방문자가 눈치채지 못하는 사이 웹사이트가 사용자를 엿보는 새로운 방법이 나왔다. 아스 테크니카(Ars Technica)는 5월 28일, 간단한 자바스크립트(JavaScript)만으로 사용자의 저장장치(SSD) 활동을 브라우저에서 측정할 수 있다고 보도했다. 이를 이용하면 별도 권한 없이도 방문자를 식별하거나 추적할 단서를 얻을 수 있다는 것이다.
원리는 ‘사이드채널(side-channel)’이다. 시스템이 작동할 때 새어 나오는 미세한 흔적, 즉 여기서는 SSD가 데이터를 읽고 쓸 때 나타나는 특유의 반응 시간 패턴을 자바스크립트로 측정해 기기를 구분하는 식이다. 비밀번호를 훔치거나 파일을 직접 읽는 방식이 아니라, 하드웨어의 미세한 거동 차이를 지문처럼 활용한다.
문제는 막기가 까다롭다는 점이다. 카메라·마이크·위치 정보처럼 권한을 묻는 기능이 아니라, 웹페이지가 정상적으로 쓰는 자바스크립트 범위 안에서 동작하기 때문이다. 사용자는 자신이 측정당하고 있다는 사실조차 알기 어렵다. 광고·추적 업체가 쿠키를 막아도 사용자를 따라붙는 ‘핑거프린팅(fingerprinting)’ 기법의 새로운 변종이 될 수 있다는 우려가 나온다.
브라우저 개발사들은 그동안 이런 사이드채널 공격을 막기 위해 시간 측정의 정밀도를 낮추는 등 방어책을 적용해 왔지만, 새로운 측정 기법이 계속 등장하면서 ‘창과 방패’의 다툼이 이어지고 있다.
국내 이용자에게도 시사점이 있다. 쿠키 동의를 꼼꼼히 챙겨도 이런 하드웨어 기반 추적은 피하기 어렵다. 브라우저를 최신 상태로 유지하고, 추적 차단 기능이 강한 브라우저·확장 프로그램을 쓰는 것이 그나마 현실적인 대응책으로 꼽힌다.
자세한 내용은 아스 테크니카(Ars Technica)에서 확인할 수 있다.
이미지 출처: 이디오그램 생성
