AI 요약
Fingerprint 연구팀은 파이어폭스 기반 브라우저에서 사용자의 익명 활동을 연결할 수 있는 심각한 개인정보 보호 취약점을 발견했습니다. 이 취약점은 IndexedDB API가 내부 데이터베이스 항목을 반환할 때의 특정 순서가 브라우저 프로세스 전체에서 고유하고 안정적인 식별자로 작용할 수 있다는 점을 악용합니다. 특히 강력한 익명성을 자랑하는 토르 브라우저(Tor Browser)에서도 쿠키와 히스토리를 삭제하는 'New Identity' 기능을 실행해도 해당 식별자가 유지되는 치명적인 문제가 확인되었습니다. 이는 서로 다른 웹사이트가 동일한 브라우저 프로세스 내에서 사용자의 활동을 추적하고 연결할 수 있게 하여, 사용자가 기대하는 '비연결성(Unlinkability)'을 무력화합니다. 모질라(Mozilla)와 토르 프로젝트는 해당 이슈를 공유받아 신속하게 대응하였으며, 저장소 순서가 노출되지 않도록 결과값을 정렬하는 방식의 패치를 적용했습니다.
핵심 인사이트
- 프로세스 범위 식별자: IndexedDB의 데이터 반환 순서를 통해 브라우저 프로세스 수명 동안 유지되는 고유하고 결정론적인 식별자를 생성할 수 있음.
- 토르 브라우저 무력화: 토르의 핵심 기능인 'New Identity'를 실행해도 식별자가 유지되어 사용자의 이전 활동과 이후 활동을 연결할 수 있는 결함이 발견됨.
- 신속한 보안 패치: 모질라는 이를 Bug 2024220으로 추적하여 Firefox 150 및 ESR 140.10.0 버전에서 즉시 수정을 완료함.
- 사생활 보호 모드 한계: 파이어폭스의 '사생활 보호 모드'에서도 브라우저 프로세스가 종료되지 않는 한 식별자가 지속적으로 추적될 수 있었음.
주요 디테일
- 기술적 원인: Gecko 엔진의 IndexedDB 구현 시 내부 저장소 순서가 노출되는 설계 결함으로 인해 엔트로피가 발생하여 식별이 가능해짐.
- 추적 방식: 공격자는 쿠키, localStorage 또는 명시적인 ID 메커니즘 없이도 여러 개의 IndexedDB를 생성하고 반환 순서를 검사하는 것만으로 지문(Fingerprint)을 채취할 수 있음.
- 해결 방법: 브라우저가 사용자에게 결과를 반환하기 전, 데이터 순서를 표준화(Canonicalizing)하거나 정렬(Sorting)함으로써 내부 상태 노출을 차단함.
- 영향 범위: 파이어폭스뿐만 아니라 Gecko 엔진을 사용하는 모든 파이어폭스 기반 브라우저에 공통적으로 적용되는 취약점이었음.
- 사용자 기대치 위반: 별개의 웹사이트가 동일한 브라우저 인스턴스임을 알 수 없어야 한다는 프라이버시 브라우저의 기본 원칙을 훼손함.
향후 전망
- 브라우저 제조사들은 데이터 격리뿐만 아니라 API 응답 순서나 시간차 등 부채널(Side-channel)을 통한 정보 유출 방지에 보안 역량을 더욱 집중할 것으로 보임.
- 지문 채취 기술이 정교해짐에 따라, 향후 웹 표준 API 설계 단계부터 개인정보 보호를 위한 데이터 반환 방식의 엄격한 가이드라인이 적용될 가능성이 높음.