모질라 연구팀이 브라우저 검색 기록만을 이용해 높은 정밀도로 개인을 특정할 수 있다는 연구 결과를 발표했다. 이 발표로 익명화된 검색 기록을 하면 온라인 광고주 등에 악용되지 않는다는 지금까지의 생각이 바뀔 가능성이 있다.
모질라 연구팀은 유닉스 관련 연구 개발 단체 USENIX가 2020년 9월 1일 개최한 보안 콘퍼런스에서 브라우저 검색 기록만으로 개인 식별이 가능하다는 연구 결과를 발표했다. 연구팀은 검색 기록의 개인 정보 보호 문제를 지적한 2012년 연구에서 한 걸음 더 나아가 파이어폭스 사용자 5만 2,000명을 모집해 참가자가 제공한 주간 인터넷 사용 기록과 다음 일주간 검색 기록을 비교해 얼마나 정확하게 사용자를 특정할 수 있는지 조사했다.
그 결과 연구팀은 4만 8,919개 사용자 프로필을 만드는데 성공했다. 이 프로필 중 99%는 고유한 것이다. 다시말해 같은 게 없기 때문에 개인을 식별할 수 있는 프로필인 것. 조사에서 연구팀은 원래 66만 개 도메인과 3,500만 개 웹사이트에 검색 기록을 모았지만 불과 50개 도메인에 대한 검색 기록만 사용해 데이터세트를 만들어도 50% 정확도로 개인을 식별할 수 있었다고 밝혔다. 또 도메인 수를 150개로 늘리면 식별율은 80% 이상에 달한다는 설명이다.
연구팀은 또 조회수 상위 1만 개 사이트 중 페이스북 방문 기록을 수집하는 사이트 수는 7,348개라고 밝혔다. 구글 모기업인 알파벳의 경우 9,823개 사이트에 이른다고 지적했다. 논문 마미에서 구글이나 페이스북 등 타사 기업은 방문한 모든 도메인을 파악한 이번 연구와 같은 정도의 식별율을 달성할 우려가 있다고 결론을 내리고 있다.
전문가들은 모질라의 조사 결과는 분석 기업과 온라인 광고주가 사용자를 추적하려면 방대한 인터넷 사용 정보가 필요하다는 걸 시사한다면서 데이터를 익명화한 사용자 이름을 삭제하거나 도메인 이외에 URL 주소를 없애도 사용자 습관과 즐겨 찾는 사이트를 알 수 있다고 지적했다. 또 브라우저 보안 기능을 활용해 타사 기업 추적 능력을 없애는 걸 권장하면서 쿠키 비활성화나 제한, 파이어폭스 컨테이너 기능, 개인 설정을 바꾸거나 정기적인 데이터 삭제, 개인정보보호 강화를 위한 확장 기능 도입 등 방법을 제안한다. 하지만 이런 방법으로도 문제를 완전히 배제할 수 없을지도 모른다며 완벽한 개인정보보호는 더 이상 어려울지 모른다는 견해를 보였다. 관련 내용은 이곳에서 확인할 수 있다.