확장 프로그램 개발자들이 최소 6.5만 명의 사용자 데이터를 판매하고 있는데, 이 모든 것이 완전히 합법적입니다.

요약 :

LayerX Security의 새로운 연구에 따르면 사용자 데이터를 수집하고 이를 되팔아 이익을 취하는 여러 브라우저 확장 프로그램 네트워크가 발견되었는데, 놀랍게도 이 모든 것이 완전히 합법적입니다. 악성 확장 프로그램처럼 위장하여 몰래 데이터를 수집하고 판매하는 것과는 달리, 이러한 확장 프로그램은 사용자의 데이터를 수집하고 판매할 것이라고 명시적으로 알리기 때문입니다. 개인정보처리방침에 분명히 명시되어 있지만, 아무도 읽지 않습니다.

LayerX는 수천 개의 확장 프로그램 개인정보 보호정책을 분석한 결과, 고객 데이터를 수집하고 판매하는 80개 이상의 확장 프로그램을 발견했습니다. 이러한 확장 프로그램에는 다음이 포함됩니다.

• 800,000만 명의 사용자에게 설치된 24개의 미디어 확장 프로그램 네트워크는 Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV 등 주요 스트리밍 플랫폼의 시청 데이터와 인구 통계 정보를 수집했습니다.
• 총 5.5만 명 이상의 사용자를 보유한 12개의 광고 차단 앱이 사용자 데이터를 공개적으로 판매하고 있습니다.
• 그 외에도 50개에 가까운 확장 프로그램이 총 100,000만 명이 넘는 사용자를 대상으로 사용자들의 브라우징 데이터를 수집하고 재판매했습니다.

브라우저 확장 프로그램은 무해해 보일 수 있지만, 이러한 조사 결과는 확장 프로그램의 무분별한 사용으로 인해 발생할 수 있는 개인정보 유출 위험을 강조합니다.

모든 것을 합법화하는 세부 조항

개인정보 보호정책. 읽는 건 마치 페인트가 마르는 걸 지켜보는 것처럼 지루합니다. 대부분의 사용자에게는 주택담보대출 계약서의 세부 조항을 읽는 것보다 더 고통스러울 정도죠. 정말 심각한 문제입니다.

하지만 우리는 그렇게 했죠.

LayerX Security의 연구원인 Dar Kahllon과 Guy Erez는 공식 스토어에서 제공되는 수천 개의 브라우저 확장 프로그램의 개인정보 보호정책을 분석했습니다. 그들이 찾고자 했던 것은 단 하나, 게시자가 명시적으로 다음 권리를 보유하는지 여부였습니다. 사용자 데이터 판매.

그리고 우리는 그것들을 찾아냈습니다. 분석 결과 최소 80개의 유사 확장 프로그램이 발견되었으며, 일부는 서로 공모하여 개발되었고, 모든 확장 프로그램은 동일한 개발자가 제작한 것으로 나타났습니다. 이러한 확장 프로그램은 광고 차단기, 스트리밍 도구, 구직 지원 도우미, 새 탭 확장 프로그램, B2B 영업 인텔리전스 플랫폼 등 다양합니다.

대부분의 정책은 "우리는 당신의 데이터를 판매합니다"라고 명시적으로 말하지 않습니다. 대신 "판매할 수도 있습니다"라고 말합니다. 이는 법적인 안전장치이지만, 당신의 데이터가 언제든 판매될 수 있으며, 당신은 이미 이에 동의한 셈입니다. 실제로 어떻게 적용되는지 살펴보겠습니다.

"당사는 귀하의 개인 정보를 제3자에게 판매하거나 공유할 수 있습니다."

“이 정보는 비즈니스 파트너에게 판매되거나 공유될 수 있습니다.”

뭐라고요? 브라우저 확장 프로그램에도 개인정보 보호정책이 있다고요?!

솔직히 말하면, 대부분은 그렇지 않아요.

그림 1. 개인정보 보호정책 투명성

LayerX에 따르면 엔터프라이즈 브라우저 확장 프로그램 보안 보고서 2026크롬 웹 스토어에 있는 모든 확장 프로그램 중 71%는 개인정보 보호정책을 게시하지도 않습니다. 

결과적으로, 사용자 중 73% 이상이 개인정보 처리방침이 없는 확장 프로그램을 하나 이상 설치했으며, 데이터 처리 방식에 대한 투명성이 부족합니다. 따라서 저희 분석은 개인정보 처리방침이 있는 29%의 확장 프로그램만을 기반으로 할 수밖에 없었습니다. 

그리고 개인정보 보호정책이 전혀 없는 확장 프로그램 중 일부도 사용자의 데이터를 재판매할 것이라고 가정한다면(그리고 그런 확장 프로그램들이 더 나을 것이라고 가정할 이유도 없습니다), 크롬 웹 스토어에서 사용자의 데이터를 판매할 가능성이 있는 확장 프로그램의 실제 수는 다음과 같습니다. 수만.

데이터 분석 방법

우리는 자동 분류와 수동 검증을 결합하여 공식 스토어의 브라우저 확장 프로그램과 관련된 개인정보 보호정책을 분석하는 파이프라인을 구축했습니다.

데이터베이스에 개인정보 보호정책 URL이 있는 약 9,000개의 확장 프로그램 중에서 6,666개의 정책을 성공적으로 가져와 분석했습니다.

해당 파이프라인은 세 단계로 진행되었습니다.

1. 먼저, AI 분류 시스템을 통해 사용자 데이터의 판매, 라이선스 부여 또는 상업적 이전을 공개하는 정책을 식별했습니다. 그런 다음, 높은 신뢰도의 일치 항목을 검토 대상으로 표시하고, 표시된 모든 정책을 수동으로 검증했습니다.
2. 수동 검토를 통해 오탐을 제거했습니다. 여기에는 다음이 포함됩니다.
   1. 1. Fortinet, CrowdStrike와 같은 기업용 보안 도구는 웹 필터링 동작의 일환으로 브라우징 데이터를 자체 서버로 전송합니다.
      2. CCPA의 표준 광고 리타겟팅 공개(예: HubSpot, Calendly)에서는 Google Ads와 같은 플랫폼과 쿠키를 공유하는 것이 광범위한 정의에 따라 기술적으로 "판매"로 간주될 수 있습니다.
      3. 사용자가 명시적으로 동의하고 보상을 받는 동의 기반 데이터 수익화 플랫폼(예: Swash)

   최종 데이터 세트에는 개인정보 보호 정책에서 사용자 데이터를 제3자에게 실제로 상업적으로 판매한다고 명시한 확장 프로그램만 포함됩니다.

3. 최종 집계 결과, 94개의 상점 목록에서 총 82개의 고유한 확장 프로그램을 발견했습니다.. 현재 크롬 웹 스토어에는 75개의 확장 프로그램이 활성화되어 있습니다. 나머지 7개는 스토어에서 삭제되었지만, "삭제"되었다고 해서 "제거"된 것은 아닙니다. 스토어에서 삭제된 확장 프로그램은 이미 설치된 브라우저에서는 계속 활성화된 상태로 유지될 수 있습니다.

이 수치가 낮아 보일 수 있지만, 이 수치는 애초에 개인정보 보호정책을 갖춘 확장 프로그램(전체 확장 프로그램의 3분의 1 미만)과 사용자의 데이터를 어떻게 처리하는지 명확히 밝히는 확장 프로그램만을 대상으로 한 것이라는 점을 유념해야 합니다. 실제 수치는 훨씬 더 높을 가능성이 큽니다.

주요 결과 몇 가지를 소개합니다.

QVI 제국: 익명의 퍼블리셔 한 명, 24개의 확장 프로그램, 800,000만 명의 사용자

확인된 판매자들을 검토하는 동안, 공통적인 패턴이 계속해서 눈에 띄었습니다. 확장자도 다르고 스트리밍 플랫폼도 다르지만, 세 글자로 된 접두사는 모두 동일했습니다. QVI – “Quality Viewership Initiative”의 약자입니다.

서로 관련 없어 보였던 도구들이 사실은 하나의 프로젝트였다는 것이 밝혀졌습니다. 거의 모든 주요 스트리밍 서비스를 지원하는 24개의 브라우저 확장 프로그램(현재 21개는 활성화되어 있고 3개는 삭제됨)이 포함된 프로젝트였습니다.

• 넷플릭스
• 훌루
• 디즈니 +
• Amazon Prime Video
• HBO 최대
• 공작
• 파라마운트 +
• TUBI
• Apple TV +
• 크런치 롤

모두 다음에서 발행되었습니다. 하이드앱 LLC와이오밍주 샤이엔의 이스트 링컨웨이 1021번지에 등록되어 있으며, 이 주소는 등록 대리인 서비스를 통해 수백 개의 다른 LLC와 공유되고 있습니다. 또한 "도구드앱. "

네트워크에서 가장 큰 확장 기능: 

• 넷플릭스 맞춤 프로필 사진 (사용자 200만 명)
• Hulu 광고 건너뛰기 (100K)
• 넷플릭스 화면 속 화면 (100K)
• 프라임 비디오 광고 건너뛰기 (60K)
• 넷플릭스 확장판 (60K)

21개의 활성 확장 회선을 모두 합치면 네트워크는 거의 도달합니다. 800,000 사용자.

그림 2. 크롬 스토어의 "넷플릭스용 맞춤 프로필 사진 [QVI]" 확장 프로그램 페이지

하지만 해당 업체의 개인정보 보호정책에는 스토어 상품 설명에는 나와 있지 않은 내용이 있습니다. 이러한 확장 프로그램은 다음과 같은 광범위한 정보를 수집합니다.

• 시청 기록
• 콘텐츠 기본 설정
• 플랫폼 구독
• 다운로드된 콘텐츠
• 스트리밍 동작 

또한 나이와 성별 정보도 수집하며, 사용자가 인구 통계 정보를 제공하지 않을 경우 제3자 인구 통계 데이터베이스와 이메일 주소를 대조하여 부족한 정보를 채웁니다.

그림 3. "넷플릭스용 맞춤 프로필 사진[QVI]" 확장 프로그램의 개인정보 보호정책에 따라 수집된 것으로 명시된 데이터

이 정책은 콘텐츠 제작자 및 스튜디오, 스트리밍 플랫폼, 미디어 조사 회사, 마케팅 대행사, 그리고 "익명화된 시청 데이터를 구매하는 조직"에 보고서를 판매하는 것에 대해 설명합니다.

이 모든 것을 종합해 보면, 사용자 브라우저 내에서 실행되는 분산형 시청률 측정 시스템이 되는 것입니다. 익명의 퍼블리셔 하나가 모든 주요 스트리밍 플랫폼의 시청 행태를 수집하여 약 800,000만 명의 사람들이 무엇을 언제 어떻게 시청하는지에 대한 정보를 구축하는 것이죠. 이 사용자들 중 누구도 이에 동의한 적이 없습니다. 법적으로는 "크롬에 추가"를 클릭하는 순간 약관에 동의한 것이지만, 실제로는 아무도 약관을 읽어보지 않았을 겁니다.

 

일부 광고는 차단하지만, 다른 광고 업체에 사용자 데이터를 판매하는 광고 차단 프로그램입니다.

우리는 확인했습니다 8개의 광고 차단기 제3자에게 사용자 정보를 판매하거나 공유할 권리를 보유하는 업체들. 추적을 막기 위해 설치하는 도구들(이러한 도구들은 추적 데이터를 판매하는 경우가 많습니다). 이들을 모두 합치면 그 규모는 100만 건이 넘습니다. 5.5 만명.

• 스탠드 AdBlocker (3M 사용자)는 "시장 분석 목적"으로 브라우징 데이터를 제3자에게 판매합니다.
• Poper 차단제 (2만 사용자)는 사용자가 방문하는 URL에서 추론된 개인 식별 정보, 검색 활동, 행동 프로필 및 건강 상태, 종교적 신념, 성적 지향을 포함한 민감한 데이터를 판매합니다.
• 전체 블록유튜브 광고 차단 앱(사용자 500만 명)은 익명화된 데이터를 "분석 및 상업적 목적"으로 판매합니다. 이 앱은 런던에 본사를 둔 Curly Doggo Limited라는 회사에서 출시했습니다.
• 트위블로커 (8만 명의 사용자)는 브라우징 데이터를 제3자에게 전송하며, 제3자는 해당 데이터를 "분석 목적으로 처리하거나 판매"한다고 밝혔습니다.
• 도시의 AdBlocker (10명의 사용자)는 BiScience 데이터 브로커를 통해 브라우징 데이터와 AI 대화를 처리합니다.

사용하는 광고 차단 프로그램의 개인정보 보호정책이 두 단락 이상이라면 꼭 읽어보세요.

그림 4. 크롬 스토어의 추천 광고 차단 앱

독립 통신 사업자도 귀하의 데이터를 판매할 수 있습니다.

이것들은 목록에서 가장 큰 확장 기능은 아니지만, 데이터 판매 모델이 얼마나 광범위하게 퍼져 있는지를 보여줍니다.

• Career.io 채용 자동 지원 (10K 사용자)는 개인정보 처리방침에서 사용자의 이력서에서 수집한 개인 정보를 데이터 브로커를 포함한 제3자에게 타겟 광고 및 프로파일링 목적으로 판매할 수 있다고 명시하고 있습니다. 이력서를 판매하는 구직 도구인 셈입니다.
• 개 마음에 드는 사람 (6천 명 사용자)는 귀여운 강아지 배경화면 새 탭 확장 프로그램입니다. Apex Media 네트워크를 통해 데이터 판매자가 확인되었습니다.
• 이메일온덱 (10K 사용자)는 임시 이메일 서비스로, 사람들이 특정 상황에서 사용하는 도구입니다. 하지 실제 정보를 공유하고 싶어하지 않습니다. 해당 회사의 정책에는 메일링 리스트를 판매, 임대 또는 공유할 수 있다고 명시되어 있습니다.
• 설문 조사 중독자 소비자가 방문한 URL, 클릭스트림 데이터, 소비자 선호도에 대한 "모델링된 정보"를 시장 조사 기관, 광고 대행사 및 데이터 분석 제공업체에 판매한다는 사실을 공개합니다.
• Dashy 새 탭 (사용자 10만 명)은 크롬 웹 스토어 목록에 "사용자 데이터를 판매하지 않습니다"라고 표시되어 있습니다. 하지만 실제 개인정보처리방침에는 "판매 또는 공유: 예"라고 명시되어 있습니다. 저희는 이것이 상업적 데이터 판매가 아닌 일반적인 분석에 대한 CCPA(캘리포니아 소비자 개인정보 보호법) 준수 문구라고 판단하여 해당 부분을 제외했습니다. 그러나 스토어 목록과 개인정보처리방침 간의 모순은 분명히 존재합니다. 게시자의 자체 정책에 "판매 또는 공유: 예"라고 명시되어 있고 스토어 목록에는 그 반대로 되어 있다면, 사용자는 어느 쪽을 신뢰해야 할까요?

직원들이 사용하는 확장 프로그램이 데이터를 판매하는 경우

확인된 판매자 82명 중 29명은 B2B 영업 인텔리전스 도구 업체입니다. is 데이터이기 때문에 공개 자체는 놀라운 일이 아닙니다. 우리는 이를 소비자 대상 확장 기능과 함께 계산하지 않습니다.

하지만 이러한 확장 프로그램들은 이 논의에 반드시 포함되어야 합니다. 이러한 확장 프로그램들은 회사 컴퓨터에 설치됩니다. 즉, 직원들의 인터넷 검색 활동(내부 URL, SaaS 대시보드, 검색 활동 등)이 경쟁업체가 구매할 수 있는 상업용 데이터베이스로 유입된다는 뜻입니다. 문제는 사용자가 속는 것이 아니라, 아무도 감시하지 않는 경로를 통해 기업 데이터가 유출되는 것입니다.

보안팀이 이 문제에 대해 취해야 할 조치는 무엇일까요?

대부분의 확장 프로그램 보안 평가는 권한이나 알려진 악성 징후에 초점을 맞춰 과도한 접근 권한을 요청하거나 위협 인텔리전스와 일치하는 확장 프로그램을 표시합니다. 이는 악성 프로그램을 탐지하는 데는 효과적이지만, 사용자의 검색 데이터를 판매할 권리를 공공연히 주장하는 확장 프로그램은 탐지하지 못합니다.

데이터 판매 고지 조항이 포함된 계약 연장은 가상의 위험이 아닙니다. 이는 직원들이 읽지도 않고 수락한 문서에 명시된 공식적인 사업 관행입니다.

꼭 물어볼 만한 세 가지 질문: 

1. 직원들의 브라우저에는 어떤 확장 프로그램이 설치되어 있습니까? 
2. 해당 출판사들이 수집 또는 판매할 권리를 주장하는 데이터는 무엇인가요? 
3. 기업 인터넷 검색 활동이 상업용 데이터 세트로 유입될 가능성이 있을까요?

대부분의 브라우저는 이미 기업 정책을 통해 중앙 집중식 확장 프로그램 관리를 지원합니다. Chrome의 ExtensionSettings, Edge의 그룹 정책, Firefox의 기업 구성 등이 그 예입니다. 확장 프로그램 관리 정책이 없다면, 먼저 정책을 수립해야 합니다. 이미 정책이 있다면, 평가 기준에 개인정보 보호 정책 검토를 추가하세요. 권한만으로는 충분한 정보를 얻을 수 없습니다.

이를 위해 LayerX는 개인정보 보호정책이 전혀 없거나 개인 데이터 판매 권리를 보유하는 확장 프로그램을 감지하고 필터링(원하는 경우 차단 포함)하는 새로운 필터를 추가했습니다.

사용자 데이터 판매 사실을 공개하거나 개인정보 처리방침을 전혀 게시하지 않는 확장 프로그램은 차단하는 것을 고려해 보세요.

그림 5. LayerX 확장 데이터 개인 정보 보호 필터  

히프 라인

브라우저 확장 프로그램은 웹에서 가장 강력하면서도 가장 감시가 덜 되는 도구 중 하나입니다. 대부분의 관심은 사용자와 기업의 데이터를 적극적으로 탈취하는 악성 프로그램에 집중되어 있지만, 개인정보 침해는 사소해 보일 수 있어도 위험할 수 있습니다.

조직 내 모든 사용자가 설치한 모든 확장 프로그램의 개인정보 보호정책을 일일이 검토하는 것은 수백, 수천 개의 확장 프로그램에 달할 수 있으며, 이는 현실적으로 불가능합니다.

대신, 조직은 의심스러운 확장 프로그램을 제한하고 개인 정보 보호 설정을 고려할 수 있는 자동화 도구를 배포하기 시작해야 합니다.