3P by GN⁺ | ★ favorite | 댓글 2개
  • Firefox 128에 Privacy-Preserving Attribution(PPA) 가 기본 활성화되면서, 개인정보 보호를 앞세워온 브라우저의 신뢰 논란으로 번짐
  • PPA는 광고 성과를 익명 측정하는 “실험적” 기능이지만, 업데이트 후 사용자가 직접 꺼야 하는 옵트아웃 방식으로 제공됨
  • 비판자 Jonah Aragon은 Mozilla가 사용자 반발을 예상하면서도 사전 공개와 커뮤니티 테스트 시간을 충분히 주지 않았다고 봄
  • Mozilla 측 Bas Schouten은 사용자가 충분히 이해하기 어려운 시스템이라면 옵트인이 적절하지 않고, 광고 추적으로부터 보호하는 쪽이 우선이라는 입장임
  • 집계 서버가 개별 사용자를 숨기더라도 사용자 데이터가 기기를 떠난다는 점과 Mozilla의 광고 사업 이해관계가 핵심 쟁점으로 남음

Firefox 128의 PPA 기본 활성화 논란

  • Firefox 128은 실용적 새 기능보다 데이터 보호 논란으로 더 주목받고 있음
  • 새 버전에는 광고와 광고 성과를 익명으로 측정하는 Privacy-Preserving Attribution(PPA) 기술이 포함됨
  • Mozilla는 PPA를 “실험적” 기능으로 표시했지만, Firefox 128 업데이트와 함께 자동 제공하고 기본값으로 켜둠
    • 사용자는 PPA를 직접 꺼야 함
    • 기능이 뒤에서 도입됐다는 사실을 알아야만 비활성화할 수 있음
  • Jonah Aragon의 비판은 Mozilla가 Firefox 사용자들이 이런 기능을 원하지 않을 것을 알고 있었다는 데 초점을 둠
    • 사용자가 원할 기능이었다면 Mozilla가 PPA를 사전에 공개하고 커뮤니티가 테스트할 시간을 줬어야 한다고 봄
    • Mozilla는 한 달 전부터 PPA 지원 문서를 제공하고 있음: Privacy-Preserving Attribution

Mozilla 해명과 데이터 흐름 쟁점

  • Bas Schouten은 PPA 같은 시스템을 사용자에게 설명하기 어렵다고 봄
    • 사용자가 충분히 정보에 기반한 결정을 할 수 없다면 옵트인은 의미가 없다는 입장임
    • 광고 추적으로부터 사용자를 보호해야 하며, 새 기능은 계속 사용자에게 묻지 않고 활성화된다고 봄
  • Aragon은 이런 태도가 Mozilla를 “정보가 부족한 대중의 목자”처럼 보이게 만든다고 비판함
    • Firefox 사용자는 특히 의견을 들어야 할 성인 사용자라는 반론이 따라붙음
  • PPA에는 광고 제공자와 사용자 데이터 사이에 집계 서버가 있음
    • 개별 브라우저의 정보를 익명화한 뒤 참여 광고 고객에게 데이터를 제공함
    • 광고 제공자는 개별 사용자를 식별할 수 없게 됨
    • 다만 사용자 데이터가 집계 서버로 이동하므로, 데이터가 사용자 컴퓨터를 떠나는 것은 피할 수 없음
  • Mozilla는 이 서버가 광고 네트워크의 일부가 아니라고 보지만, 비판자들은 이 구분을 받아들이지 않음
    • Aragon은 Mozilla가 광고 네트워크를 재정의해 광고 제공자에 속하지 않는 것처럼 만들었다고 비판함

Anonymous 인수와 Firefox 신뢰 문제

  • Mozilla가 몇 주 전 PPA 개발사인 Anonymous를 인수한 점도 의심을 키움
    • Anonymous는 광고와 사용자 사이의 중개자 역할을 함
    • Mozilla가 PPA로 현금 흐름을 개선하려는 것 아니냐는 의심이 있지만, 관련 금액은 불명확함
  • 데이터 보호를 내세워온 Firefox가 이런 방식을 택하면서 신뢰 문제가 생김
    • Aragon은 현재 Mozilla의 약속이 수집 데이터 보호의 핵심이며, 기술적으로는 향후 광고 제공자가 개별 데이터에 접근하도록 시스템을 바꾸기 쉽다고 봄
    • Anonymous 인수 당시에도 이런 우려가 있었지만, Mozilla가 뒤쪽 경로로 광고 네트워크를 만들 것이라고 예상하기는 어려웠음
  • Firefox는 Google Chrome의 유일한 주요 경쟁자이고, 다른 브라우저들은 Chromium 기반임
    • 독립 브라우저로서 Ladybird가 탄력을 얻고 있지만, 아직 신뢰할 수 있는 웹 브라우저가 되기까지는 거리가 있음

댓글과 토론

Hacker News 의견들
  • 이 기능을 끄려면 안내는 여기[1]에 있지만, 절차는 햄버거 메뉴 → 설정 → 개인정보 및 보안으로 들어가서 새로 생긴 “Web Site Advertising Preferences” 섹션까지 내려간 뒤 “Allow web sites to perform privacy-preserving ad measurement” 체크를 해제하면 됨
    [1] https://support.mozilla.org/en-US/kb/privacy-preserving-attr...
    • 당연히 이 설정은 새 기기에 기본 동기화되지 않으니, 기기마다 직접 거부해야 함
      내부 설정값은 dom.private-attribution.submission.enabled이고, 정책에서 강제로 끌 예정임
    • Firefox에서 설정을 찾을 때 보통 검색창을 쓰는데, Mozilla가 이 설정은 검색에서 제외해 숨기는 듯함
      설정 검색창에 “advertising”을 입력해도 결과가 나오지 않음
    • 끌 수 있는 방법이 있다는 건 좋지만, 근본 문제는 또다시 사용자의 사전 동의 없이 기본 켜짐이라는 점임
      회사가 사용자에게 묻지 않고 소프트웨어가 무엇을 해야 할지 일방적으로 결정했고, 이런 Silicon Valley식 관행은 흔하지만 끔찍함
      그 기능이 암을 치료하든 공짜 강아지를 주든 상관없이, 명시적으로 실행하라고 명령하지 않은 기능이 돌아가는 건 원하지 않음
  • Mozilla CTO가 /r/firefox에 이 문제에 대해 글을 올렸음:
    https://old.reddit.com/r/firefox/comments/1e43w7v/a_word_abo...
    • “돌이켜보면 이 건은 더 많이 소통했어야 했다”는 말이 있지만, 왜 회사/앱/서비스들이 이 교훈을 계속 새로 배워야 하는지는 전혀 명확하지 않음
      첫 웹 기사가 나오기 전부터 사용자 반발은 완전히 예측 가능했음
      Mozilla에서 결정권을 가진 사람이 이를 예상하지 못했다면, 사람들의 프라이버시 우려를 전혀 이해하지 못했거나 신경 쓰지 않는다는 뜻이고 둘 다 좋지 않음
    • 거기서 CTO에게 달린 핵심 답변은 “거부 방식은 동의가 아니다”인데, 답이 없음
      이건 매우 문제적이고, 이전에 쓴 댓글도 참고할 만함: https://news.ycombinator.com/item?id=40966312
    • 이 문장이 매우 중요해 보임: “대안이 없으면 광고주들이 이런 대응책을 우회하려는 엄청난 경제적 유인을 갖고, 우리가 이기지 못할 수도 있는 끝없는 군비 경쟁으로 이어진다”
      군비 경쟁은 웹 출판물과 동영상 피드에 DRM을 도입하는 방향으로 갈 가능성이 높고, Google은 이미 실험 중임
    • 흥미로운 댓글: https://old.reddit.com/r/firefox/comments/1e43w7v/a_word_abo...
      원격 측정(telemetry)을 꺼 두면 이 기능도 꺼지지만, UI에는 그렇게 표시되지 않아 켜진 것처럼 보임
      존재하고 기본 켜짐인 건 좋지 않지만, 이미 원격 측정을 거부했다면 이것도 함께 거부된 상태임
    • “거대한 감시망에 대해 뭔가 하는 것이 우리 중 많은 사람이 Mozilla에 있는 주된 이유”라면서도, “모달 동의 대화상자는 더 나은 기본값을 방해하는 사용자 적대적 요소라고 본다”고 함
      정말 사용자 적대적인 건 사용자 모르게 동의 없이 실행하는 것임
      Firefox는 업데이트 뒤 새 탭에서 Mozilla가 중요하다고 보는 기능, 예를 들면 VPN이나 모바일 Firefox를 자주 홍보하는데, 이번에는 이 변경에 대해 아무 말도 없었음
      나에게 알리는 비용은 “무료”였는데도 적극적으로 거부한 셈임
      감시에 대해 “뭔가 하는 것”은 투명성에서 시작하는데, Mozilla 리더십이 이를 중요하게 보지 않는다면 그런 회사를 이끌 자격이 없음
      Firefox 사용자는 Google이나 Microsoft가 반복하는 수상한 전술을 원하지 않기 때문에 Firefox를 쓰는 것이고, 문제에 대해 PR팀이 긴 무답변을 내놓아야 하는 회의실 사람에게 브라우저 통제권을 넘기고 싶어 하지 않음
      이 기술을 왜 만들었는지에 대한 말은 많지만, 사용자 권리를 옹호한다고 자처하는 회사가 가장 큰 문제, 즉 한밤중에 변경을 밀어 넣고 명백히 논쟁적인 설정을 경고나 소통 없이 켜는 사용자 적대적 결정을 했다는 점은 거의 다루지 않음
      “더 많이 소통했어야 했다”는 PR식 표현은, 이 브라우저를 이유 있게 조사하고 선택한 사용자들에게 “우리가 적극적으로 숨겼다”는 뜻으로 들려 소외감을 키우는 최선의 방법임
  • Wikimedia Foundation이 종종 암에 걸렸다고 비유되는데[1], Mozilla Foundation은 알츠하이머에 걸려 자신들이 누구이고 왜 존재하는지 계속 잊는 듯함
    [1] https://en.wikipedia.org/wiki/User:Guy_Macon/Wikipedia_has_C...
    • 과거에 연루됐던 논란들도 떠오름
      Cliqz도 Mozilla가 프라이버시 보존 기술에 투자하려던 또 다른 시도였고, 그때는 검색, 이번에는 광고였으며 둘 다 사용자 동의 없이 조용히 출시했음
  • 그래서 이걸 어떻게 끄는지 찾았음
    설정으로 가서 검색창에 privacy를 입력하면 “Firefox Data Collection and Use” 아래 마지막 항목에 “Allow websites to perform privacy-preserving ad measurement” 체크박스가 있음
    방금 확인했을 때 내 쪽에서는 이미 체크 해제되어 있었음
    • Firefox 모바일에서는 chrome://geckoview/content/config.xhtml을 열고 general.aboutConfig.enabletrue로 설정한 뒤, about:config에서 dom.private-attribution.submission.enabledfalse로 바꾸면 됨
    • 흥미롭게도 옵션에 작동 방식을 설명하는 링크가 붙어 있었고, 원문 기사의 독일어 쿠키 대화상자를 넘기지 못했기 때문에 유용했음
      문제는 영리한 속성 조작으로 집계 서비스가 여러 사이트에 걸쳐 한 사용자에 대해 거의 고유한 보고서를 광고 사이트에 주도록 유도할 수 있는지일 듯함
      <https://support.mozilla.org/en-US/kb/privacy-preserving-attr...>
      <https://datatracker.ietf.org/doc/html/draft-ietf-ppm-dap>
      <https://github.com/mozilla/explainers/tree/main/ppa-experime...>
    • NixOS에서는 다음처럼 설정하면 됨
      programs.firefox.policies.Preferences."dom.private-attribution.submission.enabled" = false;
      (https://gitlab.com/engmark/root/-/commit/bbb3ff9efb878ddda38...)
    • MacOS에서는 그 체크박스가 “Website Advertising Preferences”라는 별도 섹션에 있음
    • 데스크톱에서는 그렇지만 모바일에서는 훨씬 어렵고, 아직 켜져 있음
      설정에 이 옵션을 보이게 만들 생각을 안 해서 about:config를 활성화하는 우회 방법을 써야 함
  • Ladybird 브라우저 개발에는 어디에 기부하면 되나 했는데, 누가 답하기 전에 적자면 여기임: https://donorbox.org/ladybird
    • Ladybird와 Servo에 기부했음
      Servo 링크는 여기: https://servo.org/sponsorship/
    • 가까운 미래에 Windows 빌드 대상을 추가하기 시작해야 함
      웹 개발자로서는 그게 있어야 대중에게 전환을 설득할 수 있음
    • 너무 기대하지 않는 게 좋음
      Firefox만큼 빠른 브라우저를 개발하는 데는 오래 걸리고, CSS와 JS는 만만하지 않음
    • 왜 Ladybird인가? Servo는 왜 아닌가?
    • 그게 문제를 어떻게 해결하는지 모르겠음
      몇 년 뒤 실제로 브라우저를 완성하더라도 어떤 식으로든 품질 저하와 수익화 왜곡이 일어나지 않는다는 보장이 없음
      내가 보기엔 오픈소스 브라우저를 탈오염시키기 위해 존재하는 프로젝트만이 선택지임
  • https://librewolf.net/
    안 될 때는 Firefox로 돌아가면 됨
    보통 수상한 사이트, 강한 봇 방지와 지문 추적을 쓰는 사이트, 또는 GPU API를 쓰는 사이트에서 문제가 생김
    • LibreWolf에 대한 몇 가지 비판이 있음
      프로젝트 뒤에 법적 주체가 없어서, 프로젝트에 무슨 일이 생기면 가능성이 낮더라도 법적 책임 구조가 없음
      바이너리에 서명이 없고, 코드 서명이 좀 장사처럼 굴러가긴 해도 의미는 있음
      자동 업데이트 메커니즘도 없는데, 특히 Windows에서 제3자 클라이언트에 의존해 브라우저를 업데이트하라고 권하는 점은 꽤 큰 문제임
      중간자를 하나 더 추가한 데다 바이너리도 서명되지 않았으니, 악성 바이너리를 내려받지 않는다는 보장이 없음
    • 며칠 전에 설치했는데 아주 잘 돌아가고 아직 문제는 없었음
      Brew로 설치할 수 있어서 좋음
  • Firefox의 반복적으로 느리고 형편없는 성능, 기기 전체를 느리게 만드는 경향을 참아보게 만들던 몇 안 되는 이유가 프라이버시였음
    그게 사라졌다면 굳이 왜 쓰나 싶고, 차라리 Chrome을 써도 됨
    적어도 가볍고 꽤 빠름
  • 이 방식은 잡음을 추가해서 작동하는데, 공격자가 신호를 키워 우회할 수 있지 않나?
    공격자가 시빌 광고주/브라우저를 만들 수 있다고 가정하면 충분히 가능해 보임
    여러 광고 식별자와 여러 시빌 광고주로 구성된 기준 노출 집합 M을 정의하고, 각 표적 사용자마다 역시 여러 광고 식별자와 여러 시빌 광고주를 가진 표식 노출 집합 M을 정의함
    그런 다음 보고 기준선을 일정 확률로 넘기도록 표식+기준 노출을 많은 시빌 브라우저에 저장함
    표적 사용자가 표적 웹사이트를 방문하면 각 광고/광고주에 대해 전환 보고서를 요청함
    그러면 기준 광고/광고주에서 온 기준 신호와 표식 광고/광고주에서 온 표식 신호가 생기고, 이 사용자가 표적 사용자 중 하나라면 “표식” 신호가 기준보다 강할 것으로 기대할 수 있음
  • Firefox는 자바스크립트 실행에 의존하는 모든 광고와 프로파일링 관련 제3자 코드 조각은 막되, 페이지에 통합되어 있고 페이지 소유자가 직접 제공하며 페이지 내용에 기반한 광고 이미지는 남겨두는 추적 차단기를 통합해야 함
    잡지 광고처럼 말임
    그 외의 모든 것은 광고 업계의 “프로파일 구축은 괜찮다”는 생각에 동의하는 것일 뿐임
    요즘 광고주들은 자기들이 모든 것을 누릴 자격이 있다고 생각하고, Firefox가 그들을 도와준 셈임
    • 그 논리라면 Wikipedia는 어떤 이미지도 로드할 수 없게 됨
  • 예전에는 내 웹사이트에 “Download Firefox” 버튼을 달아뒀지만, 과거의 비슷한 사건들 때문에 제거했음
    친구와 가족에게 Firefox를 추천하는 것도 그만뒀고, 이제는 진심으로 추천할 수 없음
    요즘 어떤 브라우저를 쓰는지가 큰 차이를 만드는지도 확신이 없음
    전통에 가까운 이유로 아직 Firefox를 쓰고 있지만, 기술적으로 유능한 다른 사람들이 Firefox를 떠난 것도 알고 있음
    아마 비슷한 이유였을 것임: Firefox가 다른 브라우저보다 덜 짜증 난다고 느껴지지 않는다는 것
    Firefox가 점점 더 많은 헌신적 지지자를 잃고 그들이 무관심해진다면, 미래는 꽤 어두워 보임