슈퍼쿠키

사생활 보호 모드를 무력화하는 ‘슈퍼쿠키’를 만들 수 있다는 주장이 나왔다.

<아스테크니카>는 웹브라우저가 새상활 보호 상태여도 누리꾼을 추적하는 슈퍼쿠키를 만들 수 있다고 1월7일(현지시각) 보도했다. 소프트웨어 컨설팅 회사 래디컬리서치를 운영하는 샘 그린할이 블로그에 올린 글을 인용했다.

▲구글 크롬 웹브라우저 사생활 보호 모드인 ‘시크릿 모드’

사생활 보호 모드는 인터넷을 쓸 때 사생활을 엄격하게 보호받고 싶은 누리꾼을 위해 나온 기능이다. 쿠키와 접속 내역, 임시 파일을 만들거나 저장하지 않아 누리꾼이 인터넷에서 어떤 일을 했는지 기록을 남기지 않는다. 사생활 보호가 심각한 문제로 대두된 뒤로 거의 모든 웹브라우저가 사생활 보호 모드를 지원한다.

쿠키는 사생활 보호 모드를 사용하지 않는 누리꾼의 웹사이트 접속 기록을 긁어모은다. ㄱ이라는 웹사이트가 접속한 누리꾼 컴퓨터 안에 쿠키 파일을 만들어 두면 나중에 그가 ㄱ에 다시 접속했을 때 그동안 어디를 돌아다녔는지 알 수 있다. 쿠키에 접속 기록을 모았다가 확인하기 때문이다. 페이스북이 내가 관심 있을 만한 광고를 자꾸 띄우는 원리도 쿠키 덕분이다.

샘 그린할은 사생활 보호 모드에서도 작동하며 사용자를 추적하는 쿠키를 만들 수 있다고 설명했다. 그가 사용한 기술은 역설적이게도 인터넷에 접속할 때 보안 회선을 썼는지 확인하는HSTS(HTTP Strict Transport Security) 기술이었다.

HSTS 기술을 쓰는 웹사이트는 사용자가 서버와 암호화한 통로(HTTPS)로만 데이터를 주고 받는지 확인한다. 웹사이트 앞부분(헤더)에 HSTS를 쓰겠다고 선언하면, 그 뒤로 웹사이트에 접속한 연결이 모두 HTTPS 암호화 프로토콜을 이용하는지 확인하는 식이다. 모든 연결이 암호화돼 있는지 검사해 ‘다운그레이드 공격’을 예방한다. 다운그레이드 공격이란 해커가 암호화한 HTTPS 통신 내용을 일반 HTTP로 해독해 데이터를 훔쳐보는 것이다.

▲HSTS 기술을 응용해 사생활 보호 모드에서도 누리꾼을 추적하는 ‘슈퍼쿠키’를 만들 수 있다고 보여주는 래디컬리서치 블로그 글

샘 그린할은 보안용으로 만든 HSTS를 사생활 보호 기능을 쓰는 누리꾼을 추적하는 데 악용할 수 있다고 지적했다. 그는 래디컬리서치 블로그에 ‘HSTS 슈퍼쿠키’가 어떻게 작동하는지 보여주는 글을 올렸다.

웹사이트가 HSTS를 쓴다고 선언하면 보안 연결이 꺼졌는지 켜졌는지 확인하는 이진수(바이너리) 값 하나를 할당받는다. 샘 그린할은 HSTS를 선언한 웹사이트 32개를 엮어 그 웹사이트의 보안 연결 여부를 32자리 이진수 값으로 저장했다. 샘 그린할은 이 숫자가 어디서든 누리꾼을 추적하는 꼬리표로 쓸 수 있다고 꼬집었다. 일명 슈퍼쿠키를 만들 수 있다는 얘기다.

슈퍼쿠키가 ‘슈퍼’라 불리는 이유는 크게 2가지다. 한 번 누리꾼 컴퓨터 안에 슈퍼쿠키를 만들어두면 그 누리꾼이 사생활 보호 모드로 인터넷에 접속하더라도 그를 추적할 수 있다. 또 슈퍼쿠키는 일반 쿠키와 달리 쿠키를 만들지 않은 웹사이트에서도 읽을 수 있다. 그 웹사이트도 HSTS를 설정하기만 하면 된다. <아스테크니카>는 “슈퍼쿠키가 사생활 보호 모드에서도 누리꾼을 추적하고 다수 웹사이트가 그의 접속 내역을 들여다보게 할 수 있다”라고 지적했다.

다행히 슈퍼쿠키를 막을 길은 있다. iOS 사파리를 뺀 모든 웹브라우저는 HSTS 설정을 삭제할 수 있다. 샘 그린할은 iOS 사파리에서 HSTS 설정을 삭제할 길을 못 찾았다고 밝혔다. 사생활 보호 모드로 인터넷을 사용하기 전에 모든 쿠키를 지우면 슈퍼쿠키가 사적인 접속 내역을 몰래 들려다보지 못하게 할 수 있다. 만약 늘 사생활 보호 모드로 인터넷을 이용하면 애초에 슈퍼쿠키가 생기지도 않는다. 인터넷 익스플로러는 HSTS 설정을 지원하지 않아 슈퍼쿠키에서 안전하다.

슈퍼쿠키는 새로 나온 기능이 의도치 않게 악용될 수 있음을 보여준다. HSTS는 보안을 강화하려는 기술이었지만 거꾸로 해커가 공격할 허점이 될 수도 있다. 샘 그린할은 “HSTS가 누리꾼을 추적하는 기술로 쓰일 수 있을지 몰랐다”라며 “개발자 커뮤니티에 HSTS의 가치를 보존하면서 이 문제를 해결할 방안을 찾자고 손을 내밀었다”라고 말했다. 파이어폭스는 34.0버전에서 HSTS 설정 값이 사생활 보호 모드에서도 보존되지 않도록 손봤다. 구글 크롬 보안팀도 슈퍼쿠키 문제를 인식하고 곧 패치를 내놓을 예정이다.