우왁굳 팬들이 애용하던 브라우저 확장프로그램 에브리왁굳이 개인정보 유출 의혹에 휘말렸습니다.
해당 프로그램은 네이버 카페 ‘왁물원’ 글·댓글 알림을 한눈에 모아주는 편의 기능으로 인기를 끌었습니다. 그러나 최근 memberKey‧네이버 ID 수집 정황이 커뮤니티를 통해 공개돼 파장이 커지고 있습니다.
이미지 출처: 글로벌E
커뮤니티 이용자들은 GitHub에 올라온 소스코드를 분석해 memberKey를 암호화 없이 외부 서버에 저장하는 부분을 확인했다고 주장했습니다. 실제로 일부 사용자는 개인 서버 사진(IP 주소 포함)이 공개되자 경찰 신고를 진행했습니다.
“사용자 동의 없는 식별정보 수집은 개인정보보호법 제17조 위반에 해당할 수 있습니다.” – 김현수 한국인터넷진흥원(KISA) 침해대응단장
전문가들은 에브리왁굳 확장프로그램이 클라이언트 쿠키를 읽어오는 과정에서 네이버의 고유 식별값인 memberKey까지 가져간 것으로 추정했습니다. 해당 값은 카페 관리자 권한 인증에 이용될 수 있어 위험성이 큽니다.
논란이 확산되자 개발자는 “버그였다”는 짧은 공지를 남겼지만, 서버 내 로그 보관 여부와 삭제 시점은 명확히 밝히지 않았습니다.
이미지 출처: 루리웹 커뮤니티 캡처
네이버 측도 사태를 예의주시하고 있습니다. 관계자는 “비인가 확장프로그램 사용으로 발생한 피해에 대해선 책임을 지기 어렵다”면서도 “필요 시 수사 기관과 협력하겠다”고 밝혔습니다.
실제로 2023년 ‘오늘의 카페툴’ 사건처럼, 무심코 설치한 확장프로그램이 쿠키·세션 토큰을 유출한 사례가 반복되고 있습니다. 이용자는 크롬·엣지 확장 탭에서 설치 목록을 확인하고, 출처가 불분명한 항목은 즉시 삭제해야 합니다.
내 정보 지키는 4단계 체크리스트 🛡️
- 브라우저 확장프로그램 목록 주기적 점검
- 네이버 ‘내 보안설정’ 접속 → 미확인 로그인 기록 확인
- 2단계 인증(OTP·bio) 활성화
- 의심스러운 앱·스크립트 발견 시 KISA 118 또는 경찰청 사이버수사국 신고
현재 커뮤니티에는 단체 고소인단 모집 글이 속속 올라오고 있습니다. 법조계는 “수집 범위·보관 기간·제3자 제공 여부가 확인되면 손해배상 청구까지 가능하다”고 전했습니다.
이미지 출처: 개드립닷넷
한편 팬덤 내부에서는 “팬이 만든 편의도구라도 오픈소스 검증 절차가 필요하다”는 목소리가 높아지고 있습니다. 개발 생태계에서는 ‘트러스트 온 퍼스트(Trust on First)’ 문화 개선이 요구됩니다.
이번 에브리왁굳 개인정보 유출 의혹은 간편함 뒤에 숨어 있던 보안 사각지대를 드러냈습니다. 사용자들은 작은 확장프로그램이라도 설치 전 권한 요청과 개발자 신뢰도를 반드시 확인해야 합니다.
라이브이슈KR는 향후 수사 진행과 네이버·KISA 대책을 지속적으로 취재해 보도하겠습니다. 🔍
