구글 크롬과 마이크로소트 에지 브라우저들에 탑재된 철자 확인 기능들로부터 중요한 정보가 새나간다는 경고가 나왔다. 사용자의 이름, 이메일, 비밀번호 등이 구글과 마이크로소프트로 흘러 들어간다는 내용이다. 보안 업체 오토자바스크립트시큐리티(Otto JavaScript Security)는 이러한 공격 기법에 ‘스펠재킹(spell-jacking)’이라는 이름을 붙였다. 이 때문에 알리바바, 아마존 AWS, 구글 클라우드, 라스트패스, 오피스 365 등 기업용 애플리케이션들로부터 개인 식별 정보가 노출될 수 있다고 경고했다.
스펠재킹을 제일 먼저 발견한 건 오토자바스크립트의 CTO인 조시 서밋(Josh Summit)이다. “이 공격은 크롬의 고급철자확인(Enhanced Spellcheck) 기능과 에지 브라우저의 MS편집기(MS Editor) 기능이 브라우저 상에서 활성화 될 때 발동 가능해집니다.” 서밋에 의하면 사용자가 철자 확인을 위해 양식에 기입하는 정보들은 전부 구글과 마이크로소프트로 전달된다고 한다. 또한 사용자가 사용자가 크롬과 에지에서 ‘비밀번호 보이기’ 옵션을 활성화시킨 상태로 비밀번호를 입력하면 그 정보마저 구글과 마이크로소프트의 서드파티 서버들에 전송된다고 한다.
오토 측은 정보 유출이 어떠한 방식으로 나타나는지 설명하기 위해 유튜브 영상을 제작해 업로드하기도 했다. 또한 사람들이 매일처럼 사용하는 인기 높은 웹사이트들 중 개인 식별 정보에 접근하도록 되어 있는 사이트 50개를 대상으로 실험을 진행했다. 통계와 분석을 위해 이중 30개 기업들을 여섯 개 항목으로 분류하기도 했다(온라인 뱅킹, 클라우드 오피스 도구, 헬스케어, 정부 기관, 소셜미디어, 전자상거래). 그리고 각 분야별로 방문자가 많은 사이트들을 분석 대상으로 삼았다.
이 30개 웹사이트들 중 96.7%가 개인 식별 정보가 섞인 데이터를 구글과 마이크로소프트로 전송하고 있었고, 73%는 ‘비밀번호 보이기’ 옵션이 활성화 된 상태에서 비밀번호까지 보내는 것으로 밝혀졌다. 나머지 27%는 비밀번호를 잘 보호하고 있던 것이 아니라 ‘비밀번호 보이기’ 옵션이 없었을 뿐이었다. 현재 이 문제가 일부라도 해결된 곳은 구글뿐이지만, 구글 클라우드 비밀 관리자(Google Cloud Secret Manager)라는 웹서비스는 여전히 취약한 상태라고 한다. 오스제로(Auth0)라는 인기 높은 싱글사인온 서비스의 경우 항목별로 분류된 30개 사이트 중 하나는 아니었지만 이러한 문제를 해결한 유일한 사이트였다고 한다.
구글 측은 “구글 크롬의 고급철자확인 기능은 사용자가 일부러 활성화시켜야만 발동되는 것으로, 데이터를 익명화 한 후 처리한다”고 설명했다. “사용자가 철자 확인을 위해 기입하는 텍스트들에는 민감한 정보가 포함되어 있을 수 있습니다. 구글은 이를 그 어떤 사용자의 신원 정보와 결합하지 않으며 오로지 서버에 임시로 저장해 처리한 후 삭제합니다. 여기에 더해 비밀번호와 같은 정보를 적극적으로 텍스트에서 제외하려는 장치들을 구축하고 있습니다.”
크롬과 에지를 통해 실행되는 앱들을 사용하더라도 철자 확인 관련 기능을 활성화시켰다면 같은 위험에 노출된다고 오토자바스크립트는 경고한다. 이런 브라우저 및 클라우드 기반 서비스들 중 철자 확인 기능으로 인한 위험성을 해결한 건 AWS와 라스트패스가 유일한 것으로 분석됐다.
데이터는 어디로 가는가?
구글과 마이크로소프트로 간 정보들은 어떻게 처리되는가? 이 문제에 대해서는 오토 측이 제대로 답변할 수 없다고 밝혔다. “구글과 마이크로소프트 어딘가에 저장이 되는지, 그렇다면 그 데이터는 어떻게 관리되는지, 혹은 제3자에 팔려가는지 아무도 확실히 알 수 없습니다. 관리가 된다면 보안 수준은 어떻게 유지되는지, 민감한 정보는 어떤 식으로 분류되는지, 철자 확인 서비스 강화를 위해 활용되는지 역시 아직은 확실히 알 수 없습니다.”
서밋은 “향후 이 데이터가 어떻게 처리되는지 밝혀지겠지만, 어찌됐든 빅테크가 우리가 상상하는 것보다 훨씬 방대한 양의 민감한 정보들에 접근하고 있다는 사실이 다시 한 번 드러났다”고 지적한다. “특히 비밀번호를 가져간다는 건 적잖이 충격적인 사실입니다. 비밀번호가 있어 우리는 우리가 원하는 사람과만 정보를 공유할 수 있게 되는 건데, 이번 발견으로 그것이 전부 허상이었다는 사실이 드러났거든요. ‘비밀번호 보이기’만 활성화 하면 사용자의 비밀번호가 그대로 전송된다니, 보안 원칙의 아주 밑바닥부터 어겨지고 있었던 것입니다.”
크롬과 에지 브라우저들은 일반 개인 사용자들만이 아니라 기업의 사무 환경에서도 널리 사용되는 애플리케이션들이다. 게다가 이 철자 확인 기능은 유용하고 편리하기까지 해서 인기가 매우 높다. 따라서 이번에 발견된 문제의 파급력이 꽤나 높을 수 있다고 서밋은 지적한다. “문제가 되고 있는 철자 확인 기능들은 대단한 전문가들만 사용하는 그런 특수 기능이 아닙니다. 상당히 많은 사람들이 거의 매일처럼 손쉽게 사용하는 기능입니다. 하지만 자신들이 입력하는 정보가 구글이나 마이크로소프트로 넘어가고 있다는 사실은 꿈에도 상상하지 못했겠죠.”
위험의 완화
기업들은 이런 위험에서 어떻게 벗어나야 할까? 문제의 웹사이트나 웹 서비스들이 알아서 해결해 주기를 기다려야 할까? “모든 입력 필드에 spellcheck=false라는 구문을 더하면 고객의 개인 식별 정보가 공유되는 것을 막을 수 있습니다. 물론 완벽한 해결책은 아니고, 상황에 따라 기능 오류가 일으킬 수도 있습니다.” 또한 ‘비밀번호 보이기’ 옵션을 해제한 채로 사이트나 서비스에 로그인 하라는 교육도 내부적으로 실시할 필요가 있다고 서밋은 강조한다.
그 외에 좀 더 공격적으로 움직여, 각 엔드포인트 장비들에 설치된 크롬과 에지 브라우저들의 철자 확인 기능을 전부 비활성화시키는 것도 좋은 방법이라고 서밋은 설명을 추가했다. 이는 소비자 개개인들도 취할 수 있는 방법이며, 구글과 마이크로소프트의 브라우저를 사용하는 사람들에게 권장된다고 한다.
3줄 요약
1. 구글 크롬 브라우저와 MS 에지 브라우저의 철자 확인 기능 통해 정보 유출됨.
2. 철자 확인하기 위해 입력하는 모든 텍스트들이 두 회사로 전송됨.
3. 빅테크의 정보 확보 실태는 상상 이상.
