파이어폭스, 쿠키 없는 웹사이트 방문자 추적도 막는다

다음달초 배포되는 파이어폭스 정식판이 익명 브라우저 토르(Tor)에서 이식되는 새로운 프라이버시 보호 기능을 제공한다. 그 이름은 '폰트 핑거프린트 보호(Font Fingerprint Protection)'다.

핑거프린트는 웹사이트 방문자를 쿠키 없이 추적하는 기술이다. 파이어폭스 신기능은 그 중 사용자 시스템의 폰트를 이용한 핑거프린트 기법으로부터 방문자를 보호하기 위해 탑재된다.

폰트 핑거프린트는 웹사이트가 방문자 브라우저를 통해 시스템에 설치된 폰트 정보를 조회하고, 그걸 바탕으로 사용자를 식별해내는 기법이다. 파이어폭스52 정식판은 웹사이트가 요청하는 모든 시스템 폰트 조회 요청에 똑같은 정보를 되돌려주는 식으로 폰트 핑거프린트의 식별 절차를 우회할 예정이다. 이를 위해 시스템 폰트의 '화이트리스트'를 생성한다.

[☞관련 외신: Firefox 52 will come with Fingerprint Font Protection Technology]

핑거프린트 기법이 웹사이트 고유 방문자를 식별하고 그 행동 정보를 수집하는 용도로 확산 추세다. 사실 방문자 식별 수단으로써 핑거프린트의 정확도는 '쿠키'보다 떨어진다. 다만 방문자가 추적을 꺼릴 때, 쿠키 방식은 운영체제(OS)나 브라우저 기능을 통해 삭제하거나 차단되기 쉽다. 반면 핑거프린트는 사용자가 임의로 피할 수 없다는 점에서 사이트 운영자에게 유용하다.

핑거프린트 방식의 사용자 추적이 기술이 적용된 웹사이트에서 사용자는 자신이 추적되고 있는지 알기 어렵고, 알더라도 그걸 거부하기 어렵다. 쿠키보다 떨어지는 식별성이라는 단점을 상쇄하는 특성이다. 이런 이유에서 핑거프린트를 활용한 마케팅 기법이 발달 추세다. 폰트뿐아니라 캔버스(Canvas)나 웹GL(WebGL)같은 HTML5 표준 태그 기반 핑거프린트 기법도 이미 고안, 구현됐다.

[☞핑거프린트 시스템 구축 라이브러리: GitHub - Valve/fingerprintjs2: Modern & flexible browser fingerprinting library, a successor to the original fingerprintjs]

[☞폰트 핑거프린트 기법 안내 사이트: Font Fingerprinting - Fonts Detection - BrowserLeaks.com]

[☞범용 핑거프린트 기법 안내 사이트: Cross-browser fingerprinting test 2.0]

[☞캔버스 핑거프린트 기법 설명 논문: Pixel Perfect: Fingerprinting Canvas in HTML5]

파이어폭스나 토르처럼 핑거프린트 보호 기능을 탑재한 브라우저는 웹사이트 이용자들의 인터넷 프라이버시를 더 잘 보호할 수 있게 된다. 하지만 파이어폭스52에 구현되는 기능은 모든 핑거프린트 기술에 대응하지 못한다. 향후 토르와 파이어폭스 브라우저 개발팀의 협력이 이어지면 다른 유형의 핑거프린트 기술에도 대항할 수 있을 것으로 보인다.

지난해말 토르 개발팀은 폰트 핑거프린트 보호를 비롯한 최신 사용자 프라이버시 지원 기능을 차세대 파이어폭스 정식판에 제공하기로 했다고 밝혔다. 토르 개발팀 측은 이를 공지한 블로그 포스팅에서 "곧 여러 브라우저 핑거프린트 유형을 차단할 패치 셋을 (토르 브라우저에서 파이어폭스로 가져와) 적용하는 작업을 시작할 것"이라고 예고했다.

[☞관련기사: 파이어폭스, 익명 인터넷 '토르' 기술 품는다]

[☞토르 블로그 공지: Tor at the Heart: Firefox

[☞모질라 NPAPI 지원 중단 공지: NPAPI Plugins in Firefox

[☞파이어폭스 개발 일정: RapidRelease/Calendar - MozillaWiki]