브라우저 핑거프린팅, VPN으로도 막을 수 없는 새로운 추적 위협...쿠키 대체 기술로 주목

캔버스 핑거프린팅 등 정교한 기술로 사용자 식별, 방어 시도 자체가 오히려 추적 가능성 높여

[한국정보기술신문] 인터넷 사용자 추적을 위해 쿠키를 대체하는 브라우저 핑거프린팅 기술이 심각한 프라이버시 위협으로 떠오르고 있다. 이 기술은 VPN 사용으로도 완전히 차단하기 어렵고, 방어 조치가 오히려 사용자를 더 쉽게 식별하게 만들 수 있다는 점에서 우려를 낳고 있다.

브라우저 핑거프린팅은 쿠키에 의존하지 않고 브라우저가 웹 서버에 제공하는 다양한 정보를 조합해 사용자를 식별하는 기술이다. 브라우저 버전, 운영체제, 언어 설정, 시간대 같은 기본 정보부터 설치된 폰트, 브라우저 확장 프로그램, 하드웨어 정보까지 수집한다.

캔버스 핑거프린팅의 정교함

특히 캔버스 핑거프린팅은 가장 강력한 추적 방법으로 꼽힌다. 자바스크립트를 이용해 브라우저에서 텍스트를 그린 뒤 개별 픽셀 데이터를 추출하는 방식이다. 그래픽 하드웨어와 운영체제의 미묘한 차이로 인해 같은 텍스트를 그려도 픽셀 데이터가 달라지며, 약 1000개 브라우저 중 하나만이 동일한 캔버스 핑거프린트를 공유하는 것으로 알려졌다.

브라우저 창 크기 같은 사소한 정보도 추적에 활용된다. 사용자가 선호하는 브라우저 창 크기가 1287x892 픽셀이라는 정보만으로도 식별 범위를 1000분의 1 이상 좁힐 수 있다.

방어의 역설

자바스크립트를 비활성화하면 캔버스 핑거프린팅을 막을 수 있지만, 이는 오히려 강력한 식별 요소가 된다. 거의 모든 브라우저가 자바스크립트를 지원하는 상황에서 이를 끄는 것은 쇼핑몰에서 스키 마스크를 쓰는 것과 같다고 전문가들은 지적한다.

브라우저가 자신의 정보를 속이는 방법도 한계가 있다. 핑거프린팅 시스템은 다른 방법으로 브라우저와 플랫폼을 추정할 수 있어, 브라우저가 거짓 정보를 제공하면 오히려 더 눈에 띄게 된다.

제한적인 대응 방안

현재 Brave, Mullvad, Librewolf 같은 브라우저들이 핑거프린팅 저항 기능을 내장하고 있다. Firefox도 이 기능을 제공하지만 기본적으로 비활성화되어 있다. 그러나 이런 대응책을 모두 적용해도 며칠이나 몇 주 동안 추적될 확률을 99%에서 50% 정도로 낮출 수 있을 뿐이다.

전문가들은 가장 대중적인 브라우저를 가장 대중적인 운영체제에서 사용하고, 설정을 기본 상태로 유지하며, 확장 프로그램을 설치하지 않는 등 최대한 평범하게 보이는 것이 최선의 방어책이라고 조언한다.

법적 규제 필요성 대두

영국 정보위원회는 브라우저 핑거프린팅에 부정적 입장을 취하고 있으며, EU의 개인정보보호규정인 GDPR을 위반할 가능성이 있다. 그러나 해킹 탐지 같은 정당한 목적도 있어 법적 판단이 명확하지 않은 상태다. 전문가들은 이 위협을 해결하려면 새로운 입법이 필요하다고 주장한다.

브라우저 핑거프린팅은 통계적 결과만 제공하고 데이터 수명이 짧다는 한계가 있지만, 온라인 광고 산업을 지원하며 인터넷 프라이버시를 위협하는 주요 수단으로 작용하고 있다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org