사이버 보안

새로운 공격 ‘클론’ 및 브라우저 지문 인식으로 고유한 온라인 ID 악용

Published October 20, 2021

Updated April 28, 2026

Martin Anderson

연구자들은 브라우저 지문 인식 기술을 사용하여 피해자의 웹 브라우저 특성을 복사하는 방법을 개발했으며, 그 후에 피해자를 가장할 수 있습니다.

이 기술은 여러 보안 영향을 미칩니다. 공격자는 피해자에게 귀속되는 기록과 함께 유해하거나 불법적인 온라인 활동을 수행할 수 있으며, 두 요소 인증 방어를 손상시킬 수 있습니다. 왜냐하면 인증 사이트는 도난당한 브라우저 지문 프로필에 기반하여 사용자가 성공적으로 인식되었다고 믿기 때문입니다.

또한, 공격자의 ‘암흑 클론’은 사용자 프로필에 대한 광고를 변경하는 사이트를 방문할 수 있으므로 사용자는 실제 브라우징 활동과 관련이 없는 광고 콘텐츠를 받게 됩니다. 또한, 공격자는 다른 웹사이트가 가짜 브라우저 ID에 대한 응답 방식에 따라 피해자에 대해 많은 것을 추론할 수 있습니다.

논문은 고무 브라우저: 최신 지문 인식 기술을 대상으로 하는 타겟 브라우저 스푸핑이라는 제목으로, 텍사스 A&M 대학교와 플로리다 주 게인즈빌 대학교의 연구자들에 의해 작성되었습니다.

고무 브라우저 방법론 개요. 출처: https://arxiv.org/pdf/2110.10129.pdf

고무 브라우저

동일한 이름의 ‘고무 브라우저’는 피해자 브라우저의 클론 복사본으로, 2000년대 초에 보고된 ‘고무 핑거’ 공격에서 유래했으며, 젤라틴 복제본을 사용하여 지문 ID 시스템을 우회했습니다.

저자들은 다음과 같이 말합니다:

‘고무 브라우저의 주요 목표는 웹 서버가 합법적인 사용자가 서비스에 접근하고 있음을 믿도록 속여서 사용자에 대한 민감한 정보(예: 사용자의 관심사)를 학습하거나 브라우저 지문 인식에 의존하는 다양한 보안 체계(예: 인증 및 사기 탐지)를 우회할 수 있도록 하는 것입니다.’

그들은 계속해서 말합니다:

‘불행히도, 우리는 이러한 연관 알고리즘에 대한重大한 위협을 식별했습니다. 구체적으로, 공격자가 피해자의 브라우저 특성을 캡처하고 가짜로 만들 수 있으며, 따라서 웹사이트에 연결할 때 자신의 브라우저를 피해자의 브라우저로 나타낼 수 있습니다.’

저자들은 개발한 브라우저 지문 클론 기술이 사용자의 온라인 개인 정보와 보안에 대해 ‘파괴적이고 지속적인 영향’을 미칠 수 있다고 주장합니다.

FPStalker와 Panopticlick라는 두 가지 지문 인식 시스템에 대한 테스트에서, 저자들은 시스템이 거의 모든 경우에 캡처된 사용자 정보를 성공적으로 시뮬레이션할 수 있었으며, TCP/IP 스택 지문 인식, 하드웨어 센서, DNS 리졸버와 같은 여러 속성을 고려하지 않았음에도 불구하고如此했습니다.

저자들은 또한 피해자가 공격에 대해 완전히 무지할 것이라고 주장하며, 이는 공격을 회피하기 어렵게 만듭니다.

방법론

브라우저 지문 인식 프로필은 사용자의 웹 브라우저가 구성된 방식의 여러 요인에 의해 생성됩니다. 아이러니하게도, 개인 정보를 보호하기 위한 많은 방어 수단,包括 광고 차단 확장 프로그램을 설치하는 것은 실제로 브라우저 지문을 더 구체적이고 공격하기 쉽게 만들 수 있습니다.

브라우저 지문 인식은 쿠키 또는 세션 데이터에 의존하지 않으며, 사용자의 설정에 대한 대부분 회피할 수 없는 스냅샷을 제공합니다.

명백하게 악의적인 관행에서 벗어나면, 지문 인식은 일반적으로 사용자에게 타겟 광고를 표시하는 데 사용되며, 사기 탐지 및 사용자 인증을 위한 것입니다(즉, 브라우저에 확장 프로그램을 추가하거나核心 변경을 하면 사이트가 다시 인증을 요구하는 이유 중 하나입니다).
저자들이 제안하는 방법은 피해자가 브라우저 지문을 기록하는 웹사이트를 방문하는 것만 필요로 합니다. 최근 연구에 따르면, 이는 최상위 10만 개 웹사이트 중 10% 이상에서 흔한 관행이며, 이는 Google의 Federated Learning of Cohorts (FLOC)の一部이며, 일반적으로 광고 기술 플랫폼에서중심 기술입니다.

쿠키가 필요 없는 사용자의 브라우저에서 추출할 수 있는 일반적인 요소.

사용자 방문에서 추출할 수 있는 식별자는 언어 설정, 운영 체제, 브라우저 버전 및 확장 프로그램, 설치된 플러그인, 화면 해상도, 하드웨어, 색상 深度, 시간대, 타임스탬프, 설치된 글꼴, 캔버스 특성, 사용자 에이전트 문자열, HTTP 요청 헤더, IP 주소 및 디바이스 언어 설정 등입니다. 이러한 특성 중 많은 부분이 없으면 많은 웹 기능이 작동하지 않을 것입니다.

광고 네트워크 응답을 통해 정보 추출

저자들은 피해자의 브라우저 프로필을 가장하여 광고 데이터를 쉽게 노출할 수 있으며, 이를 유용하게 악용할 수 있다고 주장합니다:

‘[만약] 브라우저 지문 인식이 개인화된 광고를 위해 사용된다면, 웹 서버는 공격자의 브라우저에 동일하거나 유사한 광고를 제공할 것입니다. 웹 서버는 공격자의 브라우저를 피해자의 브라우저로 간주하기 때문입니다. 공격자는 개인화된 광고(예: 임신 제품, 의약품 및 브랜드 관련 광고)를 기반으로 피해자에 대한 다양한 민감한 정보(예: 성별, 연령대, 건강 상태, 관심사, 연봉 수준 등)를 추론할 수 있으며,甚至 피해자의 개인 행동 프로필을 구축할 수 있습니다. ‘

‘이러한 개인 및 민감한 정보의 누출은 사용자에게 두려운 개인 정보 보호 위협을 일으킬 수 있습니다.’

브라우저 지문이 시간이 지남에 따라 변경되므로, 사용자가 공격 사이트를 반복적으로 방문하면 클론 프로필을 최신 상태로 유지할 수 있지만, 저자들은一度의 클론 생성이 놀라울 정도로 긴 기간 동안 효과적인 공격을 가능하게 할 수 있다고 주장합니다.

사용자 인증 스푸핑

인증 시스템이 2요소 인증을 회피하는 것은 사이버 범죄자에게 유리합니다. 새로운 논문의 저자들은 많은 현재 인증(2FA) 프레임워크가 사용자를 계정과 연결하기 위해 ‘인식된’ 추론된 브라우저 프로필을 사용한다고 관찰합니다. 사이트의 인증 시스템이 사용자가 마지막 성공적인 로그인 시 사용된 디바이스에서 로그인 시도를 하는 것으로 만족한다면, 사용자 편의를 위해 2FA를 요구하지 않을 수 있습니다.

저자들은 오라클, InAuth 및 SecureAuth IdP가 모두 이러한 ‘체크 건너뛰기’ 형태의 일부를 수행한다고 주장합니다.

사기 탐지

さまざま한 보안 서비스는 브라우저 지문 인식을 사용자에게 사기 行為의 가능성을 결정하는 도구로 사용합니다. 연구자들은 Seon 및 IPQualityScore가 이러한 회사 중 두 개라고 주장합니다.

따라서, 제안된 방법론을 통해 사용자를 사기꾼으로 잘못 표시하거나, 실제 사기 시도를 위해 도난당한 프로필을 ‘수염’으로 사용하여 프로필에 대한 法的 분석을 공격자에서 피해자로 돌릴 수 있습니다.

3개의 공격 표면

논문은 Gummy Browser 시스템이 피해자에게 사용되는 세 가지 방법을 제안합니다: Acquire-Once-Spoof-Once는 일회성 공격을 지원하기 위해 피해자의 브라우저 ID를 취득하는 것을 포함합니다. 이 경우, ID의 ‘나이’는 관련이 없으며, 정보가 빠르게 처리되고 후속 조치가 없기 때문입니다.

두 번째 접근 방식인 Acquire-Once-Spoof-Frequently에서, 공격자는 웹 서버가 프로필에 대한 반응을 관찰하여 피해자의 프로필을 개발하려고 합니다(즉, 특정 유형의 콘텐츠를 제공하는 광고 서버가 사용자에게 이미 연결된 브라우저 프로필을 가정하여 사용자에게 특정 유형의 콘텐츠를 제공합니다).

마지막으로, Acquire-Frequently-Spoof-Frequently는 공격자가 피해자의 브라우저 프로필을 정기적으로 업데이트하여 사기 탐지 스푸핑을 더 긴 기간 동안 수행하도록 설계된 것입니다. 이를 위해 공격자는 피해자가 무해한 정보 유출 사이트(예: 뉴스 사이트 또는 블로그)를 반복적으로 방문하도록 합니다.