2019.08.23

파이어폭스 이어 '사파리'도··· 웹사이트 추적 차단에 '올인'

Gregg Keizer | Computerworld
애플의 사파리(Safari) 브라우저에 들어가는 오픈소스 웹킷(WebKit) 프로젝트가 모질라(Mozilla)의 뒤를 따를 것임을 분명히 했다. 사용자의 웹 기록을 추적하는 기술을 무력화하는데 '올인'하겠다는 것이다.
 
ⓒ Getty Images Bank

지난 8월 14일 웹킷 개발팀은 새 추적방지정책(Tracking Prevention Policy, TPP) 관련 문서를 공개했다. 이를 보면 어떤 방식의 추적 기술을 차단할 것이고 이에 따른 부작용을 어떻게 줄일 것인지 자세한 내용이 포함돼 있다. 개발팀은 "우리는 그동안 이 정책에 포함된 모든 추적 기술을 차단하기 위해 웹킷에 기술적 보호장치를 적용했거나 혹은 적용하려 노력해 왔다. 새로운 추적 기술을 발견하면 이를 정책에 포함해 차단하기 위한 기술적 장치를 추가할 수도 있다"라고 설명했다.

이 문서에 따르면, 실제로 크로스 사이트 추적(cross-site tracking), 핑거프린팅(fingerprinting) 등 웹킷을 추적하는 6가지 기술이 차단될 예정이거나 이미 차단됐다. 사파리는 지난 2017년 첫선을 보인 ITP(Intelligent Tracking Protection) 기능을 통해 일부 크로스 사이트 추적을 차단해 왔고, 지난해에는 이 기능을 맥OS 모하비(Mojave)와 iOS 12용 브라우저까지 확대했다. 이에 따라 이들 브라우저가 웹사이트에 제공하는 정보는 매우 제한적이다. 예를 들어 설치된 글꼴과 플러그인을 기록하는 방식으로 사용자를 식별하는 기술을 사용할 수 없도록 관련 정보를 차단한다.

웹킷팀은 이러한 기능에 대한 영감을 준 모질라에 경의를 표하기도 했다. 팀은 문서를 통해 "우리의 이번 정책은 모질라의 안티 트래킹 정책에서 영감을 받았거나 혹은 유래한 것이다"라고 밝히고 파이어폭스 개발팀의 가이드라인을 링크했다.

파이어폭스는 최근 프라이버시 문제에 집중하고 있다. 6주 정도마다 새 버전을 내놓는 빠른 릴리즈 주기 덕분에 이 새 기능은 많은 주목을 받았다. 예를 들어 지난 6월에는 파이어폭스의 ETP(Enhanced Tracking Protection) 기능이 기본값으로 활성화됐다(새 사용자에 적용되고 기존 사용자는 직접 활성화해야 한다). 이 기술은 지난 4년간 개발해 온 것으로 쿠키와 URL 값 기반의 크로스 사이트 추적을 차단한다. 핑거프린트도 선택적으로 무력화할 수 있다.

웹킷팀과 이를 사용하는 애플은 이러한 모질라의 개발 성과를 모방해 파이어폭스에만 집중된 안티 트래킹, 프라이버시 관련 화제성을 끌어오고 싶어 하는 것으로 보인다. 동시에 점유율 하락세를 반전시킬 카드로도 활용한다는 구상이다. 파이어폭스와 사파리는 지난 6개월간 사용자 점유율이 하락해왔다. 이들 개발팀은 프라이버시를 1위 브라우저인 구글 크롬을 따라잡는 전략으로 보고 있다. 더 많은 사용자가 자신의 브라우저를 사용하도록 유혹할 수 있는 차별화된 경쟁력으로 생각하는 것이다.

실제로 브라우저가 사용자의 프라이버시를 얼마나 보호하는지는 렌더링 속도 같은 전통적인 브라우저 선택 기준보다 더 중요해지고 있다. 심지어 마이크로소프트는 자사의 엣지(Edge) 브라우저를 크로미움(Chromium) 오픈소스 프로젝트 기술을 기반으로 전면 재개발해 내놓기까지 했다. 이 개발은 사이트(광고주)의 부정적인 행위에 대해 사용자를 보호하는 것에 주안점을 뒀다. 상위 4개 브라우저 중  안티 트래킹에 대해 공개적으로 언급하지 않고 있는 것은 크롬뿐이다.

웹킷이 모질라의 이상에서 영감을 받았지만, 단순히 이를 따라하고 반복하는 것은 아니다. 오히려 더 공격적으로 이 기술을 활용하고 있다.

웹킷팀은 "안티 트래킹을 보안 취약점을 확산만큼 심각한 이슈로 보고 있다. 그만큼 새로운 기술을 더 빨리 제공한다. 만약 특정 집단이 우리의 추적 방지 기능을 우회하려 하면 공지 없이 대응할 수도 있다. 이러한 대응에는 우회가 확인된 집단 또는 우회하려 노력 중인 집단 등을 가리지 않고 예외 없이 적용된다. 다시 말하면 웹킷은 상습적으로 이 기술을 우회하려 하는 집단에 즉각적인 대응 조치에 나설 예정이다. 부적절한 행위에 의존하는 모든 이를 찾아내거나, 추적 방지를 우회하려 하는 집단을 특정하는 방식을 통해서다"고 설명했다.

독립적인 보안 및 프라이버시 연구자이자 컨설턴트인 루커스 올리즈닉은 이를 매우 긍정적으로 평가했다. 그는 트위터를 통해 "(웹킷팀처럼) 안티 트래킹 우회와 보안 취약점을 같은 위협으로 보는 것은 다른 개발 사례에서 찾아볼 수 없다. 프라이버시를 보안과 같은 최우선 문제로 공개적으로 다루는 것은 마이크로소프트나 구글은 물론 다른 브라우저 개발 업체와 완전히 차별화된다"라고 말했다.

한편 웹킷이 공개한 정책 문서에는 새로운 추적 방지 기능을 추가하는 일정 관련 내용이 빠져 있다. 언제쯤 사파리에 이 기능을 추가할지에 대해서도 언급이 돼 있지 않다. ciokr@idg.co.kr


2019.08.23

파이어폭스 이어 '사파리'도··· 웹사이트 추적 차단에 '올인'

Gregg Keizer | Computerworld
애플의 사파리(Safari) 브라우저에 들어가는 오픈소스 웹킷(WebKit) 프로젝트가 모질라(Mozilla)의 뒤를 따를 것임을 분명히 했다. 사용자의 웹 기록을 추적하는 기술을 무력화하는데 '올인'하겠다는 것이다.
 
ⓒ Getty Images Bank

지난 8월 14일 웹킷 개발팀은 새 추적방지정책(Tracking Prevention Policy, TPP) 관련 문서를 공개했다. 이를 보면 어떤 방식의 추적 기술을 차단할 것이고 이에 따른 부작용을 어떻게 줄일 것인지 자세한 내용이 포함돼 있다. 개발팀은 "우리는 그동안 이 정책에 포함된 모든 추적 기술을 차단하기 위해 웹킷에 기술적 보호장치를 적용했거나 혹은 적용하려 노력해 왔다. 새로운 추적 기술을 발견하면 이를 정책에 포함해 차단하기 위한 기술적 장치를 추가할 수도 있다"라고 설명했다.

이 문서에 따르면, 실제로 크로스 사이트 추적(cross-site tracking), 핑거프린팅(fingerprinting) 등 웹킷을 추적하는 6가지 기술이 차단될 예정이거나 이미 차단됐다. 사파리는 지난 2017년 첫선을 보인 ITP(Intelligent Tracking Protection) 기능을 통해 일부 크로스 사이트 추적을 차단해 왔고, 지난해에는 이 기능을 맥OS 모하비(Mojave)와 iOS 12용 브라우저까지 확대했다. 이에 따라 이들 브라우저가 웹사이트에 제공하는 정보는 매우 제한적이다. 예를 들어 설치된 글꼴과 플러그인을 기록하는 방식으로 사용자를 식별하는 기술을 사용할 수 없도록 관련 정보를 차단한다.

웹킷팀은 이러한 기능에 대한 영감을 준 모질라에 경의를 표하기도 했다. 팀은 문서를 통해 "우리의 이번 정책은 모질라의 안티 트래킹 정책에서 영감을 받았거나 혹은 유래한 것이다"라고 밝히고 파이어폭스 개발팀의 가이드라인을 링크했다.

파이어폭스는 최근 프라이버시 문제에 집중하고 있다. 6주 정도마다 새 버전을 내놓는 빠른 릴리즈 주기 덕분에 이 새 기능은 많은 주목을 받았다. 예를 들어 지난 6월에는 파이어폭스의 ETP(Enhanced Tracking Protection) 기능이 기본값으로 활성화됐다(새 사용자에 적용되고 기존 사용자는 직접 활성화해야 한다). 이 기술은 지난 4년간 개발해 온 것으로 쿠키와 URL 값 기반의 크로스 사이트 추적을 차단한다. 핑거프린트도 선택적으로 무력화할 수 있다.

웹킷팀과 이를 사용하는 애플은 이러한 모질라의 개발 성과를 모방해 파이어폭스에만 집중된 안티 트래킹, 프라이버시 관련 화제성을 끌어오고 싶어 하는 것으로 보인다. 동시에 점유율 하락세를 반전시킬 카드로도 활용한다는 구상이다. 파이어폭스와 사파리는 지난 6개월간 사용자 점유율이 하락해왔다. 이들 개발팀은 프라이버시를 1위 브라우저인 구글 크롬을 따라잡는 전략으로 보고 있다. 더 많은 사용자가 자신의 브라우저를 사용하도록 유혹할 수 있는 차별화된 경쟁력으로 생각하는 것이다.

실제로 브라우저가 사용자의 프라이버시를 얼마나 보호하는지는 렌더링 속도 같은 전통적인 브라우저 선택 기준보다 더 중요해지고 있다. 심지어 마이크로소프트는 자사의 엣지(Edge) 브라우저를 크로미움(Chromium) 오픈소스 프로젝트 기술을 기반으로 전면 재개발해 내놓기까지 했다. 이 개발은 사이트(광고주)의 부정적인 행위에 대해 사용자를 보호하는 것에 주안점을 뒀다. 상위 4개 브라우저 중  안티 트래킹에 대해 공개적으로 언급하지 않고 있는 것은 크롬뿐이다.

웹킷이 모질라의 이상에서 영감을 받았지만, 단순히 이를 따라하고 반복하는 것은 아니다. 오히려 더 공격적으로 이 기술을 활용하고 있다.

웹킷팀은 "안티 트래킹을 보안 취약점을 확산만큼 심각한 이슈로 보고 있다. 그만큼 새로운 기술을 더 빨리 제공한다. 만약 특정 집단이 우리의 추적 방지 기능을 우회하려 하면 공지 없이 대응할 수도 있다. 이러한 대응에는 우회가 확인된 집단 또는 우회하려 노력 중인 집단 등을 가리지 않고 예외 없이 적용된다. 다시 말하면 웹킷은 상습적으로 이 기술을 우회하려 하는 집단에 즉각적인 대응 조치에 나설 예정이다. 부적절한 행위에 의존하는 모든 이를 찾아내거나, 추적 방지를 우회하려 하는 집단을 특정하는 방식을 통해서다"고 설명했다.

독립적인 보안 및 프라이버시 연구자이자 컨설턴트인 루커스 올리즈닉은 이를 매우 긍정적으로 평가했다. 그는 트위터를 통해 "(웹킷팀처럼) 안티 트래킹 우회와 보안 취약점을 같은 위협으로 보는 것은 다른 개발 사례에서 찾아볼 수 없다. 프라이버시를 보안과 같은 최우선 문제로 공개적으로 다루는 것은 마이크로소프트나 구글은 물론 다른 브라우저 개발 업체와 완전히 차별화된다"라고 말했다.

한편 웹킷이 공개한 정책 문서에는 새로운 추적 방지 기능을 추가하는 일정 관련 내용이 빠져 있다. 언제쯤 사파리에 이 기능을 추가할지에 대해서도 언급이 돼 있지 않다. ciokr@idg.co.kr


X