[안전 지식] 슈퍼 쿠키는 개인정보 보호 모드를 깨뜨려도 사용자 정보를 추적할 수 있습니다

현재 모든 주요 브라우저는 개인정보 보호 모드를 제공합니다. 이 모드에서는 웹사이트 쿠키가 사용자의 신원을 추적할 수 없습니다. 예를 들어, 구글 크롬은 "비밀 모드"라는 기능을 제공하고, 파이어폭스는 "프라이버시 창" 기능을 제공합니다.

하지만 이 새롭게 발견된 취약점으로 인해 브라우저의 프라이버시 모드가 작동하지 않을 것입니다. 예를 들어, 사용자가 일반 브라우저를 사용하거나 Amazon.com 에서 쇼핑하거나 페이스북을 둘러볼 때, 논란이 되는 블로그를 탐색하기 위해 프라이버시 창을 열 수 있습니다. 블로그가 아마존과 동일한 광고 네트워크를 사용하거나 페이스북의 '좋아요' 버튼을 통합한다면, 광고주와 페이스북은 사용자가 아마존과 페이스북과 동시에 논란이 되는 블로그를 방문하고 있음을 알 수 있습니다.

이 취약점에 대한 임시 우회 방법이 있지만, 번거롭습니다: 사용자는 프라이버시 모드를 활성화하기 전에 모든 쿠키를 삭제하거나, 전용 브라우저를 사용해 프라이버시 모드에서 완전히 탐색할 수 있습니다.

아이러니하게도 이 취약점은 개인정보 보호를 강화하기 위해 설계된 기능 때문에 발생합니다.

사용자가 브라우저 주소창에 접두사 https:// 를 사용해 특정 웹사이트와의 통신을 암호화하면, 일부 브라우저는 이를 기억합니다. 브라우저는 사용자가 다음에 웹사이트에 접속할 때 자동으로 https 채널에 진입하도록 하기 위해 "슈퍼 쿠키"를 저장합니다. 이 메모리는 사용자가 프라이버시 모드를 활성화해도 유지됩니다.

동시에, 이러한 슈퍼 쿠키는 광고나 소셜 미디어 버튼과 같은 제3자 웹 프로그램이 사용자를 기억할 수 있게 해줍니다.

이 취약점을 발견한 독립 연구자 샘 그린헬그는 블로그 글에서 이 기능이 아직 어떤 회사에서도 사용되지 않는다고 밝혔습니다. 하지만 이 방법이 공개된 후에는 기업들이 이를 막을 방법이 없었습니다.

온라인 프라이버시 소프트웨어 회사 Abine의 공동 창립자 유진 쿠즈네초프는 이 '슈퍼 쿠키'가 차세대 추적 도구가 될 것이라고 믿고 있습니다. 이 도구는 쿠키에서 시작되었지만 점점 더 정교해졌습니다. 현재 사용자는 항상 고유한 기기 식별자와 고유한 브라우저 지문을 가지고 있어 지우기가 어렵습니다.

"슈퍼 쿠키"의 존재로 인해 인터넷 익명성이 더욱 어려워졌습니다. 쿠즈네초프는 "우리는 개인정보 보호 경쟁을 목격했다. 인터넷 사용자를 추적하려는 욕구는 기생충과 같습니다. 브라우저 내 모든 것은 웹사이트와 광고주에 의해 면밀히 조사되어 더 많은 추적이 가능합니다. ”

Mozilla는 이미 최신 버전의 Firefox에서 이 문제를 해결했으며, Google은 Chrome을 그대로 두는 경향이 있습니다. 구글은 이미 '슈퍼 쿠키' 문제를 알고 있지만, 여전히 크롬의 https 메모리 기능을 계속 활성화하기로 선택했습니다. 보안과 프라이버시 보호 사이에서 구글은 전자를 선택했습니다.

마이크로소프트 인터넷 익스플로러는 이런 문제가 없는데, 이 브라우저는 내장된 https 메모리 기능이 없기 때문입니다.

그린할은 또한 iOS 기기에서도 '슈퍼 쿠키'로 인한 문제가 존재한다고 말했습니다.