Firefox, 브라우저 지문 추적 방지 기능 확대

 (blog.mozilla.org)
1P by GN⁺ 22일전 | ★ favorite | 댓글 1개
  • Firefox 145 버전에서 브라우저 지문(fingerprinting) 을 통한 추적을 차단하는 대규모 개인정보 보호 업그레이드 적용
  • 지문 추적은 사용자의 시간대, 운영체제 설정 등 세부 정보를 조합해 고유한 식별자를 생성하는 방식으로, 쿠키 차단이나 비공개 모드에서도 사용자를 식별 가능
  • 새 보호 기능은 Private Browsing 모드와 ETP Strict 모드에서 우선 적용되며, 실제 사용자 데이터를 기반으로 한 전 세계적 분석 결과를 반영
  • 개선된 방어 체계로 지문 추적 가능 사용자 비율이 절반으로 감소, 웹 기능 손상 없이 추적을 줄이는 다층적 보호 구조 구현
  • Firefox는 자동으로 작동하는 스마트 개인정보 보호를 목표로, 추가 확장 기능 없이도 사용자가 웹 통제권을 되찾을 수 있는 환경을 제공

Firefox 145의 주요 개인정보 보호 강화

  • Firefox 145는 브라우저 지문 추적(fingerprinting) 을 차단하기 위한 대규모 업그레이드를 포함
    • 지문 추적은 사용자의 시스템 세부 정보를 수집해 고유한 디지털 ID를 생성
    • 쿠키가 차단되거나 비공개 브라우징 중에도 사용자를 식별 가능
  • Mozilla는 건강하고 투명한 웹 생태계 구축을 장기 목표로 삼고 있으며, 이번 업데이트는 그 일환
  • Firefox의 Enhanced Tracking Protection(ETP)Total Cookie Protection에 이어, 지문 추적 방어 기능을 확장

지문 추적의 원리와 위험성

  • 지문 추적은 사용자의 시간대, 운영체제, 그래픽 설정 등 미세한 환경 정보를 조합해 고유한 ‘지문’을 생성
  • 이러한 지문은 웹사이트 간, 세션 간에도 동일하게 인식되어 지속적인 비가시적 추적을 가능하게 함
  • 악의적 행위자는 사용자의 동의 없이 장기간 추적할 수 있으며, 비공개 모드에서도 수개월간 식별 가능

강화된 방어 체계의 구조

  • Mozilla는 실제 사용자 브라우저 데이터의 글로벌 분석을 기반으로 새로운 방어 체계를 개발
    • Firefox는 이 수준의 분석과 방어를 구현한 최초의 브라우저로 명시
  • 새 방어 기능은 Private Browsing 모드와 ETP Strict 모드에서 우선 적용되며, 향후 기본 설정으로 확대 예정
  • 이 방어 체계로 인해 지문 추적 가능 사용자 비율이 절반으로 감소

Firefox의 다층적 보호 방식

  • Firefox는 기존의 추적 스크립트 차단 외에도 웹사이트에 제공되는 정보 자체를 제한
    • 예: 그래픽 하드웨어 정보는 게임 최적화에 필요하지만, 추적에도 악용될 수 있음
  • 2021년 이후 단계적으로 그래픽 렌더링, 폰트, 수학 연산 방식 등 주요 지문 요소를 보호
  • 최근 버전에서는 폰트 보호 강화, 하드웨어 세부 정보(프로세서 코어 수, 터치스크린 입력 수, 작업 표시줄 크기 등) 노출 차단
  • Mozilla의 연구 결과, 이러한 개선으로 고유 사용자로 인식되는 비율이 약 절반으로 감소

웹 기능과 개인정보 보호의 균형

  • Firefox는 지문 추적 방해와 웹 기능 유지 간의 균형을 중시
    • 예를 들어, 캘린더나 화상회의 도구는 실제 시간대 정보가 필요
  • 따라서 Firefox는 필수 기능을 유지하면서도 가장 취약한 지문 수집 경로만 차단
  • 사용자는 특정 사이트에서 문제가 발생할 경우, 해당 사이트만 보호 기능을 해제할 수 있음
  • 목표는 사용 경험 저하 없이 강력한 개인정보 보호를 제공하는 것

향후 계획과 사용자 통제권

  • Private Browsing 또는 ETP Strict 모드 사용 시, Firefox는 이미 백그라운드에서 추적 방지 기능을 수행
  • 이번 단계는 추가 확장 기능이나 설정 없이 자동으로 작동하는 스마트 보호 체계 구축의 중요한 이정표
  • Mozilla는 앞으로도 사용자 중심의 웹 경험과 개인정보 보호 강화를 지속 추진
  • 최신 Firefox로 업그레이드하면 사용자가 자신의 온라인 개인정보를 직접 통제 가능
GN⁺ 22일전  [-]
Hacker News 의견

  • 나는 항상 프라이빗 브라우징만 사용하지만, 추적 방지 효과가 크지 않다는 걸 알고 있음
    그래서 이런 기능이 드디어 적용되기 시작한 게 반가움
    익명으로 탐색하려면 너무 많은 노력이 필요하고, 기업들은 내가 추적 거부를 선택해도 이를 우회하려 함
    이런 태도만 봐도 그들의 본질을 알 수 있음 — 탐욕적이고 불투명한 행태
    쿠키를 거부하면 아예 추적을 금지하도록 국가 차원에서 막아줬으면 좋겠지만, 현실적으로는 기업들이 Firefox의 이런 보호 기능을 막으려 로비할 것 같음

    • Temporary Containers” 확장 기능이 이런 상황에 딱 맞음
      로그인하는 개인 사이트, 추적용 컨테이너, 그리고 닫으면 사라지는 임시 컨테이너로 나눠서 관리할 수 있음
      Temporary Containers 확장 링크
    • 프라이빗 브라우징 대신 프로필 기능을 써보는 것도 좋음. 각 프로필이 완전히 분리되어 관리됨
    • Tor를 쓰는 방법도 있음. 다만 Reddit 계정을 만들 수 있는 방법이 있으면 좋겠음
    • 나는 ‘작지만 양심적인 직원들’이 생기길 바람
      돈 때문에 프라이버시 침해 기능을 구현하는 개발자들도 결국 기업 구조의 일부임
      수많은 회색 지대의 노동자들이 이런 시스템을 떠받치고 있음
    • 유럽의 GDPR은 이미 이런 문제를 다루고 있음
      쿠키뿐 아니라 개인정보 수집 전반에 대한 동의가 필요하다는 규정이 있음
      요즘은 다른 지역에서도 비슷한 법이 생기고 있음

  • Firefox가 이런 기능에 자원을 쓰는 건 좋은 결정임
    다만 사용자 수가 적어서 브라우저 지문(fingerprinting) 측면에서는 불리함

    • 예전에 누군가 브라우저 통계가 얼마나 왜곡될 수 있는지 보여줬음
      Safari나 Firefox는 분석 도구에 잘 잡히지 않아서 실제보다 덜 중요하게 보임
      클라이언트 측과 서버 측 통계를 혼동하면 큰 차이가 생김
    • 나는 추적당하더라도 보안성이 더 중요하다고 생각함
      NoScript와 uBlock을 함께 쓰면 malvertising(악성 광고) 으로부터 안전함
      malvertising 예시 위키
    • 가끔 내 User Agent가 나를 식별하는 데 도움이 된다는 생각을 함
      Chrome/Windows로 위장하면 프라이버시엔 좋겠지만, 모두가 그렇게 하면 Firefox나 Linux 사용자가 사라진 것처럼 보일 것임
      나는 Firefox와 Linux 사용자가 존재한다는 걸 보여주고 싶음
    • 완전한 지문 방지를 하지 않으면 오히려 차별점이 더 두드러지는 역효과가 생길 수도 있음

  • 예전에 ‘탭마다 새로운 무작위 프로필’을 만드는 확장 기능을 써봤는데, 추적 알고리즘이 완전히 망가졌음
    다만 로그인 기능이 자주 깨져서 결국 사용을 중단했음

  • 요즘 Cloudflare 보호 사이트들이 Firefox에서 잘 작동하지 않음
    그래서 그런 사이트는 아예 방문하지 않게 됐지만, 이 싸움은 결국 질 것 같음

    • Cloudflare의 보안 위젯은 인터넷 전체에 해를 끼쳤다고 생각함. 다른 대안을 내놔야 함
    • 어떤 증상인지 궁금함. Cloudflare의 공격적 보호 모드에서만 그런가? 나는 Firefox만 쓰지만 문제를 못 느꼈음
    • 나는 Mullvad VPN을 통해 Firefox만 쓰는데 Cloudflare나 CAPTCHA 문제를 겪은 적이 없음
    • 네가 겪은 문제는 특정 설정 때문일 가능성이 높음. 모든 Cloudflare 사이트가 Firefox에서 안 되는 건 아님

  • 예전에 fingerprint.com에서 테스트했을 때, resistFingerprinting과 VPN을 써도 해시가 거의 변하지 않았음
    프로필을 바꿀 때만 달라졌고, 2021년엔 매번 재시작할 때마다 바뀌었음

    • 아마 fingerprint.com이 탐지 알고리즘을 강화한 듯함
      내 경우엔 며칠간은 같은 프로필로 인식하다가 갑자기 “처음 본 사용자”로 바뀌는 식임
      TTL 정책이 있는지도 모르겠음
      반면 Mullvad Browser에서는 전 세계 무작위 사용자와 묶이는 것처럼 보임

  • 내 지문에 가장 큰 영향을 주는 건 canvas 크기
    전체 화면에 맞춘 커스텀 설정 때문에 고유한 크기가 되어버림
    Firefox의 보호 기능은 새 창을 기본 크기로 여는 방식인데, 내 툴바 설정 때문에 여전히 고유함
    컨테이너마다 5~10픽셀 정도 무작위 오차를 주는 기능이 있으면 좋겠음

    • canvas 지문 방지를 위해
      about:config에서 privacy.resistFingerprinting을 true로,
      privacy.resistFingerprinting.letterboxing을 true로 설정하면 됨
      그러면 공통 크기로 맞춰지고 회색 letterbox 테두리가 생김
    • 나도 이제 왜 페이월 제한이 걸리는지 이해함
      Tree Style Tab을 써서 비정상적인 화면 비율이 생겼던 것임
      폭을 조정해서 실험해볼 생각임

  • Firefox의 지문 보호 항목 목록을 봤는데 (공식 문서 링크)
    개발자 입장에서 꽤 놀라웠음. 특히 canvas 데이터 변조는 좀 과격하게 느껴짐

    • 이런 건 정말 “좋은 기능을 가질 수 없는 세상” 같은 상황임

  • 기본적으로 Firefox가 canvas imageData API를 사용하는 사이트를 깨뜨리는 게 아쉬움
    사용자에게 권한을 묻는 방식이 없어서 동의 절차를 제공하기 어렵음

    • 어떤 사이트들이 영향을 받는지 궁금함

  • 나는 이미 CanvasBlocker, Decentraleyes, NoScript Security Suite를 쓰고 있음
    더 많은 보호 기능이 추가된다면 좋겠지만, Waterfox에 적용되기까지는 시간이 걸릴 듯함

    • 하지만 이런 추가 애드온이 오히려 추적을 더 쉽게 만들 수 있음
      Canvas 차단, JS 비활성화, 특이한 네트워크 요청 등으로 식별 정보(entropy) 가 늘어나기 때문임
      Tor 프로젝트에서도 이런 이유로 애드블록 설치를 권장하지 않음
    • 나도 예전에 반추적 설정을 잔뜩 해봤지만, 사이트가 너무 자주 깨져서 결국 포기했음
      사용성보호 수준의 균형이 중요함

  • 이미지에 노이즈를 추가하는 방식은 위험하다고 생각함
    자바스크립트로 이미지 편집 기능을 구현할 때 데이터가 손상될 수 있음

    • 그래도 기사에 따르면 이런 기능은 사이트별로 비활성화할 수 있음
답변달기