구글 크롬이나 마이크로소프트 엣지에는 사용자가 입력한 단어가 올바른 맞춤법인지 여부를 서버 데이터를 이용해 확인하는 확장 맞춤법 검사 기능이 있다. 이 확장 맞춤법 검사를 이용하면 기본적으로 입력 필드 모든 정보가 외부 서버로 전송된다는 게 사이버 보안 기업 오토(otto)에 의해 지적됐다. 암호 표시를 실시한 경우는 암호조차도 송신된다는 것이다.
스프레이드시트에서 작업 도중 텍스트 일부를 확장 맞춤법 검사로 확인하면 이 때 확장 맞춤법 검사는 구글 검색과 동일한 맞춤법 검사로 입력한 텍스트가 구글로 전송된다는 주의가 표시된다. 동일 브라우저에서 AWS 기밀 정보를 계속 입력한다. 아이디와 비밀번호는 원래 누구에게도 알려선 안 되는 정보. 하지만 로그를 확인하면 구글 맞춤법 검사를 수행하는 서버에 입력한 아이디가 전송되며 비밀번호도 마찬가지다.
이런 형태로 정보를 취득하는 기법은 스펠잭킹(spell jacking)이라고 불리며 보안상 큰 문제가 있다. 오토 측은 이는 사내 스크립팅 동작을 확인하고 발견한 것으로 다양한 브라우저에서 데이터 유출을 확인하고 있을 때 사용하면 기밀 데이터를 타사에 불필요하게 게시하는 기능 조합이 발견됐다며 문제는 이런 기능을 쉽게 사용할 수 있고 대다수 사용자는 백그라운드에서 일어나거나 실제로 인식하지 않고 기능을 활성화하는 것이라고 밝혔다.
오토 측은 비밀번호 유출에 대해 흥미로운 점은 두 기능에서 의도하지 않은 상호작용으로 인해 발생한다는 점이라고 말한다. 크롬과 엣지 확장 맞춤법 검사는 기본 사전을 크게 업그레이드한다. 마찬가지로 비밀번호를 일반 텍스트로 표시하는 옵션을 제공하는 서비스는 장애가 있는 사용자가 더 사용하기 쉽다며 이를 함께 사용하면 비밀번호가 새는 것이라고 지적했다.
오토 측은 오피스 365, 알리바바 클라우드 서비스, 구글 클라우드 서버 매니저에서 정보가 전송되는 걸 확인했다. 다만 AWS 서버 매니저와 라스트 패스는 이미 문제를 해결했다. 그 밖에 오토는 개인을 식별할 수 있는 기밀성 높은 정보 PII에 액세스할 기회가 잇는 웹사이트를 온라인 뱅킹, 클라우드 오피스 툴, 건강관리, 정부 관련, 소셜미디어, e커머스 6가지로 분류해 분류별 TOP5 사이트에서도 테스트를 실시했다. 그러자 사이트 96.7%가 확장 맞춤법 검사를 시용하면 PII를 구글과 마이크로소프트 서버에 송신해버리는 게 밝혀지고 있다.
또 비밀번호 표시를 이용한 경우 사이트 73%가 비밀번호를 전송했다. 덧붙여 나머지 사이트 27%는 대응이 되어 있던 게 아니며 비밀번호를 표시하는 옵션이 없었을 뿐이라고 한다.
사용자 측에서 곧바로 할 수 있는 대응으로는 크롬과 엣지에서 확장 맞춤법 검사를 이용하지 않는 것이다. 어떤 브라우저에서도 확장 맞춤법 검사는 초기 설정으로 설정되어 있지 않지만 일단 활성화되면 자동으로 비활성화되지 않는다.
오토에 따르면 전송 데이터가 알려진 기밀 데이터와 동등한 보안으로 관리되고 있는지 혹은 모델을 개선하기 위한 메타데이터로 관리되고 있는지 등은 불분명하다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.