Home - News - 크롬 Featured 인증 확장프로그램 AI 대화 수집(VPN, 광고차단기)

크롬 Featured 인증 확장프로그램 AI 대화 수집(VPN, 광고차단기)

Hours 최종 업데이트 :
Comments 0 Comments
Contents

또 무료 VPN의 개인정보 수집

크롬 확장프로그램(Extensions) 몰래 사용자의 AI 대화내용을 가로채다.

이 뉴스를 모르고 있다가 오늘 뒤늦게 올립니다. 무료 VPN 업체들은 유료 전환율이 매우 낮은 편이기 때문에 가입자 수익으로만 유지하기는 어렵습니다. 그렇다면 그들의 선택은 두 가지 밖에 없습니다. 폐업하거나, 다른 방식으로 돈을 벌기위해 기회를 노릴 수 밖에 없는거죠.

중소 VPN 업체들이 따로 수익 모델을 만들기도 어렵지만 수익을 내는 것은 더더욱 어렵습니다. Top 10 정도로 성장한 업체들도 꾸준하게 다양한 것을 시도하지만 시장에서 유저들에게 매 달 돈을 받을 수 있는 서비스는 찾아보기 어려운게 사실이죠.

인지도가 더 낮은 회사들은? 희망이 없는 수준입니다. 무료 VPN 순위 싸움 유지하면서 초보자들을 최대한 끌어모아 몇 퍼센트라도 유료 전환하게 만드는 것 이외에는 뾰족한 방법이 없어보입니다.

문제의 크롬 확장프로그램

이번에 Koi Security 연구진이 밝혀낸 크롬 확장프로그램은 총 4개 입니다.

  • Urban VPN Proxy
  • Urban Browser Guard
  • Urban Ad Blocker (삭제됨)
  • 1ClickVPN Proxy: 1ClickVPN 같은 이름으로 2개가 있었는데 뒤에 Proxy가 붙지 않은 것으로 봐서 문제 된 확장프로그램은 삭제된 것인지 확실히 모르겠으나 아래 말씀드릴 원조 원클릭VPN도 만만치 않습니다.

3개의 Urban은 미국 델라웨어에 위치한 Urban Cyber Security의 제품입니다.

ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok (xAI), Meta AI 등 현재 전 세계 사람들이 사용하는 유명 AI 플랫폼과 사용자가 주고받는 모든 대화들이 수집되었다고 해요. 일개 무료 VPN 회사 하나가 이정도까지 가능하다면, 우리 모르고 있을 뿐 확장프로그램 스토어는 지뢰밭이라고 봐도 무방할 것 같습니다.

그리고 아직도 Urban VPN Proxy가 크롬 스토어에서 다운로드 가능하다는 것도 어이없습니다. 문제된 코드를 패치는 했겠지만 그냥 이렇게 넘어가면 되는건가요?

특히 Urban VPN의 경우 사건이 터지기 전에 Featured(추천) 앱으로 크롬 스토어에서 배포되고 있었습니다. 제가 작성했던 과거 리뷰를 보면 그대로 나와있어요.

수집하는 데이터

  • 개인 식별 정보
    • 예: 이름, 주소, 이메일 주소, 연령, 개인 식별 번호
  • 금융 및 결제 정보
    • 예: 거래, 신용카드 번호, 신용 등급, 재무제표, 결제 내역
  • 위치
    • 예: 지역, IP 주소, GPS 좌표 또는 사용자 기기 주변 사물에 관한 정보 웹 기록 사용자가 방문한 웹 페이지 목록과 페이지 제목, 방문 시각 등 관련 데이터
  • 사용자 활동
    • 예: 네트워크 모니터링, 클릭수, 마우스 위치, 스크롤, 키 입력 로깅
  • 웹사이트 콘텐츠
    • 예: 텍스트, 이미지, 소리, 동영상, 하이퍼링크

긴 말이 필요없죠.

확장프로그램이 데이터 수집한 방식

  • 데이터 수집은 VPN 연결 여부와 무관하게 백그라운드에서 지속적으로 실행됨
  • 사용자가 ChatGPT, Claude, Gemini 등 AI 플랫폼 접속 시 플랫폼별 실행 스크립트 삽입
  • 삽입된 스크립트가 브라우저 네트워크 API(fetch, XMLHttpRequest)를 재정의하여 모든 API 요청·응답 가로챔
  • 가로챈 데이터에서 프롬프트, AI 응답, 타임스탬프, 대화 ID 등을 추출 및 패키징
  • window.postMessage(PANELOS_MESSAGE 식별자)를 통해 콘텐츠 스크립트로 데이터 전달
  • 백그라운드 서비스 워커가 데이터를 압축 후 Urban VPN 서버(analytics.urban-vpn.com, stats.urban-vpn.com 등)로 전송

방패와 갑옷은 신중하게 선택해야

우리를 지켜준다면서 개인정보를 수집해서 판매한 소프트웨어의 역사는 오래되었습니다. 과거엔 안티바이러스 회사들이 노골적으로 데이터를 수집해갔죠. 지금도 VPN, 광고차단기, 각종 보안 확장프로그램들이 이렇게 문제를 일으키고있는데 정말 조심해야합니다.

저는 업계에서 검증과 인정받는 회사 아니면 오픈소스를 최대한 활용합니다. 사용자 입장에서 할 수 있는 것은 신중한 선택밖에없어요.

무료 VPN의 위험성에 대한 글을 읽어보세요. 과거부터 이런 시도는 끝없이 이루어졌습니다.

아직 댓글이 없습니다

댓글 남기기