• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

파이어폭스 72, 추적 위한 민감한 정보 수집 행위 근절한다 2020.01.09

핑거프린팅을 위한 스크립트, 파이어폭스 72부터는 디폴트로 작동 금지돼
디스코텍트와 연계한 서비스...앞으로도 트래킹 하는 것으로 알려진 도메인 차단할 것

[보안뉴스 문가용 기자] 모질라(Mozilla)가 파이어폭스 72를 공식 발표했다. 이제부터 파이어폭스에서는 핑거프린팅 스크립트가 자동으로 차단된다. 모질라는 작년에도 고급 추척 보호(Enhanced Tracking Protection, ETP) 기능을 발표하는 등 사용자 프라이버시 보호에 꾸준한 노력을 기울여왔다.

[이미지 = iclickart]


뿐만 아니라 모질라는 올해부터 시행되기 시작한 ‘캘리포니아 소비자 보호법(CCPA)’을 준수하기 위해 텔레메트리 데이터를 사용자들이 지울 수 있도록 하는 옵션도 마련했다. 이러한 발 빠른 행보 덕분에 파이어폭스는 시장 내에서 ‘프라이버시 보호에 특화된 브라우저’라는 이미지를 굳혀가고 있다. 실제 많은 전문가들이 보안이라는 측면만을 생각한다면 파이어폭스를 사용하는 게 가장 적절하다고 말하고 있기도 하다.

모질라가 이번에 차단한 ‘핑거프린팅 스크립트’란, 사용자의 브라우저나 장비를 식별하게 해주는 고유의 메타데이터나 데이터를 수집하도록 설계된 스크립트를 말한다. 화면 크기, 브라우저 종류와 버전, OS의 종류와 버전, 설치된 폰트 등 여러 가지 정보들이 조합되어 ‘핑거프린팅’이 이뤄진다. 핑거프린트 정보는 사용자 추적에 주로 사용된다.

브라우저 제조사들이나 표준을 지정하는 기업들 모두 이런 핑거프린팅 기술이 해악하다는 데 동의한다. 그러나 지난 10년 동안 기업들이 표적 광고 등을 통한 이윤 올리기 경쟁을 하면서 핑거프린팅은 더 집요하게 변했다. 모질라는 “이런 상황 가운데 사용자들을 보호하려면 핑거프린팅에 참여하는 자들을 전부 차단하고, 관련 API들을 삭제해야 한다”고 설명한다.

“파이어폭스 72는 핑거프린팅에 참여하는 서드파티로부터 오는 요청들을 자동으로 차단합니다. 특히 핑거프린팅을 하는 것으로 알려진 기업들의 요청은 꼼꼼하게 걸러내도록 만들어졌습니다.” 모질라 측의 설명이다. 따라서 파이어폭스를 디폴트 옵션 그대로 사용하는 사람들에 한해서는, 기업들이 자바스크립트를 통해 장비 정보를 수집하거나 네트워크 요청을 통해 IP 주소와 같은 정보를 받아내는 것이 불가능하게 된다.

모질라는 디스코넥트(Disconnect)라는 서비스와 파트너십을 맺고 이와 같은 기능을 만들어 파이어폭스에 접목시켰다. 디스코넥트는 사이트 교차 추적을 실시하는 기업과 핑거프린팅을 하는 자들을 목록화 하는 서비스다. 여기에다가 새롭게 핑거프린팅을 실시하기 시작한 도메인들도 파악해 추가하는 기능도 모질라는 첨가했다. 새롭게 추가되는 도메인은 디스코넥트 측에서 꼼꼼하게 분석한다.

핑거프린팅 스크립트를 차단하기 위한 첫 번째 단계로서 모질라는 ‘스크립트 차단’과 ‘API 층위의 보호’라는 두 가지 방법을 활용할 예정이다. “저희는 지속적으로 웹에서의 핑거프린팅 행위를 모니터링할 것이며, 디스코넥트와의 긴밀한 협조를 통해 차단해야 할 도메인들의 목록도 늘려갈 것입니다. 앞으로 프라이버시 보호 기능은 더 강력해지고 다채로워질 것으로, 추가 소식이 나올 때마다 고객들과 소통하겠습니다.”

그 외에도 파이어폭스 72에는 이전 버전에서 발견된 취약점 11개에 대한 패치도 포함되어 있다. 이 중 5개는 고위험군, 5개는 중간급, 1개는 저위험군으로 분류됐다. 고위험군 취약점은 1) 메모리 변형, 2) CSS 확인 절차 우회, 3) 타입 혼동, 4) 메모리 안전 장치 버그를 포함하고 있었다.

중간급 위험도 취약점은 프라이빗 브라우징 모드에서의 키보드 관련 기능에서 나온 취약점, 다운로드 된 파이선 파일을 열 때 실행을 유도할 수 있게 해주는 취약점, 콘텐츠 보안 정책 미적용 취약점, 힙 주소 노출 취약점, CSS 확인 취약점을 포함한다. 저위험도 취약점은 TLS 상태 기계(TLS State Machine)과 관련된 것이다.

3줄 요약
1. 파이어폭스, 새로운 프라이버시 보호 기능 탑재한 버전 나옴.
2. 핑거프린팅이 디폴트로 차단되도록 만들어졌음. 추적 어려워짐.
3. 또한 이번 버전을 통해 11개 취약점도 패치됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>