AI 챗봇 대화 수집 사실 모호하게 공지...상업 목적으로 활용
[보안뉴스 김형근 기자] 구글 크롬 웹스토어에서 ‘추천’ 배지를 받아 600만명이 사용하는 ‘어반VPN프록시’(Urban VPN Proxy) 확장 프로그램이 사용자의 AI 챗봇 대화를 수집한 것으로 드러나 논란이 일고 있다.
보안 기업 코이시큐리티에 따르면, 이 확장 프로그램은 오픈AI 챗GPT, 앤트로픽 클로드, 구글 제미나이 등 주요 AI 챗봇 사용자들의 모든 대화 내용을 은밀하게 수집했다.
[자료: 코이시큐리티]
개발사는 델라웨어에 있는 어반사이버시큐리티(Urban Cyber Security Inc.)이며, 크롬과 에지 브라우저에서 각각 600만과 130만 이상의 사용자를 보유하고 있다.
보안 및 IP 숨김 기능을 내세우는 확장 프로그램이자만, 7월 버전 5.5.0 업데이트를 통해 AI 데이터 수집 기능이 기본으로 활성화됐다. 이는 chatgpt.js나 gemini.js 등 맞춤형 자바스크립트를 주입해 이루어졌다.
스크립트는 브라우저의 네트워크 요청 API인 fetch()와 XMLHttpRequest()를 오버라이드 하는 방식으로 작동한다. 이로 인해 사용자 프롬프트와 챗봇 응답을 포함한 모든 대화 데이터가 캡처됐다.
수집된 데이터는 analytics.urban-vpn[.]com 등의 원격 서버로 유출됐다. 이들 데이터는 사용자 프롬프트, 챗봇 응답, 대화 식별자, 타임스탬프, AI 플랫폼 및 모델 정보 등을 포함한다.
▲인기 VPN 브라우저 확장 프로그램이 사용자의 AI 챗봇 대화 정보를 수집하는 것으로 나타났다. [자료: 코이시큐리티]
어반VPN은 6월 업데이트된 개인정보 보호정책을 통해 AI 프롬프트 및 출력 내용을 세이프 브라우징(Safe Browsing) 강화 및 마케팅 분석을 위해 수집한다고 명시했다.
어반VPN은 비식별화를 약속했음에도, 수집된 원데이터(raw data)를 제휴사 비아이사이언스(BIScience)와 공유한다. 데이터 인텔리전스 기업 비아이사이언스는 이 데이터를 통해 광고 및 브랜드 모니터링 인사이트를 생성하며, 이를 비즈니스 파트너와 상업적으로 공유한다.
비아이사이언스는 1월에도 브라우징 기록을 추적하는 클릭스트림 데이터 (Clickstream Data) 수집 방식을 개인정보 보호정책에 불투명하게 명시해 사용자를 오도했다는 지적을 받은 바 있다.
어반 VPN은 AI 챗봇과 대화한 데이터가 수집된다는 사실을 밝히긴 하지만, 사용자가 찾아보기 어렵게 숨겨두었다고 코이시큐리티는 밝혔다. 또 VPN 접속을 해제하거나 AI 보호 기능을 거도 데이터 수집은 계속됐다.
코이시큐리티는 어반VPN의 다른 확장 프로그램 3개에서도 동일한 AI 데이터 수집 기능을 발견했다. 이에 따라 AI 챗봇 관련 데이터 유출 우려가 있는 이 회사 확장 프로그램 설치 기반은 총 800만명 이상으로 확대됐다.
구글이 크롬 웹스토어에 올라온 앱에 부여하는 ‘추천’ 배지 같은 플랫폼 신뢰 요소가 사용자들의 민감한 AI 대화 내용을 탈취하는 데 악용될 수도 있음을 보여준다는 평가다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 구글 크롬 웹스토어에서 ‘추천’ 배지를 받아 600만명이 사용하는 ‘어반VPN프록시’(Urban VPN Proxy) 확장 프로그램이 사용자의 AI 챗봇 대화를 수집한 것으로 드러나 논란이 일고 있다.
보안 기업 코이시큐리티에 따르면, 이 확장 프로그램은 오픈AI 챗GPT, 앤트로픽 클로드, 구글 제미나이 등 주요 AI 챗봇 사용자들의 모든 대화 내용을 은밀하게 수집했다.
[자료: 코이시큐리티]
개발사는 델라웨어에 있는 어반사이버시큐리티(Urban Cyber Security Inc.)이며, 크롬과 에지 브라우저에서 각각 600만과 130만 이상의 사용자를 보유하고 있다.
보안 및 IP 숨김 기능을 내세우는 확장 프로그램이자만, 7월 버전 5.5.0 업데이트를 통해 AI 데이터 수집 기능이 기본으로 활성화됐다. 이는 chatgpt.js나 gemini.js 등 맞춤형 자바스크립트를 주입해 이루어졌다.
스크립트는 브라우저의 네트워크 요청 API인 fetch()와 XMLHttpRequest()를 오버라이드 하는 방식으로 작동한다. 이로 인해 사용자 프롬프트와 챗봇 응답을 포함한 모든 대화 데이터가 캡처됐다.
수집된 데이터는 analytics.urban-vpn[.]com 등의 원격 서버로 유출됐다. 이들 데이터는 사용자 프롬프트, 챗봇 응답, 대화 식별자, 타임스탬프, AI 플랫폼 및 모델 정보 등을 포함한다.
▲인기 VPN 브라우저 확장 프로그램이 사용자의 AI 챗봇 대화 정보를 수집하는 것으로 나타났다. [자료: 코이시큐리티]
어반VPN은 6월 업데이트된 개인정보 보호정책을 통해 AI 프롬프트 및 출력 내용을 세이프 브라우징(Safe Browsing) 강화 및 마케팅 분석을 위해 수집한다고 명시했다.
어반VPN은 비식별화를 약속했음에도, 수집된 원데이터(raw data)를 제휴사 비아이사이언스(BIScience)와 공유한다. 데이터 인텔리전스 기업 비아이사이언스는 이 데이터를 통해 광고 및 브랜드 모니터링 인사이트를 생성하며, 이를 비즈니스 파트너와 상업적으로 공유한다.
비아이사이언스는 1월에도 브라우징 기록을 추적하는 클릭스트림 데이터 (Clickstream Data) 수집 방식을 개인정보 보호정책에 불투명하게 명시해 사용자를 오도했다는 지적을 받은 바 있다.
어반 VPN은 AI 챗봇과 대화한 데이터가 수집된다는 사실을 밝히긴 하지만, 사용자가 찾아보기 어렵게 숨겨두었다고 코이시큐리티는 밝혔다. 또 VPN 접속을 해제하거나 AI 보호 기능을 거도 데이터 수집은 계속됐다.
코이시큐리티는 어반VPN의 다른 확장 프로그램 3개에서도 동일한 AI 데이터 수집 기능을 발견했다. 이에 따라 AI 챗봇 관련 데이터 유출 우려가 있는 이 회사 확장 프로그램 설치 기반은 총 800만명 이상으로 확대됐다.
구글이 크롬 웹스토어에 올라온 앱에 부여하는 ‘추천’ 배지 같은 플랫폼 신뢰 요소가 사용자들의 민감한 AI 대화 내용을 탈취하는 데 악용될 수도 있음을 보여준다는 평가다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
