슈퍼쿠키, 좀비 쿠키, 에버쿠키는 무엇이며 유해합니까?

추적은 항상 쿠키 사용자 에게 가장 큰 개인 정보 보호 문제 중 하나였지만 인터넷 덕분에 상황이 바뀌었습니다. 일반 브라우저 쿠키는 매우 유용하고 삭제하기 쉽지만 , 사용자의 탐색 활동을 유지하고 추적하기 위해 구축된 다른 변형도 있습니다. 이러한 변형 중 두 가지는 슈퍼 쿠키와 좀비 쿠키(일반적으로 "Evercookies"로 알려짐)입니다. 이 두 변종은 이를 제거하려는 사람들에게 많은 어려움을 야기하기 때문에 유명합니다. 다행스럽게도 보안 전문가로부터 적절한 관심을 "받았으며" 오늘날의 웹 브라우저는 이러한 복잡하고 교활한 추적 기술에 맞서기 위해 지속적으로 개발되고 있습니다.

슈퍼쿠키

이 용어는 다양한 기술을 설명하는 데 사용되기 때문에 약간 혼란스러울 수 있으며 그 중 일부는 실제로 쿠키입니다. 일반적으로 이 용어는 고유한 ID를 제공하기 위해 검색 프로필을 재정의하는 항목을 나타냅니다. 이러한 방식으로 쿠키와 동일한 기능을 지원하여 웹사이트와 광고주가 귀하를 추적할 수 있지만 쿠키와는 달리 삭제할 수 없습니다.

UIDH(고유 식별자 헤더) 및 HSTS(HTTP Strict Transport Security)의 취약점과 관련하여 "슈퍼쿠키"라는 용어가 사용되는 것을 자주 듣게 됩니다. 원래 문구는 최상위 도메인에서 발생하는 쿠키를 의미합니다 . 이는 ".com" 또는 ".co.uk"와 같은 도메인 이름에 대해 쿠키를 설정하여 해당 도메인 접미사가 있는 모든 웹사이트에서 쿠키를 볼 수 있음을 의미합니다.

Google.com이 슈퍼쿠키를 설정하면 해당 쿠키는 다른 모든 '.com' 사이트에 표시됩니다. 이는 분명히 개인 정보 보호 문제이지만 일반 쿠키이기 때문에 대부분의 최신 브라우저는 기본적으로 이를 차단합니다. 더 이상 이러한 유형의 슈퍼쿠키에 대해 많이 이야기하는 사람이 없기 때문에 다른 두 가지(좀비 쿠키 및 Evercookies)에 대해 더 많이 듣게 될 것입니다.

고유 식별자 헤더(UIDH)

고유 식별자 헤더는 일반적으로 컴퓨터에 존재하지 않으며 ISP와 웹 사이트 서버 사이에 나타납니다. UIDH가 생성되는 방법은 다음과 같습니다.

ISP에 웹사이트 요청을 보냅니다.
ISP는 요청을 서버에 전달하기 전에 요청 헤더에 고유 식별자 문자열을 추가합니다.
이 고유 식별자 문자열을 사용하면 귀하가 쿠키를 삭제했더라도 웹사이트는 귀하가 방문할 때마다 귀하를 동일한 사용자로 식별할 수 있습니다. 웹사이트가 귀하가 누구인지 알게 되면 동일한 쿠키를 귀하의 브라우저에 바로 설정하기만 하면 됩니다.

간단히 말해서, ISP가 UIDH 추적을 사용하는 경우 귀하가 방문하는 모든 웹사이트에 귀하의 개인 "서명"을 보냅니다. 이는 주로 광고 수익을 최적화하는 데 유용하지만 고객에게 이를 알리지 않거나 제공하지 않은 것에 대해 FCC가 Verizon에 135만 달러의 벌금을 부과할 정도로 짜증스럽습니다.

Verizon 외부에는 기업이 UIDH 스타일 정보를 사용하는 데이터가 많지 않지만 소비자 반발로 인해 이를 인기 없는 전략으로 만들었습니다. 심지어 암호화되지 않은 HTTP 연결에서만 작동합니다. 또한, 오늘날 대부분의 웹사이트는 기본적으로 HTTPS를 사용하고 HTTPS Everywhere와 같은 추가 기능을 쉽게 다운로드할 수 있으므로 이 슈퍼쿠키는 실제로 더 이상 그렇게 큰 문제가 아니며 아마도 널리 사용되지 않을 것입니다. 추가 보호 계층을 원한다면 VPN을 사용하세요 . VPN은 귀하의 요청이 UIDH가 첨부되지 않은 웹사이트로 전달되도록 보장합니다.

HTTPS 엄격한 전송 보안(HSTS)

HSTS(HTTP Strict Transport Security)는 낮은 수준의 공격으로부터 HTTPS 보안 웹사이트를 보호하는 데 필요한 보안 정책입니다. HSTS는 웹사이트에 대한 모든 연결이 HTTPS 프로토콜을 사용하여 암호화되도록 보장하며 절대 HTTP 프로토콜을 사용하지 않습니다. 현재 Google은 .google, .how 및 .soy로 끝나는 도메인 이름을 포함하여 45개의 최상위 도메인에 HSTS를 적용하고 있습니다.

HSTS는 정말 좋은 솔루션입니다. 이를 통해 브라우저는 안전하지 않은 HTTP 버전 대신 HTTPS 버전의 웹사이트로 안전하게 리디렉션할 수 있습니다. 불행하게도 다음 공식을 사용하여 슈퍼쿠키를 생성하는 데에도 사용할 수 있습니다.

여러 하위 도메인을 만듭니다(예: 'domain.com', 'subdomain2.domain.com'...).
기본 페이지의 각 방문자에게 임의의 숫자를 할당하십시오.
페이지의 숨겨진 픽셀에 하위 도메인을 추가하여 사용자가 모든 하위 도메인을 로드하도록 강제하거나 페이지가 로드되는 동안 각 하위 도메인을 통해 사용자를 리디렉션합니다.
일부 하위 도메인의 경우 보안 버전으로 전환하려면 사용자 브라우저에서 HSTS를 사용해야 합니다. 다른 일부의 경우 도메인을 HTTP 안전하지 않은 상태로 둡니다.
하위 도메인의 HSTS 정책이 활성화된 경우 '1'로 계산됩니다. 꺼져 있으면 "0"으로 계산됩니다. 이 전략을 사용하면 웹사이트는 사용자의 임의 ID 번호를 브라우저의 HSTS 설정에 바이너리로 기록할 수 있습니다.
방문자가 돌아올 때마다 웹사이트는 사용자 브라우저에서 HSTS 정책을 확인하고, HSTS는 사용자를 식별하는 동일한 초기 생성 바이너리 번호를 반환합니다.

복잡하게 들리지만 간단히 말해서 웹사이트는 브라우저가 여러 페이지에 대한 보안 설정을 생성하고 기억하도록 할 수 있으며 다음에 방문할 때 데이터를 통해 귀하가 누구인지 알 수 있습니다.

Apple은 사이트당 하나 또는 두 개의 기본 도메인에 대해서만 HSTS 설정을 허용하고 사이트에서 사용할 수 있는 리디렉션 수를 제한하는 등 이 문제에 대한 솔루션도 도입했습니다. 다른 브라우저도 이러한 보안 조치를 따를 가능성이 높지만(Firefox의 시크릿 모드가 예입니다) 효율성에 대해서는 확인된 바가 없으므로 대부분의 브라우저에서 최우선 순위는 아닙니다. HSTS 정책을 수동으로 설치하고 제거하는 몇 가지 방법에 대해 자세히 알아보면 문제를 직접 해결할 수 있습니다.

좀비쿠키/에버쿠키

Evercookie라고도 알려진 좀비 쿠키는 본질적으로 쿠키 삭제를 시도할 때 직면하게 되는 어려움을 설명하기 위해 만들어진 JavaScript API입니다.

좀비 쿠키는 일반 쿠키 저장소 외부에 숨겨져 있으므로 삭제할 수 없습니다. 로컬 저장소는 좀비 쿠키의 주요 대상이며( Adobe Flash 및 Microsoft Silverlight는 이를 많이 사용함) 일부 HTML5 저장소 도 문제가 될 수 있습니다. 좀비 쿠키는 검색 기록 이나 브라우저에서 캐시할 수 있는 RGB 색상 코드 에 있을 수도 있습니다 .

그러나 많은 보안 허점이 점차 사라지고 있습니다. Flash와 Silverlight는 현대 웹 디자인의 중요한 부분이 아니며 이제 많은 브라우저가 더 이상 Evercookie에 취약하지 않습니다. 이러한 쿠키는 시스템을 방해하고 "기생"시킬 수 있는 방법이 너무 많기 때문에 자신을 보호할 수 있는 방법은 없지만 브라우저 청소 루틴은 결코 좋은 생각이 아닙니다. 나쁜 조치입니다.

우리는 안전합니까?

온라인 추적 기술을 개발하는 것은 오늘날의 보안 세계에서 끊임없는 경쟁입니다. 따라서 개인 정보 보호가 특히 우려되는 부분이라면 온라인 환경에서 결코 100% 안전을 보장할 수 없다는 사실에 익숙해져야 할 것입니다.

그러나 슈퍼쿠키는 그다지 흔하지 않고 점점 더 공격적으로 차단되고 있으므로 너무 걱정할 필요가 없습니다. 이러한 쿠키는 취약점이 패치될 때까지 활성 상태로 유지되며 항상 새로운 기술로 업데이트될 수 있습니다.

더보기: