사용자의 온라인 활동을 전부 추적하는 소름 끼치는 쿠키가 서서히 사라지고 있다. 지난 몇 년간 사파리와 파이어폭스 등 주요 웹 브라우저가 쿠키 수집 관행을 제한했다. 크롬도 쿠키가 프라이버시 침해라는 끔찍한 문제를 일으킨다는 사실을 인지했다. 그러나 쿠키 사용 중단은 온라인 추적을 막을 여러 방법 중 한 가지 방법에 불과하다. 일각에서는 이견을 제시할 수 있으나 쿠키 이외에도 사용자의 온라인 활동을 추적할 더 끔찍한 방법을 찾아볼 수 있다.
사용자의 브라우저나 스마트폰 설정 관련 상세 정보 수집 과정을 포함한 지문이 바로 쿠키보다 더 심각한 프라이버시 침해를 유발하는 온라인 활동 추적 방식에 해당한다. 추적 수단은 주로 숨겨졌기 때문에 사용자가 온라인 추적을 막을 방법이 그리 많지 않다. 또, 각국의 규제 기관도 여러 기업의 사용자 인터넷 활동 추적 목적 지문 사용을 거의 제한하지 않았다.
브라우저 지문이란?
선과 복잡한 패턴으로 이루어진 지문은 타인과 같을 수 없는 개인의 고유한 특성이다. 이와 비슷하게 브라우저 지문도 매번 사용자가 사용할 때마다 스마트폰이나 노트북의 정보를 수집해, 결과적으로 광고 기업이 특정 사용자와 연결하는 데 사용한다.
파이어폭스 수석 엔지니어 탄비 비아스(Tanvi Vyas)는 “브라우저 지문은 사용자 개인의 브라우저와 네트워크, 기기 정보를 모두 수집한 뒤 하나로 합쳐 사용자 개인의 고유한 특성을 생성한다”라고 설명했다. 지문을 구성하는 정보에는 사용 언어와 키보드 레이아웃, 접속 시간대, 쿠키 실행 여부, 사용 중인 기기가 실행하는 운영체제 등이 포함되었다.
모든 정보를 지문으로 결합하면, 광고 기업은 사용자가 다음에 웹사이트 접속 시 특정 사용자를 인식할 수 있다. 브라우저 지문을 관측한 대다수 연구를 통해 브라우저 지문 80~90%가 타인과는 다른 고유한 특성을 형성하는 것으로 드러났다. 지문은 종종 웹사이트에 자체 코드를 삽입하는 광고 기술 기업이 사용하는 수단이다. 핑거프린트JS(FingerprintJS) 라이브러리 등 다양한 스크립트 형태로 등장하는 지문 코드는 광고 기술 기업 수십 곳이 사용자의 온라인 활동 수집 목적으로 배포하는 요소이다. 지문 스크립트를 사용하는 일부 웹사이트는 지문 코드에 대해 전혀 알지 못한다. 또한, 많은 기업이 종종 불투명하면서 불확실한 방식으로 사용자를 추적한다.
지문 코드가 한 번 완성되면, 지문은 다른 여러 개인 정보와 결합할 사용자를 결합할 수 있다. 윤리적으로 의심스러운 행위를 하는 데이터 중개 기업이 사용자 정보를 보유하는 것처럼 기존 프로필이나 정보와 지문을 연결하는 등의 방식으로 지문이 사용자를 식별하게 된다. 현재 프랑스 데이터 규제 당국 CNIL에서 근무하는 프랑스 국립 디지털 과학 및 기술 연구소(National Institute for Research in Digital Science and Technology)의 과학자 나탈리아 비엘로바(Nataliia Bielova)는 “오늘날 사용할 수 있는 데이터세트와 사용자의 지문을 다른 식별 정보와 연결할 방법이 많다”라고 말했다.
지문은 웹 브라우저 발전과 함께 진화하며, 웹의 역사와 관련이 있다. 현재 브라우저 지문 개발 상황을 연구하는 비엘로바가 설명한 바와 같이 브라우저의 완성도가 높아질수록 HTTP 헤더와 API 등을 통한 지문의 서버와 사용자 기기 설정 관련 통신도 증가한다. 브라우저 지문은 프런티어 전자재단(Electronic Frontier Foundation)이 2010년 최초로 발견했다. 이후 광고 기업이 갈수록 쿠키 차단과 구글, 애플 등의 광고 추적 제한을 우회하고자 하면서 지문이 보편적인 사용자 추적 수단이 되었다.
[사진=Unsplash]
브라우저 지문 문제, 얼마나 심각한가?
지문 스크립트 실행 기업의 투명성이 거의 존재하지 않는 상태이지만, 지문 사용 관행 자체는 웹 전반에 걸쳐 만연하다. 브라우저 실행 시 접속하는 사이트 다수가 사용자의 기기 지문을 수집한다. 2020년 발표된 어느 한 연구는 전 세계 인기 웹사이트 1만 곳이 지문 스크립트를 실행한다는 사실을 밝혀냈다.
시간이 지나면서 지문을 수집할 새로운 방법이 등장하기도 한다. 지문의 장기적 여파를 연구한 적이 있는 독일 프리드리히 알렉산더대학교 연구 펠로인 개스톤 푸글리에스(Gaston Pugliese)는 “기존 지문 알고리즘은 추적성 측면에서 다른 요소보다 뛰어나지 않다”라고 말했다. 일례로, 2022년 초, 프랑스와 이스라엘, 호주 합동 연구팀이 GPU 지문을 이용해 사용자 개인을 식별할 수 있다는 사실을 입증했다. 다른 여러 브라우저에서도 사용자를 추적할 수 있다는 의미이다.
그러나 지문이 모두 나쁜 것만은 아니다. 사이버 보안 기업 카스퍼스키(Kaspersky) 수석 보안 연구원인 데이비드 엠(David Emm)은 지문 사용 기법을 종종 은행이 의심스러운 행위를 확인하는 것처럼 사기 위험을 감지하는 용도로 사용할 수 있다고 설명했다.
하지만 맞춤 광고와 사용자 개인의 온라인 활동 추적 목적으로 현재 널리 사용되는 지문은 법적 의문을 불러일으켰다. 유럽 전역의 규제 기관은 사용자에게 추적 허용 여부를 묻는 웹사이트에 등장하는 쿠키 배너 사용 제거를 촉구했다. 배너는 매우 만연하면서 사용자의 짜증을 유발해, 정보 추적 허용 방식을 제대로 이해하지 못한 채로 추적을 허용하도록 한다. 또한, 많은 사용자는 쿠키 배너가 사용자에게 겉으로 주장하는 것처럼 정보 수집과 사용자 보호 활동을 완벽하게 하지 못한다는 사실도 고려하지 못한다.
데이터와 기술 전문 법무법인 리드스미스(Reed Smith)의 파트너인 엘르 헌트(Elle Hunt)는 유럽에서는 지문 사용 행위를 개인정보보호 규정(GDPR)과 쿠키로의 마케팅 수단 규정에 적용할 수 있다고 말한다. 유럽 규제 당국은 2014년부터 지문이 심각한 데이터 보호 우려를 일으킨다고 경고했으며, 헌트는 상당수 웹사이트가 사용자에게 지문으로 온라인 활동 추적이 이루어질 수 있다는 사실을 안내하지 않는다는 점을 지적했다. 그는 “상당수 기업이 지문의 사용자 추적 방식을 제대로 인식하지 못하고 단순히 쿠키 규제를 우회할 훌륭한 대체 수단으로만 본다고 생각한다”라고 말했다.
브라우저 지문 활동, 중단 방법은?
지문은 쿠키와 다르게 실행 중단이 어렵다. 쿠키는 브라우저에 저장되며, 쿠키 이력 삭제나 차단, 전면 비활성화를 선택할 수 있다. 엠은 “지문을 사용하면, 추적 활동을 전혀 볼 수 없다. 많은 이들이 지문에 대해 전혀 알지 못한다. 지문의 활동도 볼 수 없다”라고 말했다. 2010년, 프런티어 전자재단은 처음 지문 관련 상세 내용을 공개했을 때, 삭제할 수 없는 쿠키와 같은 존재라고 언급했다.
여러 브라우저 플러그인은 지문 감소나 중단을 약속하지만, 단순히 품질을 수정한 것에 불과하다. 2019년, 스냅과 미국 학자 두 명의 공동 연구를 통해 상당수 지문 방지 툴이 무용지물이라는 사실을 밝혀냈다. 지문 활동 중단을 위해 할 수 있는 가장 중요한 일은 추적 제한과 프라이버시 강화를 지원하는 브라우저를 선택하는 것이다.
푸글리에스는 “현재 브라우저에 기본 기본적으로 적용된 프라이버시 보호 성공 가능성이 가장 높은 방법은 토르 브라우저를 사용하는 것이다”라고 말했다. 토르는 지문을 막기 위해 자체 브라우저의 모든 부분을 표준화해 누구나 똑같은 지문을 보유하도록 한다. 다만, 토르가 지문을 이용한 사용자 추적을 항상 완벽하게 막는 것은 아니다. 일부 웹사이트는 토르의 지문 추적 방어를 우회하며, 많은 기업이 토르 네트워크 실행을 허용하지 않는다. 파이어폭스와 브레이브를 비롯한 다른 프라이버시 강화 브라우저도 자체 지문 방지를 설계했다. 파이어폭스는 지문을 사용하는 외부 기관의 요청을 차단하며, 브레이브는 지문을 임의로 생성하며 개인 정보 식별을 어렵도록 만들 요소를 추가한다.
비아스는 “지문 세계에서 브라우저는 갈수록 진화한다”라며, 지문 방지 기술이 웹의 구성 요소 일부분을 침해하지 않는 방식으로 변화할 필요성을 덧붙여 말했다. 규제 기관이 더 엄격한 제재를 시행한다면, 사용자 추적 행위 근절에 도움이 될 것이다. 비아스는 “지문 기술과 지문 스크립트 사용이 불법이라고 규정할 법률 지지가 있다면, 사용자 추적을 막는 데 도움이 될 것이다”라고 언급했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202203/3767_5009_928.jpg)
뉴스레터 신청