1,000만 사용자의 JSON Formatter, 어느 날 갑자기 광고를 띄우기 시작했습니다

개발자라면 한 번쯤 써봤을 겁니다. JSON 데이터를 브라우저에서 예쁘게 포맷해주는 확장 프로그램. 설치 한 번이면 끝이고, 이후로는 존재조차 잊고 살게 되는 그런 도구입니다. 그런데 바로 그 “잊고 산다"는 점이 문제의 시작입니다. 어느 날 조용히 업데이트된 그 확장 프로그램이, 당신의 브라우저에 광고를 심기 시작했다면요.

소스 코드가 사라진 날

JSON Formatter 류의 크롬 확장 프로그램들이 반복적으로 논란의 중심에 서고 있습니다. 패턴은 거의 동일합니다. 오픈소스로 시작해서 수백만 사용자를 확보한 뒤, 원 개발자가 프로젝트에 흥미를 잃거나 금전적 제안을 받아 소유권을 넘깁니다. 새 소유자는 코드를 클로즈드 소스로 전환하고, 조용히 광고 SDK나 추적 코드를 삽입합니다.

사용자 입장에서는 아무 일도 일어나지 않은 것처럼 보입니다. 확장 프로그램 이름도, 아이콘도, 기본 기능도 그대로니까요. 달라진 건 보이지 않는 곳에 있습니다. 웹페이지에 제휴 링크가 주입되거나, 검색 결과가 조작되거나, 브라우징 데이터가 제3자에게 전송되기 시작합니다.

크롬 웹스토어의 구조적 맹점

이 문제의 핵심은 크롬 웹스토어의 소유권 이전 정책에 있습니다. 확장 프로그램의 소유권이 바뀌어도 사용자에게 별도의 알림이 가지 않습니다. 리뷰 수, 설치 수, 별점은 고스란히 유지됩니다. 새 소유자는 기존의 신뢰 자산을 그대로 물려받는 셈입니다.

구글은 매니페스트 V3 전환 등을 통해 확장 프로그램의 권한을 제한하려는 노력을 해왔습니다. 하지만 근본적인 문제는 권한의 범위가 아니라 신뢰의 연속성입니다. 내가 3년 전에 신뢰한 개발자와 지금 이 코드를 관리하는 사람이 같은지 확인할 방법이 사실상 없습니다.

“작은 도구"라서 더 위험합니다

역설적으로, JSON Formatter 같은 단순한 유틸리티 확장이 가장 위험합니다. 이유는 세 가지입니다.

첫째, 설치 후 관심 밖으로 밀려납니다. 비밀번호 관리자나 VPN 확장은 사용자가 지속적으로 관심을 갖지만, 포맷터는 설치한 사실 자체를 잊습니다.

둘째, 권한 요청이 합리적으로 보입니다. JSON 데이터를 읽으려면 “모든 웹사이트의 데이터 읽기” 권한이 필요한데, 이건 애드웨어가 작동하기에도 충분한 권한입니다.

셋째, 대안이 너무 많아서 문제가 발생해도 조용히 넘어갑니다. 하나가 이상하면 지우고 다른 걸 설치하면 그만이니, 커뮤니티 차원의 경고가 확산되기 어렵습니다.

오픈소스였다는 것만으로는 부족합니다

“오픈소스니까 안전하다"는 전제도 재검토가 필요합니다. 오픈소스 프로젝트가 클로즈드 소스로 전환되는 시점, 그 사이에 있는 회색 지대가 문제입니다. GitHub 저장소는 아카이브되거나 삭제되고, 크롬 웹스토어에 올라간 빌드가 실제로 어떤 소스에서 나온 것인지 검증할 방법이 없습니다.

실제로 크롬 웹스토어에 올라간 .crx 파일과 공개된 소스 코드의 일치 여부를 확인하는 공식적인 메커니즘은 존재하지 않습니다. 재현 가능한 빌드(reproducible builds)를 요구하지 않는 한, 오픈소스라는 라벨은 설치 시점의 안심 효과 외에 실질적인 보호막이 되지 못합니다.

자신을 지키는 현실적인 방법

완벽한 해결책은 없지만, 피해를 줄일 수 있는 습관은 있습니다.

정기적으로 설치된 확장 프로그램을 점검하세요. chrome://extensions에 들어가서 “지금도 쓰고 있는가"를 기준으로 정리하는 것만으로도 공격 표면이 줄어듭니다. 더 이상 쓰지 않는 확장 프로그램은 비활성화가 아니라 삭제해야 합니다.

확장 프로그램의 권한 변경 알림에 주의를 기울이세요. 크롬은 확장이 새로운 권한을 요청하면 자동으로 비활성화합니다. 이때 무심코 “허용"을 누르지 말고, 왜 이 권한이 갑자기 필요한지 따져봐야 합니다.

가능하다면 브라우저 내장 기능이나 독립 실행형 도구로 대체하는 것도 방법입니다. JSON 포맷팅 정도는 DevTools 콘솔에서 JSON.parse와 JSON.stringify로 충분합니다.

브라우저 확장 프로그램은 우리가 매일 쓰는 브라우저 위에 올라탄 소프트웨어 공급망입니다. 그런데 이 공급망의 신뢰 모델은 놀라울 정도로 허술합니다. 별점과 설치 수가 높다고 안전한 게 아니라, 그 숫자가 높을수록 공격자에게 더 매력적인 타깃이 된다는 사실을 기억해야 합니다. 지금 브라우저에 설치된 확장 프로그램 목록, 마지막으로 확인한 게 언제인가요?