2015.01.09

"프라이빗 모드에서도 방문자 추적 가능한 '수퍼 쿠키' 있다"

Ian Paul | PCWorld
프라이빗 모드를 활용하면 저 집요한 광고 기업들의 추적으로부터 안전할 것이라고 생각하는가? 애석하게도 그렇지 못할 수 있다.

수많은 웹 사이트들이 즐겨하는 행동이 있다. 방문한 네티즌을 추적하는 것이다. 사실 수많은 웹 사이트들이 무료로 서비스될 수 있는 이유 중 하나이기도 하다.

이로 인해 많은 네티즌들이 추적을 피하기 위해 브라우저의 프라이빗 모드, 또는 익명(incognito) 모드를 애용하고 있다. 때로는 포르노 모드라고도 불리는 기능이다. 그러나 영국의 보안 기업 래디컬리서치(RadicalResearch) 샘 그린할프는 'HSTS Super Cookies'라고 불리는 개념 증명을 통해 이들 모드에서도 추적이 가능하다고 밝혔다.

설명에 따르면 핵심은 HSTS(HTTP Strict Transport Security)를 활용하는 것이다. HSTS는 웹 사이트가 브라우저에게 암호화된 연결을 통해 연결하도록 통보할 수 있게 한 현대적 웹 기능이다.

예를 들어 존이라는 네티즌이 HSTS를 활성화한 상태로 브라우저에 'SecureSite.com'이라고 입력한다. 시큐리티사이트닷컴의 사이트는 존의 브라우저에 HTTPS를 통해서만 연결하도록 브라우저에게 응답한다. 이 시점부터 시큐어사이트와의 모든 연결은 HTTPS를 기본으로 이용하게 된다.

그린할프에 따르면 문제는 HSTS가 동작하기 위해서는 어떤 사이트가 HTTPS로 연결하도록 요구하는지 저장해야 한다는 점이다. 그리고 이 저장된 데이터가 브라우저를 인식하도록 오용될 수 있는 것이다. 즉 사용자의 브라우저가 인식된 이후에는 익명 모드일지라도 사용자가 추적될 수 있다고 그는 설명했다.

그러나 이 헛점을 이용한 사이트들이 실재하는지 여부는 불확실하다. 또 브라우저마다 방법이 다르긴 하지만 추적을 차단할 방법들이 있다. 크롬에서는 익명 모드에 진입하기 전에 쿠키를 삭제하면 된다. 크롬의 경우 쿠키를 지울 때마다 HSTS 데이터베이스를 청소하기 때문이다. 파이어폭스는 최신 버전의 경우 이 문제를 해결한 것으로 전해졌다.

하지만 설명에 따르면 사파리는 아직 명확한 방법이 없는 상태다. 또 HSTS 플래그들이 아이클라우드와 동기화되기에 HSTS 수퍼 쿠키 추적이 좀더 지속적일 수 있다고 그린할프는 전했다.

인터넷 익스플로러 사용자에게 좋은 소식은 이러한 유형의 추적이 불가능하다는 것이다. 단 나쁜 소식도 있는데, 그 이유가 IE가 HSTS를 전혀 지원하지 않기 때문이라는 사실이다. ciokr@idg.co.kr 



2015.01.09

"프라이빗 모드에서도 방문자 추적 가능한 '수퍼 쿠키' 있다"

Ian Paul | PCWorld
프라이빗 모드를 활용하면 저 집요한 광고 기업들의 추적으로부터 안전할 것이라고 생각하는가? 애석하게도 그렇지 못할 수 있다.

수많은 웹 사이트들이 즐겨하는 행동이 있다. 방문한 네티즌을 추적하는 것이다. 사실 수많은 웹 사이트들이 무료로 서비스될 수 있는 이유 중 하나이기도 하다.

이로 인해 많은 네티즌들이 추적을 피하기 위해 브라우저의 프라이빗 모드, 또는 익명(incognito) 모드를 애용하고 있다. 때로는 포르노 모드라고도 불리는 기능이다. 그러나 영국의 보안 기업 래디컬리서치(RadicalResearch) 샘 그린할프는 'HSTS Super Cookies'라고 불리는 개념 증명을 통해 이들 모드에서도 추적이 가능하다고 밝혔다.

설명에 따르면 핵심은 HSTS(HTTP Strict Transport Security)를 활용하는 것이다. HSTS는 웹 사이트가 브라우저에게 암호화된 연결을 통해 연결하도록 통보할 수 있게 한 현대적 웹 기능이다.

예를 들어 존이라는 네티즌이 HSTS를 활성화한 상태로 브라우저에 'SecureSite.com'이라고 입력한다. 시큐리티사이트닷컴의 사이트는 존의 브라우저에 HTTPS를 통해서만 연결하도록 브라우저에게 응답한다. 이 시점부터 시큐어사이트와의 모든 연결은 HTTPS를 기본으로 이용하게 된다.

그린할프에 따르면 문제는 HSTS가 동작하기 위해서는 어떤 사이트가 HTTPS로 연결하도록 요구하는지 저장해야 한다는 점이다. 그리고 이 저장된 데이터가 브라우저를 인식하도록 오용될 수 있는 것이다. 즉 사용자의 브라우저가 인식된 이후에는 익명 모드일지라도 사용자가 추적될 수 있다고 그는 설명했다.

그러나 이 헛점을 이용한 사이트들이 실재하는지 여부는 불확실하다. 또 브라우저마다 방법이 다르긴 하지만 추적을 차단할 방법들이 있다. 크롬에서는 익명 모드에 진입하기 전에 쿠키를 삭제하면 된다. 크롬의 경우 쿠키를 지울 때마다 HSTS 데이터베이스를 청소하기 때문이다. 파이어폭스는 최신 버전의 경우 이 문제를 해결한 것으로 전해졌다.

하지만 설명에 따르면 사파리는 아직 명확한 방법이 없는 상태다. 또 HSTS 플래그들이 아이클라우드와 동기화되기에 HSTS 수퍼 쿠키 추적이 좀더 지속적일 수 있다고 그린할프는 전했다.

인터넷 익스플로러 사용자에게 좋은 소식은 이러한 유형의 추적이 불가능하다는 것이다. 단 나쁜 소식도 있는데, 그 이유가 IE가 HSTS를 전혀 지원하지 않기 때문이라는 사실이다. ciokr@idg.co.kr 

X