"구글 크롬 정책변경, 보안제품 확장기능도 차단"

최근 구글이 크롬 브라우저의 현존 광고차단 확장기능(extensions)을 무용지물로 만들 것이란 관측이 나왔다. 새 개발자 정책을 따르는 크롬 브라우저가 기존 다수 확장기능에 쓰이던 'webRequest' API 사용을 금지하면 이런 변화가 불가피하다는 지적이었다.

구글은 지난해 10월부터 크롬 오픈소스버전인 크로미엄 프로젝트 저장소에 새로운 크롬 확장기능 개발자 정책 문서(Manifest V3)를 게재해, 이런 변화를 예고했다. 이 문서가 시사하는 브라우저의 확장기능 지원 API 변경을 두고 외부 개발자들의 의견이 쏟아지고 있다.

크롬 웹스토어. 개발자들이 만든 브라우저 확장기능을 이용자가 내려받아 설치해 쓸 수 있다. 최근 구글은 확장기능 개발자 대상 정책 개정으로 관련 API 변경을 예고했다. 그 기능 변화로 광고와 악성콘텐츠 차단 동작을 하는 대다수 확장기능이 제 역할을 하기 어려워질 것이란 우려가 제기됐다.

정책 변경에 따른 지원 API 변경은 이렇게 요약된다. 향후 개발자는 확장기능에 네트워크 요청을 가로채 차단, 변경하는 webRequest API를 못 쓴다. 요청을 읽어들일 수 없는 declarativeNetRequest API로 대신해야 한다. [관련기사 ☞"구글, 크롬 광고차단 확장기능 차단 시도"]

실제 파장은 더 클 수 있다는 우려가 나온다. 광고차단뿐아니라, 크롬 브라우저에서 확장기능 형태로 제공되는 보안 솔루션 플러그인 역시 부정적 영향을 받는다는 진단이다. 안티바이러스, 자녀보호, 기타 프라이버시 강화를 지원하는 보안 플러그인이 무력해질 가능성이 있다.

25일 현재 크롬 브라우저의 점유율은 시장조사업체 넷마켓셰어와 스탯카운터 양 쪽 통계 기준 모두 60% 이상으로 파악된다. 전체 시장 점유율 과반의 명실상부 세계 1위 브라우저에 다가올 변화는 상당수 일반 이용자와 전체 인터넷 생태계에도 충격을 줄 수 있다.

지난 23일 미국 지디넷은 크롬 확장기능 개발자 정책 문서 V3 구현으로 API가 업데이트되면 단지 광고차단만이 아닌 여러 다른 확장기능마저 죽이는 상황을 초래할 거라 보도했다. [원문보기 ☞ Chrome API update will kill a bunch of other extensions, not just ad blockers]

보도는 "안티바이러스제품, 자녀보호솔루션, 그외 프라이버시 강화 서비스 등 여러 확장기능이 사라질 것"이라며 "F시큐어, 노스크립트(Noscript), 앰네스티인터내셔널, 에르메스사이버시큐리티, 이들과 여러 다른 확장기능 개발자들이 API 변경에 우려를 표했다"고 썼다.

구글은 이용자 보호를 개발자 정책 변경의 명분으로 내걸었지만, 업계 공감을 얻지 못한 분위기다. 아직 새 정책 문서내용 실현이 수반하는 브라우저 확장기능 API 변화가 언제부터 적용될 것인지는 불분명하다. 구글이 논란과 불만을 의식해 계획을 바꿀 수 있다는 관측도 있다.

미국 지디넷은 "크롬 개발자들은 제안된 API를 크롬, 비발디, 오페라, 브레이브와 기타 브라우저의 핵심인 크로미엄 코드 안에 구현하기 전에 의도적으로 외부 피드백을 듣는데 그 적절한 시기에 declarativeNetRequest API에 대한 비판이 제기된 점은 희소식"이라고 평했다.

하지만 "구글이 일반 이용자와 확장기능 개발자로부터 쏟아진 반발에 물러설까 의문이 남는다"면서, 공개적인 문제제기와 우려에도 크롬 브라우저에서 서드파티 광고차단 확장기능의 제한이 현실화한다면 많은 이용자들의 반감을 살 것이라 전망했다.

■ 광고차단기능 개발자들 우려 표명…자체 광고차단 탑재 예고한 구글에 비판

광고차단 확장기능 '유블록오리진'과 '유매트릭스'를 개발한 레이먼드 힐이 구글 정책 변경과 지원 API 변화에 비판 의견을 제기했다. 그는 구글이 기존 webRequest API를 대신해 declarativeNetRequest API를 쓰게 하면 자신이 개발한 확장기능의 능력이 축소된다고 밝혔다.

힐은 구체적으로, API 변경에 따라 자신의 광고차단 기능 가운데 특정한 스크립트를 차단하는 동작의 범위가 줄어든다고 지적했다. 여기에는 광고차단 확장기능이 처리해야 하는 여러 스크립트 가운데 웹사이트에 광고를 표출하는 광고업체들의 스크립트가 포함된다.

브라우저 확장기능 개발자 정책 변경을 공지한 크로미엄 저장소 포스팅과 관련 개발자 의견들.

또다른 크롬 브라우저용 광고차단 확장기능 개발업체인 '애드가드(AdGuard)'의 공동설립자 안드레이 메시코프(Andrey Meshkov)는 힐이 지적한 이런 변화가 다른 거의 모든 광고차단 확장기능에도 영향을 미칠 것이라고 지적했다.

이에 해외에서는 일반적인 크롬 브라우저 이용자와 여러 IT뉴스 사이트가 구글을 즉각 비판하고 나섰다. 구글은 불과 몇 주 전 크롬에 광고차단 기능을 스스로 넣겠다고 예고했다. 다음달부터 미국, 캐나다, 유럽 배포 버전에 적용하고 오는 7월부터 전세계 적용하는 계획이었다.

구글이 넣으려는 광고차단 기능은 모든 광고를 차단하지 않는다. 이용자의 '브라우저 경험'에 부정적인 영향을 주는 성가신 광고를 게재하는 사이트의 광고만 차단하도록 만들어진다. [원문보기 ☞ Google Chrome's built-in ad blocker to roll out worldwide on July 9]

■ 악성 스크립트, 해로운 트래픽 처리 기능 전체에 영향

구글의 API 변경으로 확장기능 중 광고차단뿐아니라 스크립트를 처리해야 하는 다른 종류에도 영향을 줄 수 있다는 비판이 이어졌다. 이용자를 악성 사이트 접근과 맬웨어 다운로드로부터 보호하는 기능을 구현한 안티바이러스 개발업체의 확장기능이 주요 대상으로 꼽혔다.

핀란드 안티바이러스 개발업체 F시큐어(F-Secure) 소속 시니어 소프트웨어 엔지니어 조우니 코르테(Jouni Korte)는 "악성 또는 이용자에게 해로울 수 있다고 판정된 https 트래픽의 차단을 확장기능 역할에 의존하는 보안 소프트웨어 또한 영향을 받을 것으로 보인다"고 언급했다.

그는 이어 "(확장기능에 의존하는 트래픽 차단 대상은) 맬웨어, 스파이웨어, 그외 문제 소프트웨어를 퍼뜨리는 페이지뿐아니라 (자녀) 이용자를 해롭거나, 그가 원치 않을 것으로 분류되는 콘텐츠로부터 보호하는 자녀보호(parental control)형 기능도 포함된다"고 덧붙였다.

거의 모든 인터넷 이용자가 피싱사이트를 통한 위협에 노출돼 있다. 피싱은 계정 도용, 주요 정보 유출, 랜섬웨어나 유해 스크립트 악성코드 감염 등 추가 피해로도 이어질 수 있다. [사진=Pixabay]

국제인권보호단체 앰네스티인터내셔널 소속 시니어 테크놀로지스트 클라우디오 과니에리도 조우니의 견해에 동의를 표했다. 그는 "나는 이 변화가 수많은 보안 확장기능을 올바르게 동작하지 못하게 막을 것이라 본다"고 지적했다.

드라이브바이(drive-by) 공격과 피싱 사이트로부터 크롬 이용자는 를 보호하는 'Blockade.io' 확장기능의 개발자 브랜든 딕슨도 "정책에 제안된 변화는 취약한 커뮤니티를 지원하는 우리 역량을 없애버릴 것"이라며 "webRequest를 차단하는 변화를 재고해 달라"고 촉구했다.

■ "새 API, 최종형태 아니야"…크로미엄 엔지니어, 변화 여지 언급

광범위한 인터넷프라이버시 기능을 지원하는 'Priowny' 개발자이자 아동보호 확장기능을 만드는 크리스토프 코박스도 비슷한 의견을 피력한 인물이다. 그는 피싱사이트로 알려진 곳에 이용자 접속을 차단하는 확장기능을 만드는 에르메스사이버시큐리티 소속이기도 하다.

파이어폭스용 프라이버시 확장기능 '노스크립트(Noscript)' 개발자 조르지오 마오네(Giorgio Maone) 역시 우려를 표했다. 그는 자신이 1년 이상 개발해 왔고 출시에 기대를 받아 온 크롬 브라우저용 노스크립트 출시가 이번 구글의 정책 변화로 불가능해질 수 있다고 언급했다.

미국 지디넷 보도에 따르면 파이어폭스용 노스크립트는 자바스크립트 코드를 차단한다. 프라이버시 보호를 강화한 토르(Tor)에 기본 탑재돼 있다. 보안전문가들 사이에서도 호평받고 있다. 그 개발자 마오네는 수년간 크롬 브라우저용 노스크립트 출시 요청을 받아 왔다.