2014.01.22

IDG 블로그 | 사용자도 개발자도 구글도 속인 크롬 스패머…사전 대응책 필요

Serdar Yegulalp | InfoWorld
구글 크롬의 확장 기능과 애드온 문화는 크롬 브라우저의 가장 큰 매력 중 하나이다. 물론 일부 애드온은 전혀 쓸모 없거나 심지어 악의적이기도 하지만 말이다.

그런데 이제 크롬 애드온 사용자는 또 다른 복잡성에 직면하게 됐다. 오랫동안 믿고 사용해 온 애드온이 다른 업체에게 팔리면서 애드웨어가 되거나 기타 원치 않는 성가신 일들이 생겨나는 것이다. 심지어는 이 문제에 대응할 수 있는 손쉬운 기술적 해결책도 없는 실정이다.

문제가 된 애드온 2가지는 애드 투 피들리(Add to Feedly)와 트윗 디스 페이지(Tweet This Page)으로, 다른 업체에 인수되면서 애드웨어 전달 시스템이 되고 말았다. 두 경우 모두 애드온 개발자가 다른 개발사에 매각했는데, 트윗 디스 페이지의 경우는 오픈소스 프로젝트였는데 코드를 매각해 버렸다. 두 애드온 모두 현재는 크롬 웹 스토어에서 삭제된 상태이다.

문제는 이런 확장 기능은 일단 크롬에 설치하고 필요한 승인을 하고 나면 사용자와 추가적인 인터랙션없이 자체적으로 업데이트를 진행할 수 있다는 것. 구글도 애드온의 소유자가 바뀌었을 때는 해당 기능을 재인증하도록 할 수 있는 매커니즘은 준비하지 못한 상태이다. 현재 적용할 수 있는 한 가지 방법은 소유권이 바뀐 크롬 애드온은 완전히 새로운 애드온으로 다시 등록하도록 절차와 조건을 바꾸는 정도이다.

또 하나의 문제는 이런 애드온이 일으킬 수 있는 문제가 즉각적으로 인지되지 않는다는 것. 크롬은 버전24부터 악의적인 다운로드는 사전에 차단을 하고 몰래 설치되는 확장 기능도 차단한다. 하지만 몰래 사용자의 행동을 수익화하거나 방문한 웹 사이트에서 정보를 훔쳐가는 플러그인은 탐지하지 못한다. 고스터리(Ghostery)같이 웹 페이지 내의 이런 행위를 탐지하는 서드파티 애드온 역시 다른 크롬 애드온을 탐지해 낼 수 있는지도 확실하지 않다.

물론 문제의 원흉은 애드온을 사들인 후 기존 사용자의 신뢰를 악용하는 업체들이다. 이들의 행위는 크롬 웹 스토어의 서비스 조건에 위배되는 것으로, 구글 역시 확장 기능은 “구체적이고 이해하기 쉬운 단일 용도라야 한다”고 못박고 있다.

이번에 구글은 문제가 된 애드온을 삭제하는 등 발빠른 대응을 보여주고 있다. 하지만 더 중요한 것은 선제적인 해결책을 마련하는 것이다. 실제로 사용자의 데이터를 악용해 수익을 내려는 애드온은 그리 오랫동안 운영될 필요가 없다. 대부분의 피싱 사이트는 하루 이상을 가지 않지만, 짧은 시간에 막대한 트래픽을 끌어낸다.

브라우저와 확장 기능과 애드온은 편리한 만큼 문제도 많은 요소였으며, 구글은 크롬을 통해 많은 개선을 이루어 왔다. 2013년 9월 구글은 구형 넷스케이프 플러그인 API 아키텍처 사용을 중단하는 결정을 내렸다. 안정성이나 보안 측면에서 여러 문제를 안고 있던 이들 플러그인은 자연히 도태되었다. 구글의 지속적인 혁신을 기대해 본다.  editor@itworld.co.kr


2014.01.22

IDG 블로그 | 사용자도 개발자도 구글도 속인 크롬 스패머…사전 대응책 필요

Serdar Yegulalp | InfoWorld
구글 크롬의 확장 기능과 애드온 문화는 크롬 브라우저의 가장 큰 매력 중 하나이다. 물론 일부 애드온은 전혀 쓸모 없거나 심지어 악의적이기도 하지만 말이다.

그런데 이제 크롬 애드온 사용자는 또 다른 복잡성에 직면하게 됐다. 오랫동안 믿고 사용해 온 애드온이 다른 업체에게 팔리면서 애드웨어가 되거나 기타 원치 않는 성가신 일들이 생겨나는 것이다. 심지어는 이 문제에 대응할 수 있는 손쉬운 기술적 해결책도 없는 실정이다.

문제가 된 애드온 2가지는 애드 투 피들리(Add to Feedly)와 트윗 디스 페이지(Tweet This Page)으로, 다른 업체에 인수되면서 애드웨어 전달 시스템이 되고 말았다. 두 경우 모두 애드온 개발자가 다른 개발사에 매각했는데, 트윗 디스 페이지의 경우는 오픈소스 프로젝트였는데 코드를 매각해 버렸다. 두 애드온 모두 현재는 크롬 웹 스토어에서 삭제된 상태이다.

문제는 이런 확장 기능은 일단 크롬에 설치하고 필요한 승인을 하고 나면 사용자와 추가적인 인터랙션없이 자체적으로 업데이트를 진행할 수 있다는 것. 구글도 애드온의 소유자가 바뀌었을 때는 해당 기능을 재인증하도록 할 수 있는 매커니즘은 준비하지 못한 상태이다. 현재 적용할 수 있는 한 가지 방법은 소유권이 바뀐 크롬 애드온은 완전히 새로운 애드온으로 다시 등록하도록 절차와 조건을 바꾸는 정도이다.

또 하나의 문제는 이런 애드온이 일으킬 수 있는 문제가 즉각적으로 인지되지 않는다는 것. 크롬은 버전24부터 악의적인 다운로드는 사전에 차단을 하고 몰래 설치되는 확장 기능도 차단한다. 하지만 몰래 사용자의 행동을 수익화하거나 방문한 웹 사이트에서 정보를 훔쳐가는 플러그인은 탐지하지 못한다. 고스터리(Ghostery)같이 웹 페이지 내의 이런 행위를 탐지하는 서드파티 애드온 역시 다른 크롬 애드온을 탐지해 낼 수 있는지도 확실하지 않다.

물론 문제의 원흉은 애드온을 사들인 후 기존 사용자의 신뢰를 악용하는 업체들이다. 이들의 행위는 크롬 웹 스토어의 서비스 조건에 위배되는 것으로, 구글 역시 확장 기능은 “구체적이고 이해하기 쉬운 단일 용도라야 한다”고 못박고 있다.

이번에 구글은 문제가 된 애드온을 삭제하는 등 발빠른 대응을 보여주고 있다. 하지만 더 중요한 것은 선제적인 해결책을 마련하는 것이다. 실제로 사용자의 데이터를 악용해 수익을 내려는 애드온은 그리 오랫동안 운영될 필요가 없다. 대부분의 피싱 사이트는 하루 이상을 가지 않지만, 짧은 시간에 막대한 트래픽을 끌어낸다.

브라우저와 확장 기능과 애드온은 편리한 만큼 문제도 많은 요소였으며, 구글은 크롬을 통해 많은 개선을 이루어 왔다. 2013년 9월 구글은 구형 넷스케이프 플러그인 API 아키텍처 사용을 중단하는 결정을 내렸다. 안정성이나 보안 측면에서 여러 문제를 안고 있던 이들 플러그인은 자연히 도태되었다. 구글의 지속적인 혁신을 기대해 본다.  editor@itworld.co.kr


X