텔아비브에 본사를 둔 보안 회사인 Koi는 Urban VPN Proxy Chrome 확장 프로그램에 연결된 대규모 데이터 수집 작업을 발견했습니다. 무료 확장 프로그램에는 약 600만 명의 사용자가 있으며 Chrome 웹 스토어에 ‘추천’ 배지가 표시되어 Google의 승인을 나타냅니다. Koi 연구원 Idan Dardikman은 확장 프로그램에 주요 AI 플랫폼에서 사용자 대화를 가로채서 캡처하는 숨겨진 “실행자” 스크립트가 어떻게 포함되어 있는지 자세히 설명했습니다. 이러한 플랫폼에는 OpenAI의 ChatGPT, Anthropic의 Claude, Google의 Gemini, DeepSeek 및 xAI의 Grok이 포함됩니다. 수집된 데이터는 의학적 질문, 금융 세부정보, 독점 코드, 개인적인 딜레마 등 광범위한 사용자 쿼리를 다루고 있습니다. Dardikman에 따르면 이 정보는 마케팅 분석 목적으로 판매됩니다. VPN이 활성화되어 있는지 여부에 관계없이 데이터 수집이 지속적으로 실행됩니다. 스크립트는 설치 시 기본적으로 활성화되며 이를 비활성화할 수 있는 사용자 측 토글은 없습니다. 스크래핑을 중단하려면 사용자가 확장 프로그램을 완전히 제거해야 합니다. Urban VPN Proxy를 개발한 Urban Cyber Security Inc.는 개인정보 보호정책을 통해 이러한 관행을 공개합니다. 정책에는 회사가 제휴 데이터 브로커인 BiScience와 웹 검색 데이터를 공유한다고 명시되어 있습니다. BiScience는 이 원시 데이터를 비즈니스 파트너에게 상업적으로 판매할 수 있는 통찰력으로 처리합니다. 이와 대조적으로 확장 프로그램의 Chrome 웹 스토어 페이지에서는 사용자 데이터가 승인된 사용 사례 이외의 제3자에게 판매되지 않는다고 주장합니다. 또한 확장 프로그램의 핵심 기능과 관련되지 않은 목적으로 데이터가 사용되거나 전송되지 않는다고 주장합니다. Forbes 보고에 따르면 동일한 게시자가 동일한 AI 수확 기능을 갖춘 최소 7개의 추가 확장 프로그램을 운영하고 있는 것으로 나타났습니다. 이러한 앱은 합쳐서 2백만 명 이상의 사용자에게 서비스를 제공하고 있으며, 한 개를 제외한 모든 앱에는 Google의 ‘추천’ 배지가 붙어 있습니다. Dardikman은 “이러한 확장 프로그램이 설치되어 있다면 지금 제거하세요. 2025년 7월 이후 나눈 모든 AI 대화가 캡처되어 제3자와 공유되었다고 가정하세요.”라고 즉각적인 조치를 촉구했습니다. 조사에서는 사용자가 유사한 데이터 수집 권한에 대해 동일한 게시자 및 다른 게시자의 확장 프로그램에 대한 개인 정보 보호 정책을 조사해야 한다는 점을 강조합니다.
Source: Koi, Urban VPN Proxy에서 데이터 수집 발견
