정용환 기자
PC나 스마트폰에 탑재되어 있는 소프트웨어 앱이 사용자가 깨닫지 못하게 인디케이터 램프를점등시키지 않고 카메라나 마이크를 기동해 몰래 사진을 촬영하거나 동영상이나 음성을 기록할 위험은 지금까지 지적되어 왔다. 새로운 보고서는 구글 광고 네트워크를 통해 게재되는 광고가 브라우저에 카메라와 마이크에 대한 액세스를 요청했다는 걸 보여준다.
소프트웨어 엔지니어 데이비드 헤론은 광고 네트워크가 카메라와 마이크에 액세스하는 합법적인 목적은 없지만 자바스크립트 콘솔에서 어떤 광고를 게재할 것인지와 관련해 이를 실현하려는 움직임을 발견했다고 밝혔다.
그에 따르면 한 도메인(safeframe.googlesyndication.com)을 가진 광고에서 발견한 것으로 이 도메인은 구글 광고 관리 플랫폼 구글 애드매니저(Google Ad Manager)를 이용하는 광고 게재로 이용된다. 광고 네트워크가 카메라나 마이크에 액세스하려 한다는 움직임만 보면 악성코드가 의심스러워지지만 구글 정품 광고 게재 서비스를 통한다고 생각하면 악성코드가 배포될 가능성은 적다고 보고 있다.
그가 카메라나 마이크 액세스를 확인한 건 한 웹사이트(techsparx.com)다. 이곳은 에조익(Ezoic)이라는 서비스를 이용하며 에조익은 일부 광고에 구글 애드매니저를 사용한다. 이곳은 아이프레임에서 위 ehapls에서 콘텐츠를 로딩했다. 다만 이 움직임에 위해 브라우저 보안 기능(Feature Policy)이 동작하게 되어 카메라와 마이크 액세스는 거부됐다고 한다.
브라우저 내 보안 기능에 의해 액세스 차단에 성공했다는 점에서 결과적으론 좋았지만 구글 애드센스와 구글 광고를 이용하고 있는 웹사이트 측이 이런 액세스를 차단하는 건 어렵고 웹사이트를 방문하는 사용자 수준에서 조치가 필요하다.
카메라나 마이크에 대한 액세스를 제한하려면 구글 크롬에서 브라우저 메뉴 아이콘에서 설정을 선택한다. 사이트 설정에서 표시된 항목을 클릭하고 여기에서 카메라와 마이크에 대한 액세스를 제한할 수 있다. 카메라를 클릭하면 모든 웹사이트가 카메라를 사용하는 걸 금지할 수 있는 것 외에 카메라 사용을 금지하는 웹사이트 지정도 가능하게 되어 있다. 참고로 커뮤니티에선 사용자 식별을 위한 핑거프린트 수집을 목적으로 하는 게 아닌지 논의되고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
