Google Chrome이 동의 없이 기기에 4GB AI 모델을 조용히 설치함

• Chrome 사용자 프로필에 OptGuideOnDeviceModel 디렉터리와 약 4GB weights.bin이 생성되며, 이는 온디바이스 LLM Gemini Nano 가중치 파일
• 최근 Chrome은 하드웨어 요건을 만족하는 기기에 “Help me write”, 온디바이스 사기 탐지 등 AI 기능용 모델을 사용자 동의 프롬프트나 명시적 설정 체크박스 없이 내려받는 구조
• Apple Silicon 신규 프로필 검증에서 .fseventsd, Chrome Local State, ChromeFeatureState, GoogleUpdater 로그가 2026년 4월 24일 14분 28초 동안 모델 디렉터리 생성·언패킹·최종 이동이 자동으로 진행됐음을 보여줌
• Chrome 147의 “AI Mode” pill은 온디바이스 Nano 모델이 아니라 Google 서버로 쿼리를 보내는 클라우드 기반 Search Generative Experience 표면이며, Nano는 “Help-Me-Write”, 탭 그룹 AI 제안, smart paste, 페이지 요약 등 별도 기능에 쓰임
• 4GB 모델의 조용한 배포는 ePrivacy Directive Article 5(3), GDPR 투명성·기본값 최소화 원칙, ESG 측면의 대역폭·탄소 비용 쟁점을 만들며, 10억 대 배포 시 4EB 전송·240GWh·60,000톤 CO2e로 계산됨

디스크에 설치된 파일과 동작 방식

• Chrome 사용자 프로필에는 OptGuideOnDeviceModel 디렉터리와 약 4GB 크기의 weights.bin 파일이 생성되며, 이 파일은 Google의 온디바이스 LLM인 Gemini Nano 가중치 파일로 제시됨
• Chrome은 이 파일을 “Help me write”, 온디바이스 사기 탐지, 기타 AI 보조 브라우저 기능에 사용하며, 최근 Chrome 버전에서 AI 기능이 기본 활성화된 경우 하드웨어 요건을 만족하는 기기를 배포 대상으로 취급함
• 설치 과정에서 사용자에게 동의 프롬프트가 표시되지 않고, Chrome 설정에도 “4GB AI 모델 다운로드” 같은 체크박스가 노출되지 않음
• Windows 설치에서는 사용자가 파일을 삭제해도 Chrome이 다시 다운로드하는 흐름이 여러 독립 보고서에 기록됐으며, 지속적으로 막으려면 chrome://flags, 기업 정책 도구, 또는 Chrome 제거가 필요함
• macOS에서는 파일이 사용자 소유의 mode 600으로 생성돼 원칙적으로 삭제 가능하지만, Chrome이 설치 상태를 Local State에 보관하고 variations 서버가 프로필을 다시 적격으로 판단하면 다운로드가 재개되는 구조임

Apple Silicon 신규 프로필에서의 검증

• 검증 환경

  • 2026년 4월 23일 자동 감사용 Chrome 사용자 데이터 디렉터리가 생성됐고, WebSentinel 100개 사이트 개인정보 감사에 사용됨
  • 감사 드라이버는 Chrome DevTools Protocol 기반으로 페이지 로드, 5분 대기, 이벤트 캡처, 사이트 간 Chrome 종료를 수행했으며, 프로필 생성 이후 인간의 키보드·마우스 입력은 없었음
  • Chrome의 “AI mode” 표면뿐 아니라 Chrome UI 전체가 직접 조작되지 않았고, 감사 드라이버는 문서와 CDP로만 상호작용했으며 omnibox에도 접근하지 않음
  • 4월 29일 정리 과정에서 du -sh로 감사 프로필에 4GB 규모의 OptGuideOnDeviceModel 가중치가 들어간 사실이 확인됨

• .fseventsd가 기록한 설치 타임라인

  • macOS 커널의 .fseventsd 파일시스템 이벤트 로그는 애플리케이션 로그와 독립적으로 파일 생성·수정·삭제를 기록하며, Chrome이나 Google이 원격으로 수정할 수 없고 참조된 파일이 삭제된 뒤에도 이벤트 페이지 파일이 남음
  • 2026년 4월 24일 16:38:54 CEST에 Chrome이 감사 프로필 안에 OptGuideOnDeviceModel 디렉터리를 생성함
  • 2026년 4월 24일 16:47:22 CEST에 /private/var/folders/.../com.google.Chrome.chrome_chrome_Unpacker_BeginUnzipping.*/ 아래 임시 디렉터리 3개가 생성됐고, 그중 하나가 weights.bin, manifest.json, _metadata/verified_contents.json, on_device_model_execution_config.pb를 기록함
  • 같은 시점에 다른 언패커 프로세스는 Certificate Revocation List 업데이트와 브라우저 preload-data 업데이트를 기록해, 보안 업데이트·프리로드 갱신·4GB AI 모델이 같은 유휴 창에서 배치 처리된 것으로 보임
  • 2026년 4월 24일 16:53:22 CEST에 언패킹된 weights.bin이 OptGuideOnDeviceModel/2025.8.8.1141/weights.bin으로 이동했고, adapter_cache.bin, encoder_cache.bin, _metadata/verified_contents.json, 실행 설정도 함께 배치됨
  • 동시에 Chrome optimization-guide enum의 40, 49, 51, 59번 모델 대상이 optimization_guide_model_store에 새로 등록됐으며, 이는 LLM과 함께 쓰이는 더 작은 텍스트 안전성 및 프롬프트 라우팅 모델로 제시됨
  • 디렉터리 생성부터 최종 이동까지 총 설치 시간은 14분 28초였고, 그 시간 동안 프로필에 대한 인간의 조작은 없었음

• Chrome 자체 흔적과 GoogleUpdater 로그

  • Chrome의 감사 프로필 Local State JSON에는 optimization_guide.on_device 블록이 있으며, model_validation_result에 attempt_count: 1, result: 2, component_version: "2025.8.8.1141"가 기록됨
  • 같은 블록에는 performance_class: 6, vram_mb: "36864"가 들어 있어, Chrome이 사용자에게 AI 기능을 노출하기 전에 GPU와 통합 메모리 총량을 읽어 모델 푸시 적격성을 판단한 것으로 제시됨
  • 감사 프로필의 ChromeFeatureState에는 OnDeviceModelBackgroundDownload<OnDeviceModelBackgroundDownload와 ShowOnDeviceAiSettings<OnDeviceModelBackgroundDownload가 enable-features 블록에 들어 있음
  • 첫 번째 플래그는 조용한 다운로드를 트리거하고, 두 번째 플래그는 chrome://settings의 온디바이스 AI 섹션을 노출하는 것으로 제시되며, 둘 다 같은 롤아웃 플래그에 묶여 있어 설정 UI에서 거부할 기회보다 설치가 먼저 시작되는 구조로 해석됨
  • GoogleUpdater 로그에는 온디바이스 모델 제어 컴포넌트 appid {44fc7fe2-65ce-487c-93f4-edee46eeaaab}가 http://edgedl.me.gvt1.com/edgedl/diffgen-puffin/...에서 다운로드된 기록이 있으며, 이 7MB 압축 제어 파일은 감사 프로필 생성 3일 전인 2026년 4월 20일에 도착함
  • 해당 제어 컴포넌트는 프로필과 독립적이고 매시간 실행되는 LaunchAgent가 자동으로 시작하며, 전송 URL은 HTTP지만 패키지 내부 CRX-3 서명으로 무결성이 검증되는 구조임
  • 제어 컴포넌트가 실제 가중치를 가리키는 manifest를 Chrome에 제공하고, GoogleUpdater와 별도의 코드 경로인 Chrome 내부 OnDeviceModelComponentInstaller가 Google CDN에서 multi-GB 가중치를 직접 가져오는 구조임

• 규모와 기존 보고

  • OptGuideOnDeviceModel 디렉터리와 weights.bin 파일에 대한 커뮤니티 보고는 1년 이상 이어졌고, 2026년에는 규모와 검증 가능성이 달라짐
  • Chrome 세계 시장점유율은 64% 이상으로 제시되며, 2026년 추정 Chrome 사용자 수는 자료에 따라 34.5억~38.3억 명임
  • Gemini 기능이 Chrome에 더 적극적으로 들어가면서 이 동작은 소수 고급 사용자나 일부 플랫폼에만 영향을 주는 문제가 아니라, Chrome이 제공되는 모든 데스크톱 OS의 수억 대 기기에 영향을 주는 현상이 됨

Anthropic 사례와 같은 패턴

• 신뢰 경계 밖 강제 번들링

  • Anthropic 사례에서는 Claude Desktop 설치 후 Brave, Edge, Arc, Vivaldi, Opera, Chromium 등에 Native Messaging 설정이 기록됐고, Chrome 사례에서는 Chrome이 사용자 프로필에 4GB AI 모델을 기록함
  • weights.bin은 Chrome 자체가 아니라 별도 목적, 별도 데이터 보호 프로파일, 별도 동의 범위를 가진 별도 학습 머신러닝 모델로 구분됨

• 보이지 않는 기본값과 옵트인 부재

  • 첫 실행 대화상자도 없고 설정 체크박스도 없으며, 사용자는 디스크가 차오른 뒤에야 모델을 발견하는 흐름임

• 설치보다 어려운 제거

  • 파일 추가에는 클릭이 필요 없지만 제거하려면 파일 존재를 발견하고, 의미를 이해하고, 숨겨진 사용자 프로필 경로에 접근해 삭제해야 함
  • Windows에서는 읽기 전용 속성을 먼저 해제해야 한다고 제시되며, 삭제 후에도 Chrome AI 기능을 끄지 않으면 다음 적격 시점에 재다운로드될 수 있음

• 요청하지 않은 기능의 사전 배치

  • Nano 모델은 사용자가 AI 기능을 호출했을 때 즉시 실행되도록 디스크에 미리 배치되지만, 사용자가 해당 기능을 호출하지 않아도 4GB를 차지함

• 일반적인 내부 명칭으로 인한 범위 흐림

  • OptGuideOnDeviceModel은 “OptimizationGuide on-device model storage”라는 내부 Chrome 용어이며, 일반 사용자가 이를 “Gemini Nano LLM weights”로 연결하기 어려움
  • 더 정확한 이름은 GeminiNanoLLM/weights.bin에 가깝지만, Google은 내부 용어를 선택했다는 비판을 받음

• 사용자가 설정하지 않은 리소스 등록

  • Chrome AI 기능을 열어보지 않은 사용자도 모델을 받으며, 한 번 열어본 뒤 관심이 없다고 판단한 사용자도 모델을 받을 수 있음
  • 파일 존재 여부는 해당 기능의 실제 사용과 분리돼 있음

• 문서화 부족과 자동 재설치

  • Google의 사용자 대상 Chrome AI 기능 문서는 4GB 조용한 다운로드에 비례하는 수준으로 이 비용을 알리지 않음
  • 사용자가 파일을 삭제하면 Chrome이 다시 생성하고, 사용자의 삭제는 존중해야 할 지시가 아니라 수정해야 할 일시 상태처럼 취급됨

• 향후 동의의 소급 한계

  • Google이 나중에 “4GB AI 모델을 다운로드하겠느냐”고 묻더라도 이미 수억 대 기기에서 일어난 조용한 설치를 소급해 정당화하지 못함
  • 이 동작은 테스트 빌드가 아니라 Chrome stable의 정상 릴리스 채널을 통해 배포된 코드 서명 동작임

“AI Mode” pill과 온디바이스 모델의 분리

• Chrome 147이 적격 프로필에서 실행되면 omnibox 오른쪽에 “AI Mode” pill이 표시됨
• 사용자는 Chrome에 온디바이스 LLM이 있고 이미 4GB Gemini Nano 바이너리가 디스크에 설치됐다는 맥락에서, 이 “AI Mode”가 로컬 모델을 사용하고 쿼리가 기기에 머문다고 추론할 수 있음
• 그러나 Chrome 147 omnibox의 AI Mode pill은 클라우드 기반 Search Generative Experience 표면이며, 사용자가 입력한 쿼리는 Google 서버로 전송돼 Google의 호스팅 모델에서 처리됨
• 온디바이스 Nano 모델은 AI Mode UI 흐름에서 호출되지 않으며, “Help-Me-Write”의 <textarea> 기능, 탭 그룹 AI 제안, smart paste, 페이지 요약 같은 별도 기능에서 사용됨
• 사용자는 4GB 디스크 공간과 조용한 다운로드 대역폭 비용을 부담하지만, 가장 눈에 띄는 AI 경험은 온디바이스 이점을 제공하지 않고 Google 서버로 라우팅됨
• 이 구조는 사용자에게 “로컬 AI”에 가까운 인상을 줄 수 있지만, 실제로는 Google이 향후 다른 Chrome 하위 시스템에서 서버 왕복 없이 호출할 수 있는 리소스를 사용자 기기에 배치한 형태임
• EDPB Guidelines 03/2022의 기만적 디자인 패턴 기준으로는 “AI Mode”가 처리 위치를 명확히 밝히지 않는 misleading information, 로컬 전용과 클라우드 기반 표면 사이 선택 순간을 제공하지 않는 skipping, AI Mode와 온디바이스 설치 제거가 서로 별도 제어라 발견·해제가 어려운 hindering에 해당한다는 평가임

EEA와 UK에서의 법적 쟁점

• ePrivacy Directive Article 5(3)는 사용자의 단말 장비에 정보를 저장하거나 이미 저장된 정보에 접근하려면, 사용자가 명시적으로 요청한 정보사회 서비스 제공에 엄격히 필요한 경우가 아닌 한 사전의 자유롭고 구체적이며 충분히 설명된 명확한 동의를 요구함
• 4GB Gemini Nano 가중치 파일은 사용자 단말 장비에 저장된 정보이고, 사용자가 동의하지 않았으며, Chrome은 이 파일 없이도 동작하고, 사용자가 4GB 온디바이스 LLM을 엄격히 필요로 하는 서비스를 요청하지 않았다는 점에서 Article 5(3) 위반으로 평가됨
• GDPR Article 5(1)과 Article 25는 각각 적법성·공정성·투명성 원칙과 데이터 보호 중심 설계를 요구함
• 사용자의 하드웨어가 모델 푸시 적격성 판단을 위해 프로파일링되고, 설치 이벤트가 Google 서버에 기록되며, 온디바이스 기능이 사용자 프롬프트를 처리할 수 있다면 사용자는 무엇이 일어나는지 평이한 언어로 고지받아야 함
• 사용자가 향후 AI 기능을 호출할 수 있다는 가능성만으로 4GB AI 모델을 미리 배치하는 것은 기본값 최소화와 반대되는 아키텍처로 평가됨
• UK GDPR과 Privacy and Electronic Communications Regulations 2003에서도 같은 분석이 적용되며, California Consumer Privacy Act에서는 이 특정 사전 배치 소프트웨어 범주에 대한 수집 시점 고지가 없는 점이 CCPA 고지 태세에 의문을 만듦
• 여러 국가의 컴퓨터 오용 관련 형사법 위반 가능성도 제기됨

ESG와 기후 비용

• 계산 방법

  • Chrome 사례는 수억 대 기기에 4GB 바이너리를 밀어 넣는 배포로, Claude Desktop의 350바이트 JSON manifest 설치와 달리 대역폭과 에너지 비용이 측정 가능함
  • 네트워크 데이터 전송 에너지 집약도는 Pärssinen et al. 2018의 0.04~0.10kWh/GB 범위 중간값인 0.06kWh/GB로 계산됨
  • 전력망 배출계수는 European Environment Agency와 IEA의 2024년 보고용 EU-27 전력 공급 복합 계수인 0.25kg CO2e/kWh가 사용됨

• 기기 1대당 Nano 1회 푸시 비용

  • 대역폭은 4GB로 계산됨
  • 에너지는 4 × 0.06 = 0.24kWh per device per push로 계산됨
  • CO2는 0.24 × 0.25 = 0.06kg CO2e per device per push로 계산됨
  • 이 수치는 모델 1회 다운로드만 포함하며, 삭제 후 재다운로드, 후속 모델 업데이트, 실제 온디바이스 추론 에너지는 포함하지 않음

• 배포 규모별 합산 비용

  • Google은 Nano 푸시를 받는 기기 수를 공개하지 않으며, Chrome은 CPU·GPU·시스템 RAM·사용 가능 VRAM을 바탕으로 계산한 하드웨어 performance_class로 적격성을 판단함
  • 1억 대가 받을 경우 총 400PB, 24GWh, 6,000톤 CO2e로 계산됨
  • 5억 대가 받을 경우 총 2EB, 120GWh, 30,000톤 CO2e로 계산됨
  • 10억 대가 받을 경우 총 4EB, 240GWh, 60,000톤 CO2e로 계산됨
  • 24GWh는 영국 평균 가구 약 7,000곳의 연간 전력 사용량에 해당하고, 120GWh는 약 36,000곳, 240GWh는 약 72,000곳에 해당함
  • 6,000톤 CO2e는 EU 평균 승용차 약 1,300대의 연간 배출량, 30,000톤은 약 6,500대 또는 런던-시드니 왕복 이코노미 항공편 약 8,000명분, 60,000톤은 약 13,000대의 연간 배출량으로 비교됨

• 포함되지 않은 추가 비용

  • 사용자 기기에서 지속적으로 점유되는 4GB × N 디스크 저장 비용은 포함되지 않음
  • SSD의 내재 탄소 비용은 Tannu and Nair 2023 기준 약 0.16kg CO2e/GB NAND로 제시되며, 10억 대 × 4GB는 약 640,000톤 CO2e의 내재 SSD가 사용자가 동의하지 않은 용도에 배정되는 셈으로 계산됨
  • Nano가 실제 호출될 때의 온디바이스 추론 에너지도 포함되지 않으며, Chrome 일일 사용자 규모가 20억 명이면 작은 per-inference 비용도 더 이상 작지 않음
  • 사용자가 파일을 삭제하려다 재다운로드가 발생하면 매번 기기당 4GB × 0.06kWh × 0.25kg = 0.06kg CO2e가 추가됨
  • Gemini Nano는 한 번으로 끝나는 산물이 아니라 주기적 가중치 갱신이 있는 모델이므로, 갱신마다 같은 계산이 반복됨

• 대역폭 비용 자체의 문제

  • 4GB 원치 않는 페이로드의 네트워크 비용은 ISP, 이동통신사, 종량제 연결 사용자, 네트워크 인프라가 부담함
  • Pärssinen reference 기준으로 전달 에너지의 약 50%는 접속망과 CDN edge, 약 30%는 사용자 측 장비인 라우터·모뎀·NIC, 나머지는 코어망에 있음
  • 종량제 모바일 데이터 요금제를 쓰는 사용자, 특히 스마트폰이 유일한 인터넷 수단인 지역에서는 4GB 원치 않는 다운로드가 한 달 데이터 허용량에 가까울 수 있음
  • 4G·5G 모바일 데이터 요금제는 광, 케이블, ADSL 접근이 없는 가정에서 데스크톱 기기에도 쓰이므로 “모바일 기기에는 푸시하지 않는다”는 반론만으로는 충분하지 않음

Google이 했어야 할 조치

• Chrome이 Nano 모델을 처음 다운로드하려 할 때, “Chrome이 다음 기능을 위해 4GB AI 모델 파일을 기기에 다운로드하려 합니다. 허용하거나 나중에 결정하세요”라는 명확한 대화상자를 표시해야 함
• 사용자가 AI 기능을 처음 호출했을 때 다운로드가 발생하도록 pull 방식으로 설계하고, 기능 호출 자체를 동의 이벤트로 삼아야 함
• chrome://settings/에 Chrome이 다운로드한 AI 모델 파일, 크기, 해당 모델이 구동하는 기능, 모델별 “Remove and stop downloading” 버튼을 표시하고 제거가 지속되도록 해야 함
• Microsoft Store의 Chrome 설명, Chrome 설치 관리자, Google Chrome 다운로드 페이지에 지원 하드웨어에서 상당한 크기의 추가 모델 파일을 다운로드할 수 있음을 평이하게 고지해야 함
• 사용자가 weights.bin을 삭제하면 다시 생성하지 않아야 하며, 디스크에 무엇이 있어야 하는지에 대한 사용자의 강한 선호를 애플리케이션이 덮어써서는 안 됨
• Google 연례 ESG 보고서에 사용자 기기로 푸시되는 AI 기능 모델의 총 대역폭과 탄소 발자국을 지역별로 공개하고, CSRD 맥락에서 Scope 3 Category 11 배출로 회계 처리해야 함
• 이미 동의 없이 모델을 받은 사용자는 다음 Chrome 실행 시 무슨 일이 있었는지 안내받고, 파일 위치를 확인하며, 한 번의 클릭으로 철회와 제거를 수행할 수 있어야 함

결론적 쟁점

• Anthropic Claude Desktop manifest 설치와 Google Chrome Gemini Nano 푸시는 모두 사용자의 기기를 소유자가 통제하는 개인 장치가 아니라 벤더 제품 로드맵을 위한 배포 표면으로 취급한 결정임
• Anthropic 사례는 약 300만 Claude Desktop 사용자 기기에 브라우저 자동화 사전 권한을 배치한 것으로 제시되고, Google 사례는 중간 추정치 기준 약 5억 Chrome 사용자 기기에 4GB AI 가중치를 배치한 것으로 제시됨
• 두 회사는 안전, 윤리, 책임 있는 AI를 강조하지만, 문서화된 조용한 설치 동작은 그런 입장의 정당성을 떠받치는 기본 동의를 약화시킴
• AI 바이트라는 이유로 사용자의 기기에 허가 없이 기록되는 다른 바이트에 적용되는 법에서 예외가 되지 않으며, 사용자 디스크 대비 “작다”는 이유로 누적 탄소 발자국이 실제적이고 측정 가능한 기후 피해가 아니게 되지는 않음
• 다음 Chrome 업데이트가 동의 없는 설치를 제거하고 명시적 옵트인으로 바꾸는지 여부가 Google의 책임 있는 AI와 지속가능성 입장을 판단하는 기준으로 제시됨