8백만 명 사용자의 AI 대화가 ‘프라이버시’ 확장 프로그램에 의해 수익 목적으로 판매됨

 (koi.ai)
2P by GN⁺ 3일전 | ★ favorite | 댓글 1개
  • Urban VPN Proxy 등 8개 브라우저 확장 프로그램이 AI 플랫폼 대화 내용을 수집·판매한 사실이 확인됨
  • 이 확장들은 ChatGPT, Claude, Gemini, Copilot 등 10개 AI 서비스의 대화 데이터를 자동 수집하며, 사용자가 이를 끌 수 있는 옵션이 없음
  • 데이터 수집은 VPN 기능과 무관하게 백그라운드에서 지속적으로 실행, 모든 프롬프트·응답·타임스탬프·세션 정보가 전송됨
  • 운영사 Urban Cyber Security Inc.와 그 계열사 BiScience는 해당 데이터를 마케팅 분석용으로 제3자에게 판매
  • Google과 Microsoft의 ‘Featured’ 배지 검증을 통과한 확장들이 수개월간 유통되며, 사용자 보호 체계의 허점을 드러냄

발견 과정

  • Koi의 Wings AI 리스크 엔진이 AI 대화 데이터를 외부로 전송할 수 있는 브라우저 확장을 탐색한 결과, 예상과 달리 대규모 사용자 기반을 가진 Urban VPN Proxy가 상위에 위치
  • Urban VPN Proxy는 6백만 명 이상 사용자, 4.7점 평점, Google ‘Featured’ 배지를 보유한 무료 VPN 확장으로, 개인정보 보호를 표방함
  • 조사 결과, 이 확장은 AI 플랫폼 대화 감청 기능을 기본 활성화한 상태로 배포됨

수집 방식

  • 확장은 VPN 연결 여부와 무관하게 지속적으로 데이터를 수집
  • 사용자가 ChatGPT, Claude, Gemini 등 AI 사이트에 접속하면 전용 스크립트(chatgpt.js, claude.js 등) 를 주입
  • 이 스크립트는 fetch()와 XMLHttpRequest를 재정의해 모든 네트워크 요청과 응답을 가로채고, 프롬프트·응답·대화 ID·타임스탬프를 추출
  • 추출된 데이터는 window.postMessage를 통해 콘텐츠 스크립트로 전달되고, 이후 백그라운드 워커가 Urban VPN 서버(analytics.urban-vpn.com 등) 로 전송
  • 수집 항목에는 모든 입력·출력, 세션 메타데이터, 사용 모델 정보가 포함됨

버전 타임라인

  • 5.5.0 이전 버전에는 AI 수집 기능이 없음
  • 2025년 7월 9일 배포된 5.5.0 버전부터 AI 대화 수집이 기본 활성화
  • 이후 자동 업데이트를 통해 기존 사용자들도 별도 동의 없이 데이터 수집 코드가 추가됨
  • 2025년 7월 이후 Urban VPN 설치 상태에서 AI 서비스를 이용한 사용자는 대화 내용이 서버에 저장·제3자와 공유된 것으로 간주됨

‘AI 보호’ 기능의 실체

  • 확장 설명에는 “AI 보호 기능이 개인 정보 유출을 방지하고 위험 링크를 경고한다”고 명시되어 있음
  • 그러나 실제 코드 분석 결과, 경고 기능과 데이터 수집 기능은 별개로 작동하며, 경고 기능을 끄더라도 수집은 계속됨
  • 확장은 사용자의 이메일·전화번호 공유를 경고하면서 동시에 그 데이터를 Urban VPN 서버로 전송
  • 즉, 보호를 가장한 데이터 추출 구조로 확인됨

동일 코드 확산

  • 동일한 AI 수집 코드가 7개의 다른 확장 프로그램에서도 발견됨
    • Chrome: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker
    • Edge: 동일한 4종
  • 8백만 명 이상 사용자가 영향을 받음
  • 이들 확장은 VPN, 광고 차단기, 보안 도우미 등 서로 다른 카테고리로 위장되어 있으나, 공통된 감시 백엔드를 공유
  • 대부분 Google·Microsoft 스토어의 ‘Featured’ 배지를 보유, 사용자 신뢰를 확보한 상태로 유통됨

운영사 및 데이터 흐름

  • Urban VPN은 Urban Cyber Security Inc. 가 운영하며, 이는 데이터 브로커 BiScience (B.I Science Ltd.) 와 제휴 관계
  • BiScience는 과거에도 클릭스트림 데이터 수집 및 재판매로 보안 연구자들의 주목을 받음
  • BiScience는 AdClarity, Clickstream OS 등의 제품을 통해 수집 데이터를 상업화
  • 이번 사례는 브라우징 기록 수집에서 AI 대화 수집으로 확장된 형태
  • 개인정보 처리방침에는 “수집된 웹 브라우징 데이터는 BiScience에 공유되어 상업적 인사이트로 활용된다”고 명시됨

사용자 고지 문제

  • 설치 시 표시되는 동의 팝업에는 “ChatAI 통신 처리”가 언급되지만, AI 대화 수집 목적이 명확히 설명되지 않음
  • 개인정보 정책에는 “AI 입력과 출력 데이터를 마케팅 분석 목적으로 공개한다”는 문구가 포함
  • 반면 Chrome 웹스토어 설명에는 “데이터가 제3자에게 판매되지 않는다”고 명시되어 상충된 정보 제공
  • 2025년 7월 이전 설치자는 새 동의 팝업을 보지 못한 채 자동 업데이트로 수집 기능이 추가됨
  • 사용자는 AI 수집만 비활성화할 선택권이 없으며, VPN을 끄거나 보호 기능을 꺼도 수집은 계속 진행

Google의 검증 문제

  • Urban VPN Proxy는 Google Chrome Web Store의 ‘Featured’ 배지를 보유
  • Google은 해당 배지를 “기술적 모범 사례와 높은 사용자 경험 기준을 충족한 확장에 부여”한다고 설명
  • 즉, Google의 수동 검토를 통과한 상태에서 AI 대화 수집 코드가 포함되어 있었음
  • Chrome Web Store 정책은 데이터 브로커나 광고 플랫폼으로의 사용자 데이터 전송을 금지하지만, BiScience는 스스로를 데이터 브로커로 정의
  • 그럼에도 불구하고 확장은 여전히 스토어에 게시된 상태

결론 및 권고

  • 브라우저 확장은 광범위한 권한과 자동 업데이트 기능으로 인해 높은 신뢰가 요구됨
  • 이번 사례는 8백만 명 규모의 민감한 AI 대화 데이터가 ‘보안’ 명목으로 수집·판매된 사건
  • Google과 Microsoft의 검증 체계가 사용자 보호보다는 신뢰 착시에 기여한 사례로 지적됨
  • 사용자는 Urban VPN 및 관련 확장을 즉시 삭제하고, 2025년 7월 이후의 AI 대화가 제3자에 공유되었을 가능성을 고려해야 함

IOC(Indicator of Compromise)

  • Chrome: Urban VPN Proxy (eppiocemhmnlbhjplcgkofciiegomcon), Urban Browser Guard (almalgbpmcfpdaopimbdchdliminoign), Urban Ad Blocker (feflcgofneboehfdeebcfglbodaceghj), 1ClickVPN Proxy (pphgdbgldlmicfdkhondlafkiomnelnk)
  • Edge: Urban VPN Proxy (nimlmejbmnecnaghgmbahmbaddhjbecg), Urban Browser Guard (jckkfbfmofganecnnpfndfjifnimpcel), Urban Ad Blocker (gcogpdjkkamgkakkjgeefgpcheonclca), 1ClickVPN Proxy (deopfbighgnpgfmhjeccdifdmhcjckoe)
GN⁺ 3일전  [-]
Hacker News 의견들

  • 나는 Mozilla의 추천 확장 프로그램만 사용하는 편임
    이 프로그램은 Mozilla 보안 전문가들이 직접 코드 검토를 거친 확장만 포함함
    Google은 사람을 고용하기 싫어하지만, 이런 영역은 자동 스캔이 아닌 사람의 눈이 꼭 필요한 부분임
    Mozilla Recommended Extensions Program

    • IT 전문가나 파워 유저들은 이런 조치를 취할 수 있지만, 일반 사용자는 화려한 기능 설명에 속아 악성 확장을 설치하기 쉬움
      사회공학 공격은 기술적 수단만으로 막을 수 없으며, 결국 일반 사용자들의 보안 인식이 높아지거나, 아니면 컴퓨팅 기기가 점점 폐쇄적인 구조로 바뀌게 될 위험이 있음
    • 더 철저하게 하려면 XPI 파일을 직접 압축 해제해 코드 검토를 하는 것도 방법임
      단순한 기능의 확장인데 코드가 과도하게 복잡하면 의심해야 함
      확장이 폐쇄형 블롭으로 바뀌는 순간이 오면 도망칠 때임
    • 하지만 Mozilla가 모든 업데이트를 매번 검토하는지 의문임
      한 번만 심사하고 이후 업데이트에서 악성 기능을 추가해도 계속 ‘추천’ 배지를 유지할 수 있다면 위험함
    • 대부분의 코드베이스는 수백만 줄이라 수동 검토가 사실상 불가능
      TypeScript 같은 언어로 컴파일된 경우, 원본을 받아도 빌드 과정이 복잡해 검증이 어려움
      악성 코드는 절대 main.ts에 있지 않고, 깊숙한 라이브러리 체인 속에 숨겨져 있을 가능성이 큼
    • 흥미롭게도 기사에 따르면 이 확장은 실제로 수동 검토를 통과한 “Featured” 배지를 받았다고 함

  • 이 확장 프로그램의 배후 회사는 Urban Cyber Security Inc. 로, 델라웨어에 등록된 실제 법인처럼 보임
    주소와 전화번호까지 공개되어 있음
    회사 정보, 공식 사이트, 비즈니스 등록 정보
    겉보기엔 매우 합법적으로 보여서, 어쩌면 이들도 피해자일 가능성이 있음

    • 하지만 이런 외형만으로 합법성을 판단하는 건 위험
      몇 백 달러면 이런 법인을 꾸릴 수 있고, 가상 사무실 주소와 간단한 웹사이트만으로도 충분히 그럴듯하게 보일 수 있음
      인터넷에서 보는 정보는 항상 의심해야 함
    • Manhattan Virtual Office를 보면 뉴욕 주소는 가상 사무실이고,
      The Mill Space의 델라웨어 주소도 코워킹 스페이스임
    • 실제로 Urban VPN은 BiScience라는 데이터 브로커 회사와 연관되어 있음
      이 회사는 과거에도 사용자 클릭스트림 데이터 수집으로 연구자들의 주목을 받았음
      동일한 데이터 수집 기능이 여러 확장에서 발견되었고, 무료 서비스라는 점에서 매우 수상함
      “한 번은 우연, 두 번은 우연의 일치, 세 번은 적대 행위”라는 말이 떠오름
    • 미국 내 주소 등록과 전화번호 확보는 월 15달러면 가능하고, 법인 설립도 몇 백 달러면 충분함
    • 등록 대리인 주소가 실제 로펌 주소와 비슷하지만 완전히 일치하지 않음
      참고 링크

  • 나는 Google의 검토팀이 내 확장 절반을 거절하는 걸 보고 놀랐음
    Uber Driver 앱은 백그라운드 위치 접근을 항상 허용해야 하는데, 설정에서 바꿀 방법이 없음
    관련 포럼 글

    • Google이 사용자 보호에 진심이라면 WhatsApp 같은 앱의 지속적인 마이크 권한 요구를 막았어야 함
      Meta 앱만 유독 “매번 묻기” 옵션을 무시함
      Google은 사용자보다 광고주를 더 신경 쓰는 듯함
    • 아마 “While using” 권한이 백그라운드 내비게이션 실행을 포함하기 때문일 것임
      Apple의 개발자 문서에 설명되어 있음
    • 앱 권한 구분이 애매한 경우도 있음
      예를 들어 블루투스 연결만 필요한데도 “위치 데이터 접근” 권한을 요구하는 식임

  • 브라우저 확장의 권한 모델이 근본적으로 잘못됨
    설치 시 모든 권한을 한 번에 부여하고, 이후 업데이트에서 무슨 일이 생길지 모름
    iOS처럼 런타임 권한 요청이 필요함
    “Recommended” 배지는 임시방편일 뿐이며, “모든 사이트의 데이터 읽기/변경” 권한이 필요한 확장은 애초에 존재하지 말아야 함

    • 현재는 특정 사이트 하나 또는 모든 사이트 중 하나만 선택 가능해서 너무 극단적임
      일부 사이트에만 적용되는 확장도 모든 사이트 접근 권한을 요구함
      2025년쯤엔 더 세밀한 샌드박스 기반 권한 모델이 필요하다고 생각함

  • “몇 주 전 인생의 중요한 결정을 내릴 때 Claude를 열었다”는 문장을 보고 놀랐음
    정말 우리가 이런 시대에 살고 있는 것 같음

    • 예전엔 제비뽑기로 결정을 내렸는데, 이제는 이해 능력 없는 예측기에게 맡기는 시대임
      인간은 생각의 혼란을 피하려고 점점 AI에 의존하게 됨
    • 어떤 사람들은 생각을 글로 써야 정리됨
      그런 면에서 그들의 뇌는 LLM처럼 작동한다고 볼 수 있음
    • 나로선 AI에게 결정을 맡기는 게 미친 일처럼 느껴짐
      Claude를 두 번 써봤지만 별로 도움이 안 됐음
      DuckDuckGo의 AI 요약 정도만 가끔 씀
    • 하지만 HBR 조사에 따르면 ChatGPT의 가장 흔한 사용 사례가 ‘치료/대화 상대’ 라고 함
      출처
    • 인생 결정을 AI에 맡기는 건 어리석지만, 생각을 정리하고 질문하는 도구로는 유용함

  • 과거 BiScience의 트래킹 행위를 직접 본 적이 있어서 이번 일도 놀랍지 않음
    예전에 Cyberhaven 확장 해킹 사건에서도 언급된 적 있음
    관련 블로그 1, 관련 블로그 2

  • 왜 그렇게 많은 사람들이 무료 VPN을 신뢰하는지 이해가 안 됨
    “우리에게 모든 트래픽을 맡겨라, 우리는 무료다”라니, 절대 사양임

    • ISP는 정부 요청에 따라 모든 접속 기록을 제공하지만, Mullvad 같은 VPN은 KYC 없이 운영되어 실제로 수색 영장에도 고객 데이터가 노출되지 않았음
      관련 사례
    • ISP도 모든 트래픽을 처리하므로 VPN과 다를 바 없음
      그래서 TLS가 존재하는 것임
      인터넷 트래픽은 기본적으로 감청된다고 봐야 함
    • 일부 저소득 국가에서는 접근 제한 때문에 무료 VPN을 쓸 수밖에 없음
      하지만 개인적으로는 Mullvad/IVPN/ProtonVPN 외엔 신뢰하지 않음
    • 대부분은 단순히 차단된 콘텐츠(토렌트, 성인물, 도박 등)를 보기 위해 무료 VPN을 씀
      이런 사람들은 장기 계약을 피하려고 “무료 VPN”을 검색해 바로 설치함
      사실 이런 습관은 확장 프로그램 남용과도 비슷함
    • 그래도 TLS 덕분에 은행 정보까지 털리진 않음

  • Google은 이런 확장을 더 철저히 검토하고 제거해야 함
    신뢰성이 핵심이며, LastPass나 Ward 같은 확장은 실제로 가치가 있음
    공개 확장 보안 디렉터리 같은 시스템이 필요함

    • 하지만 코드 리뷰로 이런 문제를 잡을 수 있을지 의문임
      확장이 “AI 보호 도구”라며 데이터를 수집하는 건 기능상 일관됨
      문제는 코드가 아니라 정책과 데이터 활용 방식
    • 자동화된 검토만으로는 한계가 있음
      일정 설치 수 이상이면 사람이 직접 검토해야 하지만, Google은 이런 방식을 선호하지 않음
    • Google이 정말 코드 리뷰를 하고 있는지도 의문임
    • 코드 리뷰로는 사용자의 대화 데이터가 이후 어떻게 쓰이는지 알 수 없음

  • Manifest V3가 Chrome 확장을 더 안전하게 만든다고 들었는데, 정말 그런지 의문임

    • 그래도 Manifest V3 덕분에 코드가 확장 내부에 포함되어 외부 스크립트 로딩을 막을 수 있었음
      예전엔 이런 감지가 불가능했음
    • 하지만 결국 “그들이 어떻게 돈을 버는가?”라는 질문으로 돌아감

  • 이번 사건은 시스템이 해킹된 게 아니라, 처음부터 사기성 확장이었음
    예전엔 Greasemonkey로 커스터마이징을 즐겼지만, 지금은 Privacy Badger와 Ublock Origin 같은 오픈소스 확장만 신뢰함
    그래도 여전히 위험은 존재함

답변달기