디바이스 핑거프린팅: 여러분은 얼마나 노출되어 있나요?
디바이스 핑거프린팅(Device Fingerprinting)은 합법적인 활동과 불법적인 활동에 모두 사용될 수 있는 강력한 기술입니다. 해당 기본 메커니즘을 이해하는 것은 필수적입니다.
디바이스 핑거프린팅이란 무엇인가요?
컴퓨터 공학에서 핑거프린팅은 모든 종류의 디지털 데이터에 대한 고유한 식별자를 만드는 과정을 일컫습니다. 그러나 특정 기술이 개별 사용자나 기계에 사용되었을 때, 우리는 이를 브라우저 또는 디바이스 핑거프린팅이라 합니다.
기본적으로 해당 과정은 스마트폰, 컴퓨터, 또는 기타 장치에 대한 정보를 수집하는 것으로 이뤄집니다. 경우에 따라 사용자의 IP 주소가 숨겨져 있거나 브라우저를 변경해도 작업을 수행할 수 있습니다.
웹 분석 서비스는 수년간 합법적인 웹 트래픽을 측정하고 잠재적 부정 행위를 탐지하기 위해 장치와 브라우저의 정보를 수집해왔습니다. 오늘날에는 보다 발전된 접근 방식을 통해 특정 매개변수를 수집할 수 있게 되었습니다.
이전의 핑거프린팅은 주로 컴퓨터에 초점을 맞췄습니다. 그러나 현대 기술은 거의 모든 종류의 기기를 식별할 수 있으며, 성장하는 모바일 환경에 대한 관심이 높아지고 있습니다.
어떻게 작동하나요?
구체적으로 디바이스 핑거프린팅은 데이터 세트를 수집하며, 이는 해시 함수를 통해 결합되고 제출되는 과정을 포함합니다. 이후, 결괏값(해시값)은 각 기기(또는 사용자)의 고유 ID 역할을 할 수 있습니다.
수집된 정보는 기기 자체가 아닌 데이터베이스에 저장되는 경우가 많습니다. 단일 데이터 지점이 다소 일반적인 반면, 다수의 데이터 세트 조합은 고유할 수 있습니다.
디바이스 핑거프린팅에는 수동적이거나 능동적인 방법이 존재할 수 있습니다. 두 방법의 목표는 모두 기기의 정보를 수집하는 것입니다. 따라서 수천 대의 컴퓨터가 동일한 운영 체제를 실행하고 있다고 해도, 각 컴퓨터는 소프트웨어, 하드웨어, 브라우저, 플러그인, 언어, 표준 시간대, 일반 설정의 고유한 조합을 나타낼 가능성이 높습니다.
수동적 핑거프린팅
이름에서 알 수 있듯 수동적 방법은 사용자(또는 원격 시스템)에 대한 요청 없이 보다 분명하지 않은 방식으로 정보를 수집합니다. 데이터는 각 기기에서 전송되는 기반으로 수집되며, 수동적 핑거프린팅은 덜 구체적인 정보(예를 들면 운영 체제)를 제공하곤 합니다.
예를 들어 누군가 인터넷 모뎀과 같은 네트워킹 기기의 무선 드라이버에 대한 정보를 수집하는 수동적 핑거프린팅을 개발할 수 있습니다. 이때 기기에 어떠한 요청도 하지 않고 다양한 종류의 드라이버에 수동적 상호작용이 발생할 수 있습니다. 간단히 말하자면 각기 다른 장치들은 가능한 접점(액세스 포인트)을 스캔하기 위해 각기 다른 방법들을 채택합니다. 따라서 공격자는 어떤 드라이버가 목표 기기에서 사용되는지 정확하게 식별하는데 이러한 차이점을 이용할 수 있습니다.
능동적 핑거프린팅
반면 능동적 핑거프린팅은 활성 네트워크 통신에 기반하며, 클라이언트 측이 이를 탐지할 가능성이 커집니다. 일부 웹사이트는 자바스크립트 코드를 실행해 사용자 기기와 브라우저의 정보를 수집합니다. 여기에는 창 크기, 폰트, 플러그인, 언어 설정, 표준 시간대 및 하드웨어 세부 정보가 포함될 수 있습니다.
주목할 만한 기술로는 컴퓨터와 모바일 기기에 모두 사용되는 캔버스 핑거프린팅이 있습니다. 이는 HTML5 웹 페이지의 캔버스(그래픽 요소)와 상호 작용하는 스크립트에 기반합니다. 해당 스크립트는 화면에 숨겨진 이미지를 그린 다음 화면 해상도, 글꼴, 배경색 등 이미지에 표시된 정보를 기록하게 합니다.
어디에 사용되나요?
디바이스 핑거프린팅 기법은 광고주가 소비자의 행동을 여러 브라우저에서 추적할 수 있는 방법을 제공합니다. 또한 은행들이 특정 요청이 신뢰할 수 있는 장치에서 오는 것인지 또는 부정 행위와 관련된 시스템에서 오는지를 확인할 수 있게 합니다.
그 외에도 디바이스 핑거프린팅은 웹사이트 복수 계정 등록 방지와 검색 엔진이 의심스러운 행동을 보이는 장치들을 제지하는 데 도움이 됩니다.
디바이스 핑거프린팅은 신원 도용이나 신용카드 사기를 감지하고 예방하려 할 때 유용할 수 있습니다. 그러나 해당 기술은 사용자의 프라이버시를 위협하며 특별히 수동적 핑거프린팅의 경우 구현 방식에 따라 데이터 수집을 탐지할 수 없을 수 있습니다.
한계는 무엇인가요?
능동적 핑거프린팅의 경우 데이터 수집을 위해 자바스크립트와 같은 스크립팅 언어를 사용할 수 있어야 합니다. 개인 정보 보호 소프트웨어 또는 플러그인을 실행하는 모바일 기기와 사용자는 스크립트 사용을 제한할 수 있어, 식별이 어려워질 가능성이 높습니다. 여기에는 추적기와 광고를 차단하는 브라우저 확장 기능도 포함됩니다.
그러나 어떤 상황에서는 프라이버시를 중시하는 사용자들도 쉽게 식별할 수 있습니다. 예를 들어, 그들이 특정한 설정과 함께 인기가 없는 소프트웨어나 플러그인을 사용할 경우, 이는 아이러니하게도 그들을 더욱 돋보이게 합니다.
또한 핑거프린팅의 효율성은 클라이언트 측의 큰 변화에 의해 제한될 수 있습니다. 설정을 지속적으로 변경하거나 다수의 가상 운영 체제를 사용하는 사용자가 있다면 데이터 수집 과정이 정확하지 않을 수 있습니다.
서로 다른 브라우저를 사용하게 되면 정보 수집 과정이 일관적이지 않을 수 있지만, 이러한 한계를 방지하기 위해 최신 크로스-브라우저 핑거프린팅 기술을 사용할 수 있습니다.
마치며
디바이스 핑거프린팅을 구현하고 사용하는 여러 방법이 있습니다. 따라서 데이터 수집과 단일 소스 식별 효율성은 각 방법에 따라 크게 다를 수 있습니다.
디바이스 핑거프린팅은 다른 방법과 결합되거나 그 자체로 행동을 추적하고 사용자를 식별하는 효과적인 도구가 될 수 있습니다. 이처럼 강력한 기술은 합법적이거나 불법적인 활동에 모두 사용될 수 있으며, 따라서 기본 메커니즘 알아두는 것은 분명 유용할 것입니다.