기사 핵심 요약
아일랜드는 ‘Adblock for YouTube™’에 원격 자바스크립트 실행 경로가 있어 사용자 데이터와 세션 보안 위험이 있다고 분석했다.
- 1100만 설치 규모의 확장 프로그램 위험: 크롬 웹스토어 인기 광고 차단 확장 프로그램에서 원격 스크립트 실행 가능 구조 발견
- 분석 당시 비활성화된 잠복 기능: 실제 악성코드 유포 증거는 없지만 서버 설정 변경만으로 활성화 가능하다는 지적
- 사용자 즉시 점검 필요: 확장 프로그램 비활성화·삭제, 브라우저 권한 점검, 민감 업무용 브라우저 분리 권고
보안 기업 아일랜드(Island)는 크롬 확장 프로그램 ‘Adblock for YouTube™’에서 원격 자바스크립트 실행이 가능한 구조를 발견했다고 밝혔다. 이 기능은 분석 당시 비활성화돼 있었고 실제 악성코드 유포 증거는 공개되지 않았지만, 서버 설정 변경만으로 사용자의 웹사이트에서 스크립트를 실행할 수 있다는 점이 핵심 위험이다. 구글의 공식 조치가 확인되기 전까지 해당 확장 프로그램을 쓰는 사용자는 비활성화하거나 삭제하고, 크롬 확장 프로그램 권한을 점검하는 편이 안전하다.
Adblock for YouTube 보안 위험, 1100만 설치 확장 프로그램에서 나온 경고
1000만 명 이상이 설치한 크롬용 광고 차단 확장 프로그램에서 원격 자바스크립트 실행이 가능한 잠재적 구조가 발견됐다. 보안 기업 아일랜드(Island)는 2026년 6월 공개한 보고서 ‘BadBlocker: 11 Million Users, One Server Call Away from Compromise’에서 크롬 확장 프로그램 ‘Adblock for YouTube™’를 분석하고, 이 프로그램이 원격 서버 응답에 따라 사용자의 웹사이트에서 스크립트를 실행할 수 있는 구조를 갖고 있다고 밝혔다.
문제의 확장 프로그램은 이름 그대로 유튜브 광고 차단을 내세운다. 크롬 웹스토어 공개 페이지도 이 확장 프로그램을 유튜브 광고, 배너, 프리롤 광고 등을 차단하는 브라우저 확장 프로그램으로 소개한다. 한국어 페이지 기준 버전 7.2.2, 2026년 5월 19일 업데이트, 평점 4.4점, 리뷰 약 37.8만 개 정보도 표시된다.
겉으로는 정상적인 광고 차단 도구다.
하지만 아일랜드가 지적한 핵심은 광고 차단 기능 뒤에 숨은 원격 제어 가능성이다. 보고서에 따르면 해당 확장 프로그램은 공식 크롬 웹스토어 업데이트 과정을 거치지 않고도 개발자 측 서버 설정 변경만으로 브라우저 안에서 자바스크립트 코드를 실행할 수 있는 경로를 갖고 있다. 이 구조가 활성화되면 사용자가 방문하는 사이트의 데이터 접근, 세션 조작, 사용자 사칭 같은 위험으로 이어질 수 있다.
원격 자바스크립트 실행 구조, 왜 크롬 확장 프로그램 보안에 치명적인가
자바스크립트는 웹페이지를 움직이게 만드는 핵심 언어다. 버튼 클릭, 화면 전환, 로그인 처리, 장바구니, 결제 페이지 등 대부분의 웹 기능이 자바스크립트와 연결된다. 문제는 이 코드가 사용자의 브라우저 안에서 실행된다는 점이다.
브라우저 확장 프로그램이 사용자의 모든 웹사이트에서 자바스크립트를 실행할 수 있다면 권한의 의미가 달라진다. 단순히 광고를 지우는 수준이 아니라, 사용자가 보고 있는 페이지를 읽고 바꾸고 조작할 수 있는 위치에 서게 된다.
아일랜드는 해당 확장 프로그램이 서버 측 설정 변경만으로 원격 스크립트를 주입할 수 있는 구조를 취하고 있다고 설명했다. 분석 당시 이 기능은 서버 응답에서 비활성화돼 있었지만, 기능 자체가 없어진 것은 아니며 서버 설정에 따라 활성화될 수 있다고 봤다.
이 차이가 중요하다. 지금 악성 행위가 확인되지 않았다는 사실과, 악성 행위가 가능한 경로가 존재한다는 사실은 다르다. 보안에서는 후자도 심각한 위험이다. 특히 설치 규모가 1100만 브라우저 수준이라면 공격 가능성이 실제 피해 규모로 이어질 수 있다.
더해커뉴스도 2026년 6월 25일 보도에서 이 확장 프로그램에 잠복형 스크립트 주입 경로가 발견됐다고 전했다. 보도는 이 구조가 사용자 데이터 탈취나 민감한 브라우저 세션에서의 사용자 사칭 위험으로 연결될 수 있다고 설명했다.
악성코드 유포 증거는 없지만 ‘잠복 기능’이 위험한 이유
이번 이슈에서 반드시 구분해야 할 지점이 있다. 아일랜드 보고서는 분석 시점까지 해당 기능이 실제 악성코드 유포에 사용됐다는 증거를 제시하지 않았다. 따라서 “이미 모든 사용자가 감염됐다”고 단정하면 안 된다.
하지만 위험이 작다는 뜻도 아니다.
아일랜드가 경고한 것은 잠복 기능이다. 분석 당시 서버 응답에서 비활성화돼 있었더라도, 서버 설정 하나로 활성화될 수 있다면 사용자는 아무런 업데이트 알림 없이 새로운 위험에 노출될 수 있다. 크롬 웹스토어 심사나 사용자의 승인 과정을 다시 거치지 않는다는 점이 문제다.
브라우저 확장 프로그램의 위험은 설치 순간에만 결정되지 않는다. 처음에는 정상 기능을 수행하다가, 개발자 계정이 바뀌거나 서버 설정이 바뀌거나 외부 코드가 교체되면 성격이 달라질 수 있다. 아일랜드는 해당 확장 프로그램이 2014년 크롬 웹스토어에 등록된 뒤 소유권 변경과 여러 코드 변화를 겪었다고 설명했다.
또 아일랜드는 해당 확장 프로그램이 과거 악성코드 문제로 크롬 웹스토어에서 제거된 다른 광고 차단 확장 프로그램들과 연관성이 있다고 밝혔다. 이 정황은 단순 취약점보다 더 큰 신뢰 문제를 만든다. 기능이 잠복 상태라고 해도, 대규모 설치 기반과 과거 이력, 원격 제어 경로가 함께 있으면 위험 평가는 더 엄격해져야 한다.
youtube.com 문자열 우회, 이름과 달리 모든 사이트에서 작동할 수 있는 문제
‘Adblock for YouTube™’라는 이름만 보면 유튜브에서만 작동하는 확장 프로그램처럼 보인다. 그러나 아일랜드 분석에 따르면 이 확장 프로그램은 사용자가 방문하는 모든 웹사이트에서 작동할 수 있는 권한 구조를 갖고 있다.
광고 차단 확장 프로그램은 웹페이지 요소를 제거하거나 차단해야 하므로 광범위한 사이트 접근 권한을 요구하는 경우가 많다. 이 자체가 항상 악성이라는 뜻은 아니다. 문제는 권한 범위와 실제 기능 통제 방식이 허술하게 결합될 때다.
아일랜드는 내부적으로 주소에 youtube.com 문자열이 포함돼 있는지 확인하는 절차가 있었지만, 정상적인 유튜브 접속 여부를 엄밀하게 판별하지 못하는 구조라고 설명했다. 예를 들어 일반 사이트 주소 뒤에 특정 파라미터 형태로 youtube.com 문자열이 포함되면 검증을 우회할 수 있다는 취지다.
이 구조는 보안상 치명적이다. 광고 차단 기능이 유튜브에만 제한되지 않고, 금융 사이트나 기업 내부망, 업무용 패널 같은 민감한 페이지에서도 스크립트 실행 가능성으로 이어질 수 있기 때문이다.
브라우저 확장 프로그램은 사용자가 생각하는 것보다 더 가까운 위치에서 데이터를 본다. 로그인된 페이지, 관리자 콘솔, 업무 협업툴, 이메일, 클라우드 문서, 결제 페이지가 모두 브라우저 안에서 열린다. 이 공간에서 임의 코드 실행이 가능하다면 단순 광고 차단기 문제가 아니라 브라우저 보안 전체의 문제로 바뀐다.
크롬 웹스토어 Featured 배지와 높은 평점만으로 안전을 보장할 수 없는 이유
이번 사례가 더 주목받는 이유는 문제의 확장 프로그램이 잘 알려지지 않은 무명 프로그램이 아니기 때문이다. 크롬 웹스토어에서 1000만 회 이상 설치됐고, 사용자 리뷰도 대규모로 쌓인 유명 광고 차단 확장 프로그램이다. 아일랜드는 보고서에서 이 확장 프로그램이 크롬 웹스토어에서 ‘youtube adblock’ 검색 시 눈에 띄는 결과로 노출된다고 설명했다.
높은 설치 수와 평점은 사용자에게 신뢰 신호를 준다. 그러나 보안에서는 이것만으로 충분하지 않다. 많은 사람이 설치했다는 사실은 인기의 근거일 수 있지만, 코드가 안전하다는 보증은 아니다.
특히 확장 프로그램은 시간이 지나면서 바뀐다. 업데이트가 이뤄지고, 소유권이 바뀌고, 서버와 통신하는 방식이 달라진다. 사용자는 처음 설치할 때 한 번만 권한을 확인하고 이후에는 거의 신경 쓰지 않는다. 이 구조가 악용되면 유명 확장 프로그램일수록 피해 범위가 커진다.
2024년 arXiv에 공개된 크롬 웹스토어 보안 연구도 확장 프로그램 생태계의 구조적 문제를 지적했다. 해당 연구는 보안상 주목할 확장 프로그램이 크롬 웹스토어에 장기간 존재할 수 있고, 수억 명 규모 사용자에게 영향을 줄 수 있다고 분석했다.
이번 사례는 이 문제를 실제 사례로 보여준다. “공식 스토어에 있으니 안전하다”, “평점이 높으니 괜찮다”, “Featured 배지가 있으니 믿을 수 있다”는 판단은 보안 기준으로 부족하다.
사용자는 지금 무엇을 해야 하나, Adblock for YouTube 삭제와 권한 점검
구글의 공식 조치가 확인되기 전까지 가장 안전한 대응은 해당 확장 프로그램을 비활성화하거나 삭제하는 것이다. 특히 업무용 브라우저, 회사 계정, 관리자 패널, 금융 서비스, 클라우드 문서 도구를 사용하는 환경에서는 더 보수적으로 대응해야 한다.
크롬에서 확장 프로그램을 확인하려면 주소창에 chrome://extensions를 입력해 설치 목록을 볼 수 있다. ‘Adblock for YouTube™’가 설치돼 있다면 비활성화하거나 삭제할 수 있다. 삭제 뒤에는 브라우저를 재시작하고, 계정 보안 상태를 확인하는 것이 좋다.
민감한 계정을 사용했다면 추가 조치도 필요하다. 주요 계정의 비밀번호를 변경하고, 2단계 인증을 켜고, 로그인 기록과 세션 목록을 확인해야 한다. 회사 PC라면 개인 판단으로 끝내지 말고 보안 담당자나 IT 관리자에게 설치 여부를 알리는 편이 안전하다.
광고 차단 프로그램을 계속 쓰고 싶다면 권한을 확인해야 한다. “모든 사이트의 데이터 읽기 및 변경” 같은 권한을 요구하는 확장 프로그램은 기능상 필요할 수 있지만, 그만큼 위험도 크다. 사용하지 않는 확장 프로그램은 삭제하고, 꼭 필요한 확장만 남겨야 한다.
이번 발표에서 눈에 띄는 점은 위험이 악성코드 파일 하나가 아니라 브라우저 권한과 원격 제어 구조의 결합에서 나온다는 점이다. 사용자는 백신만 믿기보다 브라우저 안에 설치된 확장 프로그램 목록을 정기적으로 확인해야 한다.
한국 사용자와 기업이 주의해야 할 크롬 확장 프로그램 보안 포인트
한국 사용자도 이번 이슈에서 자유롭지 않다. 크롬은 국내 개인 사용자와 기업 업무 환경에서 널리 쓰이고, 유튜브 광고 차단 확장 프로그램은 한국 사용자도 쉽게 설치하는 도구다. 크롬 웹스토어 한국어 페이지도 해당 확장 프로그램을 한국어로 제공하고 있어 국내 설치 가능성이 충분하다.
개인 사용자는 금융 사이트, 포털 계정, 이메일, 쇼핑몰, 클라우드 저장소를 같은 브라우저에서 이용한다. 광고 차단 확장 프로그램이 모든 사이트 접근 권한을 갖고 있다면 이런 민감한 세션도 노출 대상이 될 수 있다.
기업은 위험이 더 크다. 직원 한 명의 브라우저에 설치된 확장 프로그램이 회사 이메일, 고객관리 시스템, 관리자 콘솔, 내부 협업툴에 접근할 수 있다. 특히 SaaS 업무 환경에서는 브라우저가 사실상 업무용 운영체제 역할을 한다. 이 때문에 확장 프로그램 관리는 엔드포인트 보안의 일부로 다뤄야 한다.
한국 기업은 최소한 세 가지를 점검해야 한다. 첫째, 업무용 브라우저에서 개인 확장 프로그램 설치를 제한해야 한다. 둘째, 광고 차단·번역·스크린샷·PDF 변환 등 광범위한 권한을 요구하는 확장 프로그램 목록을 점검해야 한다. 셋째, 크롬 웹스토어 평점이나 설치 수가 아니라 권한, 개발자, 업데이트 이력, 원격 코드 사용 여부를 기준으로 허용 목록을 관리해야 한다.
안전한 광고 차단기와 위험한 광고 차단기의 차이
| 구분 | 상대적으로 안전한 광고 차단기 | 위험 신호가 있는 광고 차단기 |
|---|---|---|
| 권한 범위 | 필요한 사이트와 기능 중심 권한 | 모든 사이트 데이터 읽기·변경 권한을 광범위하게 요구 |
| 코드 투명성 | 공개 코드, 명확한 업데이트 이력 | 코드 구조와 외부 서버 통신 방식이 불투명 |
| 원격 제어 | 필터 목록 업데이트 중심 | 서버 설정으로 실행 코드가 바뀔 수 있는 구조 |
| 개발자 신뢰 | 개발자·운영 주체·정책이 명확 | 소유권 변경, 과거 문제 이력, 유사 악성 확장 연관성 |
| 사용자 점검 | 권한과 업데이트 내역을 확인 가능 | 사용자가 변화를 인지하기 어려움 |
| 위험 수준 | 광고 차단 기능 범위에 위험 제한 | 모든 웹사이트 세션 조작 가능성으로 확대 |
이번 이슈의 핵심은 광고 차단이라는 기능 자체가 아니다. 광고 차단 프로그램은 웹페이지를 수정해야 하므로 일정 권한이 필요하다. 문제는 그 권한이 원격 스크립트 실행 구조와 결합될 때다.
안전한 확장 프로그램은 권한 사용 이유가 명확하고, 업데이트 이력과 개발 주체가 투명해야 한다. 반대로 유명하더라도 원격 코드 실행 경로, 소유권 변경, 과거 광고 삽입 이력, 유사 악성 확장과의 연관성이 있다면 위험 신호로 봐야 한다.
실제 피해 확인 전이지만 삭제 권고가 과도하지 않은 이유
이번 사안은 신중하게 다뤄야 한다. 분석 시점까지 ‘Adblock for YouTube™’가 실제로 악성코드를 배포했다는 공개 증거는 확인되지 않았다. 따라서 사용자를 감염자로 단정하거나, 모든 광고 차단 확장 프로그램을 악성으로 몰아가는 것은 맞지 않다.
그러나 삭제 또는 비활성화 권고는 과도하지 않다. 이유는 명확하다. 첫째, 설치 규모가 1000만 명 이상으로 크다. 둘째, 확장 프로그램은 브라우저 안에서 매우 민감한 권한을 갖는다. 셋째, 아일랜드가 지적한 원격 스크립트 실행 구조는 악용될 경우 피해 범위가 크다. 넷째, 사용자는 기능이 활성화되는 순간을 알아채기 어렵다.
광고 차단 프로그램은 사용자가 신뢰하고 오래 설치해두는 도구다. 그래서 더 위험하다. 사용자는 광고가 사라지는지만 확인할 뿐, 확장 프로그램이 어떤 서버와 통신하는지, 어떤 코드를 실행할 수 있는지 알기 어렵다.
결론적으로 이번 사안은 “이미 피해가 발생했다”보다 “피해가 발생하기 전에 제거해야 할 구조적 위험이 발견됐다”로 보는 것이 정확하다. 보안 대응에서는 이 차이가 중요하다. 확인된 피해가 없다는 이유로 방치하는 것보다, 위험 권한을 줄이는 것이 더 안전한 판단이다.
이번 Adblock for YouTube 논란에서 가장 눈에 띄는 대목
이번 발표에서 눈에 띄는 점은 사용자가 가장 믿기 쉬운 신호들이 보안 판단에는 충분하지 않았다는 점이다. 설치 수가 많고, 평점이 높고, 크롬 웹스토어에 있고, 이름도 익숙하다. 하지만 브라우저 확장 프로그램의 진짜 위험은 화면에 보이는 별점이 아니라 보이지 않는 권한과 원격 제어 구조에 있다. 광고를 막으려고 설치한 프로그램이 모든 웹사이트에서 코드를 실행할 수 있다면, 편의 기능은 곧 공격 표면이 된다. 이번 사례는 크롬 확장 프로그램을 “설치 후 방치하는 도구”가 아니라 정기적으로 점검해야 할 보안 자산으로 봐야 한다는 경고다.
자주 묻는 질문
Adblock for YouTube 확장 프로그램은 왜 문제가 됐나요?
보안 기업 아일랜드는 ‘Adblock for YouTube™’에 서버 설정 변경만으로 사용자의 웹사이트에서 자바스크립트를 실행할 수 있는 구조가 있다고 분석했습니다.
Adblock for YouTube에서 실제 악성코드가 유포됐나요?
아일랜드 보고서는 실제 악성코드 유포 증거를 제시하지 않았습니다. 다만 원격 스크립트 실행 가능 구조가 위험하다고 봤습니다.
Adblock for YouTube를 삭제해야 하나요?
구글의 공식 조치가 확인되기 전까지는 비활성화하거나 삭제하는 편이 안전합니다. 특히 금융, 회사 계정, 관리자 페이지를 쓰는 브라우저라면 즉시 점검해야 합니다.
크롬 확장 프로그램 권한은 어디서 확인하나요?
크롬 주소창에 chrome://extensions를 입력하면 설치된 확장 프로그램을 확인할 수 있습니다. 사용하지 않는 확장은 삭제하고, 모든 사이트 접근 권한은 신중히 봐야 합니다.
광고 차단 확장 프로그램은 모두 위험한가요?
모든 광고 차단 확장 프로그램이 악성은 아닙니다. 다만 광고 차단기는 웹페이지 접근 권한이 넓기 때문에 개발자 신뢰도, 권한 범위, 업데이트 이력을 반드시 확인해야 합니다.
댓글을 남기려면 로그인 해주세요.