사용자 웹브라우저간에 영상이나 오디오 통화를 할 때 타임러그를 경감하기 위해 사용되는 WebRTC 기능에 의해 사용자 로컬 IP 주소가 악의가 있는 사이트에 취득될 위험이 있다는 게 예전부터 보고됐다. 여기에 새롭게 IP 주소 유출을 체험할 수 있는 테스트 사이트가 공개됐다.
지난 2015년 보안 연구원 다니엘 뢰슬러(Daniel Roesler)는 웹사이트가 STUN 서버에 요청하고 STUN 서버가 클라이언트 IP 주소와 포트를 포함한 핑을 다시 보낼 수 있는 모습을 시연했다. 이는 사용자 로컬이나 공용 IP 주소가 자바스크립트에 의해 이런 요청에서 검색될 수 있다는 걸 보여줬다.
이 문제는 주로 윈도에서 구글 크롬이나 모질라 파이어폭스를 이용하는 사용자에게 영향을 미친다. 뢰슬러는 광고주가 STUN 서버에 와일드카드 도메인을 설정하면 이런 종류 요청을 온라인 추적에 사용할 수 있게 되어 추가 문제 혼란으로 이어져 광고주가 사용자를 식별하는 게 더 쉬워진다고 경고했다. 또 크롬 등에선 나중에 mDNS를 이용해 로컬 IP 주소를 UUID.local 형식으로 변환해 취득되지 않도록 하는 방법이 확립되어 있다.
하지만 아직도 이 문제가 존재하기 때문에 한 깃허브 사용자(Dariusz Niespodziany)가 WebRTC 참고 파라미터에서 로컬 IP 주소를 표시하는 데모 페이지를 만들어 공개하고 있다. 이 스크립트는 미리 생성된 조회 테이블을 이용해 xx-xxx-xxx-xx.local로 표시되는 로컬 mDNS 호스트명을 렌더링하는 ICE Candidate 로컬 IP 주소를 찾을 수 있다. 클릭하면 테스트를 실행해 로컬 IP 주소를 확인할 수 있는 것. 관련 내용은 이곳에서 확인할 수 있다.