anonym.legal
블로그로 돌아가기AI 보안

AI 크롬 확장 프로그램의 83%는 보안 감사가 이루어지지 않았습니다 — 기업이 알아야 할 사항

광범위한 권한을 가진 크롬 확장 프로그램의 83%는 보안 감사를 받은 적이 없습니다 (USENIX 2025). 기업 직원의 45%가 승인되지 않은 확장 프로그램을 사용합니다.

March 30, 20268 분 읽기
Chrome extension security auditenterprise browser governanceAI extension riskunaudited extensionsDLP browser

감사되지 않은 확장 프로그램 문제

크롬 웹 스토어에는 180,000개 이상의 확장 프로그램이 있습니다. 이러한 확장 프로그램 중 많은 수 — 특히 웹 브라우징에 AI 기능을 추가하는 확장 프로그램 — 는 광범위한 권한을 요청합니다: 모든 웹사이트 콘텐츠에 대한 접근, 클립보드 접근, 저장소 접근 및 네트워크 요청 가로채기.

USENIX 2025 연구에 따르면 광범위한 권한을 가진 크롬 확장 프로그램의 83%는 보안 감사를 받은 적이 없습니다. 이러한 확장 프로그램은 독립적인 검증 없이 수백만 사용자가 생성, 게시 및 설치했습니다 — 그들이 주장하는 기능을 수행하고 그 이상은 하지 않는지에 대한 검증 없이.

보안 감사 격차는 브라우저 확장 프로그램이 배포되는 방식의 구조적 특징입니다. 크롬 웹 스토어는 악성 소프트웨어 서명 및 정책 위반에 대한 자동 스캔을 수행하지만, 자동 스캔은 확장 프로그램의 데이터 수집 관행이 정확하게 공개되었는지, API 데이터가 공개되지 않은 제3자에게 전송되는지, 또는 확장 프로그램의 명시된 기능이 전체 기능인지 평가할 수 없습니다.

기업 노출

Forrester Research 2024에 따르면 기업 직원의 45%가 IT에서 승인되지 않은 브라우저 확장 프로그램을 사용합니다. 이 수치는 브라우저 확장 프로그램이 일반적으로 채택되는 비공식적인 방식을 반영합니다: 직원이 생산성 도구를 발견하고 설치하여 사용합니다 — IT 부서와의 상호작용 없이.

83%가 감사되지 않았고 45%가 승인되지 않았다는 조합은 거의 절반의 기업 직원이 누구에 의해서도 보안 속성이 검증되지 않은 확장 프로그램을 사용하고 있으며 — 그 사용이 해당 직원들이 처리하는 데이터에 대한 책임이 있는 조직에 의해 승인되지 않았음을 의미합니다.

규제 산업에 있는 조직의 경우, 이는 직접적인 규정 준수 노출을 생성합니다. 클립보드 콘텐츠를 수집하는 승인되지 않은 브라우저 확장 프로그램을 사용하는 HR 직원은 잠재적으로 직원 개인 데이터를 검증되지 않은 제3자에게 노출시킬 수 있습니다. 페이지 콘텐츠에 접근하는 승인되지 않은 AI 작문 도우미를 사용하는 법률 전문가는 잠재적으로 고객의 기밀 정보를 노출시킬 수 있습니다.

90만 사용자 사건이 보여주는 것

2026년 1월에 악성 크롬 확장 프로그램이 90만 사용자의 AI 채팅 기록을 노출한 사건 — 한 확장 프로그램에서 60만, 다른 확장 프로그램에서 30만 — 은 83% 감사되지 않은 수치가 설명하는 실패 모드를 보여줍니다.

이 확장 프로그램은 합법적인 AI 관련 기능을 제공하는 것처럼 보였습니다. 크롬 웹 스토어에서 사용할 수 있었습니다. 그들은 합법성을 제안할 만큼 큰 사용자 기반을 가지고 있었습니다. 그리고 그들은 AI 대화 내용을 외부 서버로 유출하고 있었습니다.

유출은 설치 후 30분 이내에 완료되었습니다. 보안 연구자들이 확장 프로그램을 식별하고 보고했을 때, 90만 사용자의 대화 내용 — 해당 사용자가 AI 도구와 논의한 민감한 정보가 포함되어 있었던 — 는 그들의 통제를 벗어났습니다.

Caviard.ai(2025)의 연구에 따르면 67%의 AI 크롬 확장 프로그램이 사용자 데이터를 수집합니다 — AI 확장 프로그램 카테고리의 대부분입니다. 데이터를 수집하는 확장 프로그램 중에서 공개, 보안 관행 및 전송 목적지는 매우 다양합니다.

기업 브라우저 거버넌스 프레임워크

기업 보안 팀에게 감사되지 않은 확장 프로그램 문제에 대한 적절한 대응은 모든 브라우저 확장 프로그램을 금지하는 것이 아닙니다 — 그러한 접근 방식의 운영적 영향은 상당합니다. 이는 AI 기능을 위해 감사된 승인된 확장 프로그램에 대한 노출을 제한하는 거버넌스 프레임워크를 수립하는 것입니다.

확장 프로그램 허용 목록: 기업 장치에 대한 승인된 브라우저 확장 프로그램 목록을 정의합니다. 목록에 추가하기 전에 보안 팀의 검토가 필요합니다. 크롬 기업 정책 시행은 비허용 목록에 없는 확장 프로그램의 설치를 방지합니다.

AI 전용 확장 프로그램 심사: AI 프롬프트를 처리하는 확장 프로그램은 추가적인 검토를 받습니다 — 전송 목적지를 확인하기 위한 네트워크 트래픽 분석, 권한 범위 검토 및 게시자 신원 확인.

AI 콘텐츠에 대한 기술적 통제: 승인된 AI 도구를 사용하는 직원에 대해, 브라우저 수준의 기술적 통제(확장 프로그램 행동에 의존하지 않고)는 민감한 콘텐츠가 AI 제공자에게 도달하기 전에 가로챕니다. 이는 보안 의무를 개별 확장 프로그램에 대한 신뢰와 분리합니다.

83% 감사되지 않은 비율은 사용자 교육을 통해 해결할 수 없습니다 — 사용자는 크롬 확장 프로그램을 스스로 감사할 수 없습니다. 이는 승인된 것과 승인되지 않은 것을 분리하는 기업 거버넌스를 통해 해결할 수 있으며, 확장 프로그램 행동에 관계없이 데이터 보호를 제공하는 기술적 통제를 통해 해결할 수 있습니다.

출처:

관련 기사

AI 보안

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI 보안

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI 보안

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

데이터 보호를 시작할 준비가 되셨나요?

48개 언어로 285개 이상의 엔티티 유형으로 PII 익명화를 시작하세요.

무료 체험 시작기능 보기