구글 크롬 웹브라우저에 다양한 추가기능을 제공하는 확장프로그램이 사용자 정보보호에 취약한 것으로 드러났다.
최근 미국 보안업체 듀오시큐리티는 크롬 웹스토어에 등록된 확장프로그램과 앱 약 12만개를 분석한 결과를 공개했다. 이 회사는 지난해 시스코가 23억5000만달러에 인수한 인증보안 전문기업이다.
조사 결과, 크롬 확장프로그램 중 35.4%는 사용자가 방문하는 모든 사이트에서 사용자 데이터를 수집할 수 있는 권한을 요청했다. 9%는 웹브라우저 쿠키 정보까지 요구했다. 개인정보 보호정책을 기재하지 않은 확장프로그램 비율은 84.7%에 달했으며, 77.3%는 사용자 지원을 위한 웹사이트 주소도 표시하지 않았다.
크롬 확장프로그램 중 31.8%는 알려진 보안 취약점이 포함된 타사 자바스크립트 라이브러리를 사용하는 것으로 조사됐다. 확장프로그램 개발자가 업데이트로 해결하지 않을 경우 웹사이트상에 존재하는 각종 악성코드에 취약점을 노출한다. 이러한 문제를 가진 채 사용자가 방문하는 모든 웹사이트에서 데이터를 읽기를 요구하는 확장프로그램 비율도 15%나 됐다.
듀오시큐리티는 크롬 확장프로그램에 대한 각종 권한 부여가 무분별하게 이뤄지는 점을 지적했다. 대부분 확장프로그램은 사용자에게 권한 허가를 설치 과정에서 요구한다. 사전에 보안성을 검토하기 쉽지 않고, 사용자도 신중한 고려 없이 이를 받아들인다. 이러한 권한을 바탕으로 개인정보 보호정책 없이 사용자 데이터를 취급하므로, 악의적인 제3자가 개입할 경우 정보 유출이 불거질 수 있다.
듀오시큐리티는 크롬 확장프로그램 보안 분석 서비스 'CRX커베이터(CRXcavator)'를 개발해 이번 조사에 활용했다. 크롬 확장프로그램별 보안 위험을 분석하고 관련 보고서를 생성할 수 있는 도구다. 듀오시큐리티는 퍼블릭 베타 버전을 웹 기반으로 무료 서비스하며, 기업 관리자를 위한 'CRX커베이터 개더러' 크롬 확장프로그램도 함께 출시했다.
팽동현기자 paing@etnews.com