Chrome이 yt-dlp 다운로드 시 '의심스러운 다운로드' 경고 표시

Hacker News 의견들

• 이 기능을 구동하는 휴리스틱과 Windows Defender의 화이트리스트 정책이 형편없음
  특정 바이너리가 어느 정도 인기를 얻어야만 경고가 사라지는 구조라서, 사용자들이 경고를 무시하지 않으면 절대 풀리지 않는 닭이 먼저냐 달걀이 먼저냐 문제를 만듦
  이런 구조는 인디 개발자나 작은 오픈소스 프로젝트에게 특히 불리함

  • 이런 건 그냥 가짜 보안(bullshit security) 이라고 생각함
    결국 개발자들을 OS 제공업체의 인프라에 묶어두려는 장치임. Apple도 똑같이 이런 짓을 함
  • 내 웹사이트도 회사 방화벽에서 막힌 적이 있었음
    이런 경우엔 사이버 보안 회사들에 프로필을 만들어서 화이트리스트에 올려달라고 기다려야 함
  • 나도 Linux에서 비슷한 현상을 겪고 있음
  • 최근 npm axios 해킹 사건을 보면, 이런 정책이 오히려 현명한 조치처럼 들리기도 함
  • Microsoft는 이 문제를 해결하려면 서명 인증서를 구매하라고 유도함
    관련 내용은 Stack Overflow 토론에 있음

• GitHub에서 최신 .exe를 다운로드할 때 Firefox가 “이 파일은 흔히 다운로드되지 않는다”고 경고함
  바이러스 스캔은 모두 정상이라 단순한 휴리스틱 오탐(false positive) 으로 보임
  Chrome의 독점 남용 같은 뉴스거리로 볼 일은 아님

  • 이런 경고창들이 실제로 효과가 있는지 모르겠음
    너무 자주 떠서 이제는 아무 경고도 읽지 않게 됨
    특히 자체 서명 인증서를 쓸 때 브라우저가 접근을 막는 UX는 최악임. 마치 내가 위험한 짓을 하는 사람처럼 취급함
  • Firefox가 Google의 Safe Browsing 데이터베이스를 사용하는 거 아님?
  • Chrome에서 .tar.gz 파일(특히 yt-dlp용)을 받을 때도 같은 경고가 뜸. 다른 .tar.gz에는 안 뜸

• yt-dlp의 바이너리는 PyInstaller로 빌드되어서 백신에서 오탐이 발생할 수 있음

  • Google은 yt-dlp가 포크되기 전부터 이미 적대적 태도를 보여왔음
    확장 스토어나 Android 정책에서도 이런 도구를 배제하려 하지만, 단속이 느슨할 때도 있음
    Google은 사용자가 자신의 영상 콘텐츠를 직접 제어하는 걸 두려워함
  • 그런데 브라우저가 이런 걸 신경 써야 할 이유가 뭔지 모르겠음

• Bing에서 “Google”을 검색하면 Google.com을 흉내 낸 페이지로 연결되는 걸 보면, 대기업은 믿을 수 없음
  이번 건은 단순한 우연일 수도 있지만 확신은 없음

  • Google이 예전에 Ad Nauseam 확장 프로그램을 악성코드로 표시한 적이 있었음. 그건 명백한 권력 남용이었음
    이번 건은 아직 불분명함
  • “좋은 위기를 절대 낭비하지 말라”는 말이 떠오름

• 나도 yt-dlp 다운로드 페이지에서 같은 현상을 재현했음
  “위험한 다운로드 차단됨 — yt-dlp_win_x86.zip은 흔히 다운로드되지 않으며 위험할 수 있음”이라는 메시지가 뜸

  • 하지만 이런 설명이 얼마나 유용한지 의문임
    모든 새 소프트웨어(심지어 Chrome 자체도) 처음엔 “흔히 다운로드되지 않은” 상태임

• 그래서 나는 Linux 배포판의 패키지 매니저로 yt-dlp를 설치함. Termux에서도 가능함

  • 하지만 yt-dlp는 자주 업데이트되어야 해서 배포판 버전이 너무 느림
    나는 Telegram/MQTT/HomeAssistant 래퍼를 만들어 어머니가 오디오북을 Jellyfin 서버에서 들을 수 있게 했음
    yt-dlp 버전이 자주 깨져서, 항상 최신 HEAD를 쓰기 위해 가상환경 자동 업데이트 스크립트를 만들어둠
    내 래퍼 코드

• 이렇게 큰 기업이 이런 작은 도구 하나도 그냥 두지 못하는 게 웃김
  Google은 이제 악의 축처럼 느껴짐. GCP는 요금이 비싸고, Android Play Store 통계도 하루 한 번밖에 안 갱신됨
  데이터 회사라면서 이 정도라니 실망스러움

  • 하지만 yt-dlp는 단순한 다운로드 툴이 아니라 다른 도구를 만드는 기반 도구임
    기자나 정부 기관도 연구나 증거 수집용으로 사용함
    Google이 정말 제거하려 했다면 이미 훨씬 더 강하게 막았을 것임. 완전히 없애려는 의도까진 아닌 듯함

• Google의 브라우저가 Google 서버에서 파일을 받는 도구를 “의심스럽다”고 하는 건 아이러니함

  • 같은 논리라면 Chrome도 “Google 서버에서 파일을 받는 도구”임
    이런 행태는 놀랍지 않지만, 그렇다고 비윤리적 오도와 독점 남용을 비판하지 않을 이유는 없음
    RIAA 변호사를 윤리적 본보기로 드는 건 오히려 내 주장을 강화함

• yt-dlp 최신 릴리스 페이지에서 테스트해봤는데, 경고는 Windows용 exe에만 뜨고 macOS나 Linux 버전은 정상임
  이걸 보면 자동화된 시스템의 실수로 보이고, 반경쟁적 의도는 아닌 듯함

• 반독점 규제 부재가 이런 이해충돌을 가능하게 함

  • 하지만 Firefox도 비슷한 경고를 띄움