크롬이 몰래 설치한 4GB AI 파일, 당신의 PC에도 있을까?

사용자 동의 없는 온디바이스 AI 배포, 빅테크의 새로운 관행이 되나

---

📌 핵심 요약

보안 연구원 알렉산더 한프의 분석에 따르면, 구글 크롬이 사용자의 동의나 고지 없이 약 4GB 규모의 온디바이스 AI 모델 파일을 자동으로 다운로드·설치하고 있다는 주장이 제기됐다. 해당 파일은 삭제해도 크롬이 자동으로 재다운로드하며, 완전 차단을 위해서는 브라우저 삭제 외에 실질적인 방법이 없다고 알려졌다. 이 논란은 EU GDPR 및 전자 개인정보 보호 지침 위반 가능성과 함께, AI 기업들의 사용자 기기 무단 활용 패턴에 대한 광범위한 비판으로 확산되고 있다.

---

🔍 심층 분석: 왜 이 사안이 중요한가

이번 사안은 단순한 소프트웨어 배포 방식의 문제가 아니다. 구조적으로 세 가지 핵심 쟁점이 얽혀 있다.

첫째, 동의 없는 대용량 리소스 점유 문제다.
한프의 분석에 따르면, 테스트용 크롬 프로필이 생성된 지 단 14분 만에 4GB 규모의 AI 모델 파일이 자동 설치됐다. 사용자가 AI 기능을 한 번도 사용하지 않았음에도 설치가 완료됐다는 점에서, 이는 기능 제공을 위한 선택적 다운로드가 아니라 사전 강제 배포 전략으로 해석될 여지가 충분하다.

둘째, 삭제 불가 구조가 만드는 통제권 박탈이다.
파일을 수동으로 삭제해도 크롬이 재다운로드를 반복한다고 알려졌다. 일반 사용자가 이를 차단하려면 `chrome://flags` 설정 변경이나 기업용 정책 도구를 써야 하며, 사실상 브라우저 삭제 외에는 완전한 차단이 어렵다는 주장이다. 이는 사용자에게 자신의 기기에 대한 실질적 통제권을 허용하지 않는 구조다.

셋째, UI가 만들어내는 인식 왜곡이다.
크롬 147 버전에 추가된 'AI 모드' 버튼은 사용자로 하여금 AI 기능이 로컬에서 실행된다고 오해하게 만들 수 있다고 한프는 지적했다. 그러나 실제 주요 AI 기능은 여전히 구글 서버로 요청이 전송되는 클라우드 기반이라는 것이다. 즉, 사용자는 4GB 저장 공간과 다운로드 비용을 부담하면서도, 실제 로컬 AI 처리의 혜택은 누리지 못하는 구조에 놓일 수 있다.

---

💡 Vizensoft의 견해: 빅테크의 'AI 기선 확보' 전략과 그 이면

구글의 이번 행보는 단발성 실수가 아닌, 온디바이스 AI 생태계를 선점하기 위한 계획된 인프라 확장 전략으로 읽힌다. AI 기능을 브라우저에 깊숙이 통합하고, 사용자 기기에 모델을 사전 설치해두면 향후 오프라인 AI 기능 확장이나 응답 속도 개선에서 경쟁 우위를 확보할 수 있다.

그러나 이 전략은 사용자 신뢰를 담보로 한 도박이기도 하다. 한프가 지적한 대로, AI 기업들이 사용자의 기기를 자사 제품의 배포 플랫폼처럼 취급하는 패턴이 굳어진다면, 이는 단기적 시장 확대에는 유리할 수 있지만 규제 강화와 사용자 이탈이라는 반작용을 불러올 가능성이 높다.

특히 주목할 점은, 이번 논란이 단독 사례가 아니라는 것이다. 2주 전에도 타사의 데스크탑 AI 앱이 여러 크로미움 기반 브라우저에 사용자 동의 없이 네이티브 메시징 브리지 설정을 삽입했다는 지적이 있었다. AI 업계 전반에 '먼저 배포하고, 나중에 허락받는다'는 암묵적 관행이 형성되고 있는 것은 아닌지 경계가 필요하다.

---

🏢 기업·개발자에게 미치는 영향

이번 사안은 개인 사용자를 넘어 기업 IT 환경에도 직접적인 파급 영향을 미친다.

스토리지 및 네트워크 정책 충돌:
대규모 임직원 PC 환경에서 크롬이 각 기기에 4GB 파일을 자동 설치한다면, 디스크 용량 관리 정책과 충돌할 수 있다. 특히 SSD 용량이 제한적인 업무용 PC나 VDI(가상 데스크탑) 환경에서는 즉각적인 운영 문제로 이어질 수 있다.

보안 거버넌스 리스크:
기업의 소프트웨어 설치 정책은 대부분 사전 승인된 목록에 기반한다. 브라우저가 내부 프로세스를 통해 대용량 AI 모델을 자동 설치하는 행위는 이 정책의 사각지대를 파고드는 구조로, 보안팀의 자산 관리 및 감사 추적에 공백을 만들 수 있다.

데이터 거버넌스 및 컴플라이언스:
EU 소재 기업이나 GDPR 적용 대상 사업자라면, 직원 업무 PC에 동의 없이 AI 모델이 설치되는 상황 자체가 내부 개인정보처리방침과의 충돌을 일으킬 수 있다. 데이터 보호 책임자(DPO)의 검토가 필요한 사안이다.

---

🔭 향후 전망 및 제언

현재로서 구글은 이 논란에 대해 공식 입장을 내놓지 않았다. 그러나 이 사안이 제기하는 질문들은 개별 기업의 대응을 넘어, AI 시대의 소프트웨어 배포 윤리 기준을 어디에 설정할 것인가에 대한 산업 전체의 논의로 이어질 가능성이 높다.

향후 주목해야 할 흐름은 다음과 같다.

첫째, EU 규제 기관의 공식 조사 착수 여부다. 한프의 주장대로 ePrivacy Directive 위반이 성립된다면, 유럽 데이터보호위원회(EDPB)의 제재로 이어질 수 있으며 이는 글로벌 배포 정책 변경을 강제하는 계기가 될 수 있다.

둘째, 온디바이스 AI 배포에 대한 명시적 사용자 동의 표준화 논의다. 현재 앱스토어나 OS 수준에서 브라우저의 내부 파일 다운로드를 사전 차단하는 메커니즘은 사실상 없다. 이 공백을 어떻게 채울 것인지가 향후 플랫폼 정책의 핵심 과제가 될 것이다.

셋째, 기업 IT 관리자 및 보안팀의 즉각적 대응이 필요하다. 현재로서는 그룹 정책(Group Policy) 또는 MDM을 통한 크롬 엔터프라이즈 정책 설정이 현실적인 대응 수단이며, 관련 정책 검토를 선제적으로 수행할 것을 권장한다.

---

이번 사안은 AI 기술이 사용자의 일상 깊숙이 파고들면서 불거진 동의와 통제권의 충돌을 상징적으로 드러낸다. 기술의 발전 속도가 사용자 보호 기준을 앞서나가는 지금, 기업과 개발자 모두가 "기술적으로 가능하다"와 "윤리적으로 허용된다" 사이의 간극을 어떻게 좁혀갈지가 AI 시대의 핵심 과제로 부상하고 있다.