 없었음
거슬리는 건 앱들이 데이터 수익화를 숨기거나, 필수로 만들거나, 동의하지 않고는 서비스를 쓸 방법을 제공하지 않는 경우임
특히 참여하지 않겠다고 선택조차 할 수 없는 서비스는 더 최악임
예를 들어 내 직장은 Equifax의 “The Work Number” 서비스를 막 도입해서, 내가 계정을 만들든 말든 내 데이터는 이미 거기에 있음
더 나쁜 건 계정을 만들지 않으면 누군가가 내 의사와 무관하게 더 많은 정보를 모으기 위해 계정 생성을 시도할 여지가 남는다는 점임
사람들이 자기 데이터로 무엇을 선택하든, 내 견해를 강요할 도덕적 의무는 느끼지 않음
정말로 동의하고 20달러, 혹은 앱에서 그 데이터가 가치 있는 만큼의 돈을 아끼고 싶다면, 내가 그들이 프라이버시 정보를 다루는 방식에 동의하지 않는다는 이유로 선택지를 빼앗는 것도 같은 이유로 강요하는 것과 크게 다르지 않음
내게 중요한 차이는 내가 거기서 이익을 얻는지 여부지만, 각 경우에 선택권이 있다면 사용자가 상황을 저울질하는 방식에는 사실 중요하지 않음
- “사람들은 언제든 ‘내 데이터 팔기’를 ‘돈 내기’보다 기꺼이 누를 것이다”라고 했지만, 그런 식의 명확한 선택지가 실제로 주어진 적이 없으니 알 수 없음
-
웹사이트를 운영하면 이런 이메일을 계속 받게 됨
“안녕하세요,
기존 글에 게스트 포스트 기고나 링크 삽입을 받는지 여쭤보고 싶습니다. 가능하다면 가이드라인과 관심 주제를 더 알고 싶습니다.
시간 내주셔서 감사합니다. 답변 기다리겠습니다.
감사합니다.”
이런 건 확실히 대량 스팸임. 내 사이트에는 블로그조차 없음
내 사이트에는 Windows 소프트웨어 다운로드도 몇 개 있는데, 가끔 수상한 설치 프로그램 번들 제안 이메일도 받음
대부분은 사용자 인터넷 연결에 대한 접근을 팔려는 주거용 프록시 서비스임- 우리는 SaaS 제품용 교육 블로그를 운영하는데, 독자에게서 오는 진짜 이메일도 있지만 스팸도 많고 그중 일부는 무서울 정도로 잘 만들어져 있음
맥락을 너무 많이 집어넣어서 실제 사람처럼 보이고, 결국 많은 시간을 낭비하게 만들며 솔직히 꽤 상처가 됨
우리는 자료를 공유하는 데 많은 시간을 쓰는데 이런 가짜 연결은 큰 거부감을 줌
최근에는 깊은 맥락을 넣어 AI가 쓴 “수상 후보 명단”류 이메일이 몰려왔음
쉬운 결제 한 번이면 상 후보로 고려해주겠다는 식임
다만 우리가 소프트웨어 보안 서비스를 운영하는 게 아니라 웹 스크래핑을 다룬다는 주제 조정을 늘 까먹음
AI가 낯선 사람 사이의 이메일 소통을 죽일 것 같음
점점 너무 지침 - 한 달에 한 번쯤 여러 형태로 받는 이메일 중 제일 좋아하는 유형임
끝에 붙은 직함이 웃김
“제목: 귀하의 웹사이트에서 보안 취약점을 발견했습니다.
안녕하세요 팀,
저는 보안 연구자 Harris이고, 버그 바운티 프로그램 밖에서 귀하의 웹사이트에 있는 보안 취약점을 발견했습니다.
발견한 모든 취약점과 적절한 수정 방법도 공개하여 웹사이트를 더 안전하게 만들 수 있습니다.
제가 도왔던 회사들은 늘 관대했고, 제가 발견한 문제에 적절하다고 생각하는 금액으로 보상해주었습니다. 제 도움을 좋게 봐주신다면 PayPal, Bitcoin, Payoneer 또는 은행 송금으로 보너스 지급을 받으면 기쁘겠습니다.
긍정적인 답변 기다리겠습니다.
감사합니다,
Harris A
Certified Ethical Hacker” - 이런 사람들이 무슨 생각을 하는지 궁금함
TOR 운영자들은 연결 공유의 위험, 특히 소아성애자들이 그 서비스를 이용해 CSAM을 공유할 위험을 알고 있음
하지만 일반 사람들은 모름
어느 날 체포될 때까지 전혀 모름 - 웹사이트에 작동하는 연락처 태그를 남겨두고 싶지만, 그러면 이런 식의 스팸이나 내 단순하고 담백한 웹사이트를 “개선”해주겠다는 무작위 웹 개발자 집단의 제안이 엄청나게 몰려오는 것 같음
- 이것 덕분에 할 일을 하나 줄였음
나도 이런 이메일을 받지만 WordPress 사이트를 운영하고 있어서, 이들이 웹사이트를 지문 채취해 WordPress 사이트에만 메일을 보낸다고 확신하고 있었음
그래서 WordPress 지문을 숨길 수 있는지 확인하는 게 할 일 목록에 있었음
그런데 이렇게 말하는 걸 보니 별 효과가 없을 게 분명함
돌이켜보면 이런 스패머들이 그냥 모두에게 대량으로 뿌릴 거라는 걸 알 수 있었음
- 우리는 SaaS 제품용 교육 블로그를 운영하는데, 독자에게서 오는 진짜 이메일도 있지만 스팸도 많고 그중 일부는 무서울 정도로 잘 만들어져 있음
-
여기서 근본 문제는 브라우저 확장 프로그램을 합법적으로 수익화할 방법이 없다는 것임
확장 프로그램은 단순하도록 만들어졌기 때문에 프리미엄 기능을 팔기 어렵고, 보통 광고를 넣을 자기 공간도 갖고 있지 않음- 예전에는 방법이 있었음
https://developer.chrome.com/docs/webstore/money/
“Chrome Web Store를 출시한 지 11년 동안 웹은 크게 발전했습니다. 당시에는 개발자들이 Web Store 항목을 수익화할 방법을 제공하고자 했습니다. 하지만 그 이후 생태계가 성장했고, 개발자들은 이제 사용할 수 있는 결제 처리 옵션을 많이 갖게 되었습니다.” - 확장 프로그램 사용자는 이론적으로 확장 프로그램이 제공하는 가치에 돈을 낼 의향이 있을 수 있음
이런 이메일을 보내는 악의적 행위자들은 사용자 데이터가 자신들에게 제공하는 가치에 돈을 내려고 함
이 두 숫자는 서로 아무 관련이 없고, 사용자 데이터의 가치가 확장 프로그램 기능의 가치보다 훨씬 높은 경우가 많음
수익화로 이 문제를 해결할 방법은 없음
두 잠재 고객이 같은 제품을 사는 게 아니기 때문임 - 확장 프로그램을 수익화할 방법이 있었다면 개발자들이 데이터 도둑에게 접근받지 않았을 거라고 믿는지 궁금함
- 사용자가 확장 프로그램 업데이트를 끄거나, 업데이트에 명시적으로 동의해야 한다면 이런 공격을 적어도 더 어렵게 만들 수 있을 듯함
대부분의 확장 프로그램은 단순하고 사실 업데이트가 필요하지 않음
그런데 업데이트 메커니즘은 조용한 완전 자동이고 롤백도 없음
Steam조차 이렇게 공격적인 업데이트는 떠오르지 않음 - 꼭 그렇다고 생각하진 않음
나는 소프트웨어 라이선스 API를 운영하고 있고, 꽤 괜찮은 사용자 기반을 가진 브라우저 확장 프로그램 고객들이 적지 않음
다른 배포 채널과 마찬가지로 수익화 기회는 존재함
- 예전에는 방법이 있었음
-
이 제안은 무해해 보이고, 심지어 도움이 될 수도 있어 보여서 흥미로움
DNS 오류 모니터링이라는데 내가 뭘 놓치고 있는 걸까
“사업 제안을 자주 받으실 것 같으니 바로 본론으로 들어가겠습니다. 제가 제안하는 내용은 조금 다르고 실제로 흥미로울 수도 있기를 바랍니다. Hover Zoom+는 지난 몇 달 사이 매력을 잃은 더 큰 형제 Hover Zoom의 훌륭한 대안이라고 생각합니다.
저희는 DNS 오류 연구를 진행하고 있으며, 귀하의 Chrome 확장 프로그램을 통해 제공할 수 있을지도 모르는 소량의 익명 데이터에 관심이 있습니다. 저희 연구는 수년간 진행돼 왔고 Google은 한 번도 문제 삼은 적이 없습니다.- Google의 엄격한 정책과 호환
- 개인 사용자 데이터 없음
- 광고 없음, 악성코드 없음
관심 있는 데이터는 기본적으로 DNS 오류뿐입니다: - NXD – 존재하지 않는 도메인 - 사용자가 입력해 DNS 오류가 발생한 도메인
- 타임스탬프 – 발생 시각
- GEO – 발생 위치(USA, UK, RU 등)
- 무작위로 생성된 고유 사용자 ID(해시 가능, 사용자로 역추적 불가). 사용자 IP 주소와 혼동하지 말아주세요.
이게 전부입니다. 저희 스크립트를 쓰셔도 되고, 직접 데이터를 수집해 FTP 서버, API 등으로 보내셔도 됩니다. 방법은 다양합니다. 월 단위로 지급하며, 지급액은 사용자 GEO에 따라 달라지지만 연 수천 달러 수준일 것입니다.
짧게라도 논의할 가치가 있을까요? 답변 기다리겠습니다.
얼마 전 저희 회사가 진행하는 DNS 오류 연구와 관련해 연락드렸습니다. Hover Zoom+는 저희 연구에 이상적인 매체가 될 것입니다. 그 대가로 귀하에게 탄탄한 새 수익원이 될 수 있습니다.
저희 방식은 수년간 이어져 왔고 Google과는 한 번도 문제가 없었습니다. 월 단위로 정기 지급합니다. 귀하에게는 연 수만 달러 수준이 될 것이며, 금액은 사용자 기반과 데이터 품질에 따라 달라집니다.
서드파티 스크립트 포함이 걱정된다면, 여전히 이를 성사시킬 방법은 많이 있습니다.
짧게라도 논의할 가치가 있는지 알려주세요.” - 추측하자면, 쿼리가 들어오지만 아직 등록 가능한 도메인 이름을 사려는 것일 수 있음
예를 들어 자주 틀리게 입력되는 도메인들임
금지된 건 아니지만 그래도 약간 수상함 - 오타 도메인 선점 연구임
사용자가 자주 잘못 입력해서 NX 응답을 받는 도메인을 보고, 그걸 등록해 광고를 띄우거나 피싱 등을 하려는 것임 - 사람들이 흔히 오타 내는 도메인을 찾아 사들인 뒤 광고를 돌리려는 것일 가능성이 큼
- 사람들이 어떤 도메인을 잘못 입력하거나 관심을 갖는지 알아내서, 더 효율적으로 사기 치려는 것에 걸겠음
- 돈이 오가는데도 선의의 의도를 명확히 밝히지 않음
따라서 최선의 경우에도 어떤 사업적 이해관계가 있고, 최악의 경우에는 사용자에게 해로운 행동일 가능성이 큼
겉으로는 한 가지 일을 하는 것처럼 보이면서 몰래 다른 정보를 실어 나르는 스크립트를 작성하는 건 어렵지 않음
예를 들어 나쁜 해시 함수를 작성하는 것? 식은 죽 먹기임
항상 ATP의 기울기를 따라가야 함
-
사용자 약 30만 명짜리 확장 프로그램에도 이렇게 공격적인 제안이 많다면, 수백만 명에 도달한 확장 프로그램에는 제안이 얼마나 거셀지 궁금해짐
확장 프로그램 생태계의 인센티브는 완전히 어긋나 보임 -
Ruffle의 공식 이메일함도 이런 제안으로 가득함
무료이면서 자유 소프트웨어인 확장 프로그램에 제시되는 금액이 너무 커서, 구매자들은 Google이나 Mozilla[0]에 즉시 차단당하지 않을 정도의 악성코드를 잔뜩 넣으려는 것이라고밖에 생각할 수 없음
개인적으로는 새 소유 구조에 대한 사전 승인과 검증 없이 확장 프로그램 소유권 이전을 허용하면 안 된다고 봄
새 등록 항목에는 리뷰나 신뢰가 없으므로, 기존 확장 프로그램 이전은 일부러 새 확장 프로그램을 만드는 것보다 더 어렵게 해야 함
이런 정책의 실무적 고통을 가끔 직접 겪는 사람으로서[1], 관료 절차를 통과하는 게 얼마나 성가신지도 알고 하는 말임
지하 확장 프로그램 매매 시장은 믿을 수 없을 정도로 수상하고, 사용자 신뢰를 너무 쉽게 다룸
[0] 안됐지만 우리 AMO 등록은 이미 기계 생성 코드로 플래그돼 있음. Rust/WASM을 쓰기 때문임. 그래서 Mozilla가 우리 빌드를 바이트 단위로 재현할 수 있을 때만 확장 프로그램 제출이 승인됨
[1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort... -
중학생 때 떠올렸던 더러운 계획이 생각남
- 실제로 유용한 Minecraft Bukkit 플러그인을 만든다
- 설치 수가 많아질 때까지 기다린다
- 내가 원하는 서버에서 나를 “op”, 즉 관리자로 만들어주는 잘 숨긴 백도어를 추가한다
- 공개 서버의 못된 관리자를 갑자기 차단해서 놀라게 한다
2단계까지 갔다가 거기서 멈추기로 했음
- Minecraft Bukkit 플러그인은 사실상 무법지대임
어떤 동작이 의도된 건지 아닌지 구분하기가 정말 어려움
수년 전 서버에 접속했을 때 메시지만 표시하는 motd 플러그인을 찾으려 했던 기억이 있음
충분히 단순한 플러그인을 하나 찾았는데, 업데이트 확인을 위해 집으로 핑을 보내고 있었음
개발자가 유용한 기능을 넣으려 했을 수도 있지만, 내 냉소적인 쪽은 그 플러그인을 실행하는 서버의 IP 주소를 얻으려는 것이라고 믿음
인증되지 않은 디버그 명령도 있었고, 폴더 안의 어떤 motd 파일 내용이든 출력할 수 있었음
그런데 문자열 이스케이프를 제대로 하지 않아서../...로 디렉터리를 빠져나가 아무 파일이나 출력할 수 있었음
작성자가 실제로 악용했는지, 아니면 첫 플러그인을 쓰던 순진한 14살이었는지는 모르겠음
악용하려 했다면 어떤 파일을 출력하려 했는지도 모르지만, 확실히 매우 의심스러웠음 - 2b2t는 이런 방식으로 여러 번 백도어를 당했음
여러 사람이 WorldEdit, 창작 모드, 관리자 명령 등에 접근할 수 있었음
오래된 아나키 서버를 넘어서, 지금 Minecraft 모드 커뮤니티는 여러 공급망 공격과 역직렬화 취약점 등을 겪고 있음 - 표적형 Minecraft 서버 백도어는 가끔 실제로 발생함