브라우저 확장 프로그램은 매우 편리하지만 무작정 설치하면 데이터 유출 및 악성 코드에 노출될 수 있습니다. 브라우저에 확장 프로그램을 추가하기 전에 평가해야 할 주요 체크포인트는 다음과 같습니다.
1. 필수 권한 검토
확장 프로그램을 설치하면 Chrome 웹 스토어와 Firefox 추가 기능 모두 요청된 권한 목록을 표시합니다. 이것이 첫 번째 방어선입니다.
| 허가 | 위험 수준 | 그것이 하는 일 |
|---|---|---|
tabs | 낮음-보통 | 열린 탭의 URL 읽기 |
storage | 낮음 | 로컬 데이터 저장(공통) |
activeTab | 낮음 | 현재 탭에만 액세스 |
<all_urls> | 높음 | 방문하는 모든 웹사이트의 데이터 읽기 |
clipboardRead | 높음 | 클립보드 내용 스눕 |
history | 보통-높음 | 검색 기록 수집 |
간단한 스크린샷 확장 프로그램이 history 또는 <all_urls>을 요구한다면 이는 심각한 위험 신호입니다.
2. 개발자 및 업데이트 빈도 조사
- 스토어 리뷰 읽기: 평점이 낮은 리뷰에서 삽입된 광고, 데이터 도용 또는 의심스러운 행동에 대한 보고서를 찾습니다.
- 업데이트 기록 확인: 마지막 업데이트가 1년 이상 전이고 확장 프로그램이 최신 브라우저 버전을 지원하지 않는 경우 건너뛰세요.
- 개발자 신원 확인 : 해당 개발자가 확인할 수 있는 웹사이트, 회사명, 전문 포트폴리오가 있는지 확인하세요.
3. 개인정보 보호정책을 읽어보세요.
데이터를 수집하는 확장 프로그램은 스토어 페이지의 개인정보 보호정책에 연결되어야 합니다. 다음 사항을 확인하세요.
- 수집되는 데이터
- 데이터가 제3자와 공유되는지 여부
- 데이터가 보관되는 기간
- 수신 거부 메커니즘이 있는지 여부
개인 정보 보호 정책이 누락되었거나 모호한 경우 확장을 피하는 것이 가장 좋습니다.
4. 가능한 경우 오픈 소스 코드 검토
확장이 GitHub 또는 다른 공개 저장소에 게시된 경우 소스를 검사할 수 있습니다.
- 코드가 지나치게 난독화되어 있나요?
- 외부 API에 대한 의심스러운 호출이 있습니까?
- 커밋 메시지와 댓글이 철저하게 작성되어 있나요?
grep -r "https\?://" ./extension-source/ | grep -v "chrome\." | grep -v "localhost"
알 수 없는 외부 도메인에 대한 내장된 통신을 찾으십시오.
5. 실제 비교
광고 차단 확장 프로그램은 일반적으로 storage 및 activeTab 권한만 요청합니다. 반면 무료 VPN 확장 프로그램은 <all_urls>와 webRequest을 자주 요청하므로 트래픽 차단에 대한 우려가 제기되었습니다.
요약
편의성만을 고려하여 브라우저 확장 프로그램을 설치하지 마십시오. 설치를 클릭하기 전에 최소한 권한, 개발자 평판, 개인정보 보호정책, 소스 코드 투명성을 확인하세요. 비밀번호나 결제 정보와 같은 민감한 데이터를 처리하는 사이트에서 실행되는 확장 프로그램에는 특히 주의하세요.

