구글, 크롬 사용자 파일 변경 허용하는 API 테스트

웹사이트 방문자 보안·프라이버시 침해 우려 제기돼

컴퓨팅입력 :2019/08/26 15:24

구글이 크롬에 새 API를 탑재해 웹앱이 사용자의 파일을 편집하고 개인 데이터를 수집할 수 있게 만들 전망이다. 앞서 개발자들 사이에서 보안과 프라이버시 우려가 제기됐지만, 구글은 차기 브라우저 버전부터 해당 API를 지원해 테스트를 진행할 뜻을 밝혔다.

미국 IT전문매체 테크리퍼블릭은 크롬의 '네이티브 파일 시스템 API'를 이용하면 웹앱이 파일을 읽고 저장할 수 있을 뿐만 아니라 장치에 저장된 파일에 대한 정보까지 수집할 수 있다고 지난 23일 보도했다.

피트 르페이지(Pete LePage) 구글 개발자 대변인은 디벨로퍼 플래그를 적용한 개발자들이 크롬77부터 해당 API를 로컬 영역에서 테스트할 수 있고, 향후 출시될 크롬78부터 더 광범위한 테스트가 가능해질 것이라고 밝혔다.

구글은 위험을 덜기 위해 '안전한' 사이트와 웹앱에서만, 사용자의 명시적 동의를 받았을 경우에만 해당 기능을 쓸 수 있게 할 것이라고 밝혔다.

앞서 구글과 다른 브라우저 개발자들은 해당 API 개발 방향을 논의하는 깃허브의 '웹 인큐베이터 커뮤니티 그룹(WICG) 설명 페이지에서 스스로 해당 기능의 위험성을 알려 왔다.

설명 페이지의 내용에 따르면 논의에 참여한 개발자들은 해당 API가 웹사이트에 과도한 권한을 줌으로써 개인정보 위험과 보안 위험을 야기한다고 봤다. 웹사이트가 원래 접근 권한을 갖지 못하는 개인 데이터에 접근할 수 있게 되고 실행파일 수정, 바이러스 설치, 사용자 데이터 무단 암호화와 같은 동작을 할 수 있으니 그 피해 가능성을 주의하라고 경고했다.

테크리퍼블릭의 닉 히스 기자는 이러한 위험이 일부 사용자에게 매우 치명적이며, 웹브라우저와 사용자 컴퓨터 사이의 중요한 벽을 무너트릴 가능성이 있다고 지적했다.

그러나 르페이지 대변인은 크롬에서 이 기능이 남용되는 것을 막기 위해 보안 대책에 힘쓰고 있다고 주장했다. 그는 "웹앱은 사용자로부터 명시적인 허가를 받지 않고는 디스크의 파일을 수정할 수 없다"고 말했다.

인증되고 암호화된 채널을 통해 제공되는 안전한 컨텍스트에서 열리는 사이트와 웹앱만 해당 기능을 사용할 수 있다는 것이다.

르페이지 대변인이 제시한 시나리오대로라면 파일은 파일 선택기(file picker)를 사용해 열 수 있으며, 사용자는 접근 권한을 부여할 파일을 선택하거나 접근을 취소할 수 있다. 사용자가 파일 선택기를 통해 파일명과 위치를 제어하는 경우, 파일을 저장할 때도 유사한 제한이 적용된다. 여러 파일을 편집해야 하는 경우에는 사용자가 파일을 열 때 권한을 부여하라는 메시지가 뜰 수도 있다.

관련기사

르페이지는 브라우저가 "윈도, 맥OS 라이브러리 폴더 등과 같은 핵심 OS 폴더로 저장을 제한할 수 있다"며 "이런 경우 사용자에게 메시지를 표시하고 다른 폴더를 선택하도록 요청할 수 있다"고 말했다.

API 테스트는 향후 출시될 크롬78 '오리진트라이얼' 버전부터 더 폭넓게 진행된다. 구글은 WICG 네이티브 파일 시스템 깃허브 저장소를 통해 API 설계 관련 의견을 수렴할 계획이다.