정용환 기자
웹사이트를 탐색하는 사용자 IP 주소와 운영체제 유형, 브라우저 유형 같은 고유 정보를 지문이라고 하며 웹사이트 관리자는 지문을 수집해 개인을 식별할 수 있다. 지문 중에서도 사용자 브라우저에 음성 파일을 생성시켜 작은 차이에서 개인을 식별하는 오디오 핑거프린팅(audio fingerprinting)이라는 지문 수집 서비스를 제공하기도 한다.
오디오 핑거프린팅은 브라우저에 오디오를 생성하는 처리를 실행시켜 생성된 오디오 파일에서 작은 차이를 바탕으로 개인을 식별하는 기술. 오디오 생성 처리는 브라우저 종류나 버전, 운영체제 종류, CPU 종류 등 차이에 의해 미묘하게 다르며 생성된 파일에도 작은 차이가 생기기 때문에 생성된 파일 해시값 등을 계산해 개인 식별자를 생성할 수 있다.
오디오 핑거프린팅에선 브라우저나 운영체제 종류 등이 같으면 같은 식별자가 생성된다. 따라서 오디오 핑거프린팅만으로 개인을 정확하게 식별할 수는 없다. 따라서 웹사이트 관리자는 오디오 핑거프린팅에 시간대, 언어 설정, 브라우저에 설치된 확장 기능 수 같은 정보를 수집해 여러 정보를 결합해 개인을 식별한다.
지문은 개인을 식별하고 싶은 웹사이트 관리자에게 편리한 구조지만 사용자 입장에선 프라이버시 면에서 바람직하지 않은 구조라고도 할 수 있다. 이 때문에 많은 브라우저는 지문 수집으로부터 사용자를 보호하는 메커니즘을 통합하고 있다. 예를 들어 애플은 2023년 6월 사파리에 처리에 무작위성을 더해 오디오 핑거프린팅으로 인해 생성되는 식별자를 무작위로 변동시키는 구조를 추가하고 있다.
하지만 현재 최신 버전인 사파리 17에서 사파리 보호 기능을 회피하고 오디오 핑거프린팅을 수집하는 방법도 보고되고 있다. 핑거프린트에 따르면 대량 오디오를 생성해 노이즈 평균을 구하고 브라우저에 의해 생성 결과 차이가 현저한 오디오를 이용하는 방법으로 사파리 17 오디오 핑거프린팅 보호 기술을 회피할 수 있다고 한다. 또 보호 기술 회피용 알고리즘에서도 수밀리에서 수십 밀리초면 처리를 끝낼 수 있다고 주장한다.
이석원 기자
이원영 기자
