크로미움 148 버전의 Math.tanh 함수, 운영체제 식별 취약점 노출
웹 브라우저의 보안과 프라이버시를 연구하는 스크랩플라이(Scrapfly)는 최근 크로미움(Chromium) 148 버전에서 새로운 형태의 브라우저 지문 인식(fingerprinting) 취약점을 발견했다. 이번에 확인된 문제는 자바스크립트의 수학 함수인 Math.tanh가 운영체제(OS)를 식별하는 지표로 활용될 수 있다는 점이다. 브라우저 지문 인식은 웹사이트가 사용자의 동의 없이 고유한 식별자를 생성해 사용자를 추적하는 기술로, 쿠키와 같은 전통적인 방식보다 탐지가 어렵고 프라이버시 설정 변경으로도 차단하기 힘든 특성을 지닌다.
이번 취약점의 핵심은 Math.tanh 함수의 부동 소수점 연산 결과가 실행되는 운영체제 환경에 따라 미묘하게 달라진다는 사실에 있다. 크로미움 148 버전에서 이 함수를 실행할 경우, 연산 과정에서 발생하는 미세한 오차값이 운영체제별로 고유한 패턴을 형성한다. 공격자는 이러한 연산 결과의 차이를 분석하여 사용자가 윈도우(Windows), 맥OS(macOS), 리눅스(Linux) 중 어떤 운영체제를 사용하는지 정확히 식별할 수 있다. 이는 단순한 정보 수집을 넘어 다른 지문 인식 기술과 결합될 경우 특정 사용자를 고유하게 추적하는 강력한 도구가 될 수 있다.
데이터 분석 관점에서 이번 사안은 브라우저 엔진의 연산 일관성이 프라이버시 보호에 얼마나 중요한지를 보여준다. 과거 버전의 크로미움에서는 Math.tanh 함수의 연산 결과가 플랫폼 간에 비교적 균일하게 유지되었으나, 148 버전부터는 운영체제별로 식별 가능한 수준의 편차가 발생한다. 예를 들어, 특정 입력값에 대한 연산 결과가 이전 버전에서는 플랫폼 구분 없이 동일한 값을 반환했다면, 148 버전에서는 운영체제별로 소수점 이하의 미세한 차이를 보이며 고유한 식별자로 기능하게 된 것이다. 이러한 연산 결과의 불일치는 브라우저가 제공하는 하드웨어 추상화 계층의 보안성을 약화시키는 결과를 초래한다.
이 문제는 구글 크롬(Google Chrome)과 마이크로소프트 엣지(Microsoft Edge)를 포함한 모든 크로미움 기반 브라우저에 영향을 미친다. 웹 표준과 브라우저 개발자들은 그동안 사용자 프라이버시 보호를 위해 다양한 방어 메커니즘을 도입해 왔으나, 이번 사례는 수학적 연산 함수조차 추적의 수단이 될 수 있음을 시사한다. 특히 브라우저 지문 인식 기술이 고도화됨에 따라, 단순히 쿠키를 차단하는 것만으로는 사용자의 익명성을 보장하기 어려운 환경이 조성되고 있다.
운영체제 식별 가능성이 확인됨에 따라 기업과 개발자들은 향후 브라우저 기반 서비스의 보안 아키텍처를 재검토해야 할 시점에 도달했다. 특히 사용자 추적을 방지해야 하는 보안 솔루션 운영자들은 Math.tanh와 같은 수학 함수 호출 시 발생하는 연산 결과의 편차를 모니터링하고, 이를 차단하거나 정규화하는 방안을 고려해야 한다. 이번 취약점은 브라우저 엔진의 업데이트가 단순히 기능 개선에 그치지 않고, 프라이버시 노출 경로를 새롭게 생성할 수 있다는 점을 시사하며, 향후 브라우저 개발 과정에서 연산 결과의 플랫폼 독립성을 확보하는 것이 운영 비용과 보안 정책 수립의 핵심 과제가 될 전망이다.
이 이슈의 흐름
브라우저 지문 인식은 웹사이트가 사용자의 동의 없이 고유한 식별자를 생성하여 사용자를 추적하는 기술이다. 이는 쿠키와 같은 전통적인 추적 방식에 비해 탐지하기 어렵고, 사용자가 프라이버시 설정을 변경하더라도 추적을 피하기 어렵게 만든다. Math.tanh 함수를 이용한 운영체제 지문 인식 가능성은 이러한 브라우저 지문 인식 기술의 발전과 함께 사용자 프라이버시 침해 위험을 더욱 증대시킨다. 이는 웹 표준 및 브라우저 개발자들이 사용자 프라이버시 보호를 위해 더욱 정교한 방어 메커니즘을 개발해야 할 필요성을 강조한다.
- 우주 화장실 청소에서 화성 탐사 리더로, 클레어 파핏의 독특한 여정 Hacker News · 07/06
- 자율 무기 시스템의 부상과 킬러 드론 회피 기술의 현주소 Hacker News · 07/13
- AI 비서의 기억력 한계 넘는 '어댑티브 리콜'과 MCP 기술의 부상 Hacker News · 07/13
- 애플, 전 직원 영입 통한 영업 비밀 유출 혐의로 OpenAI 고소 The Verge · 07/11
- 전 OpenAI 임원 케빈 와일, 우주 스타트업 스토크 스페이스 이사회 합류 TechCrunch · 07/09