본문으로 건너뛰기
J
피드

Poisson – 가짜 트래픽으로 실제 브라우징 기록을 묻어버리는 Chrome 확장 프로그램

security 약 6분
tags
#privacy#chrome-extension#surveillance#browser#open-source
vote
0
댓글
북마크

ISP, 데이터 브로커, 정부 감시로부터 브라우징 프라이버시를 보호하기 위해 푸아송 과정 기반의 사실적인 가짜 트래픽을 생성하는 오픈소스 Chrome 확장 프로그램. 트래픽을 숨기는 대신 노이즈로 파묻는 '신호 희석' 전략을 사용함.

  • 1

    VPN은 신뢰 대상만 바꿀 뿐 감시를 제거하지 못하므로, 트래픽을 숨기는 대신 노이즈로 묻는 신호 희석(signal dilution) 접근법을 채택함

  • 2

    푸아송 과정 기반 타이밍, 스크롤·호버·클릭 시뮬레이션으로 기계적 패턴과 구별되는 인간형 트래픽을 생성함

  • 3

    12개 카테고리 사이트 방문과 4개 검색엔진 쿼리를 수행하며, 4단계 강도(시간당 18~300회)로 조절 가능함

  • 4

    약 2,500줄의 JS 코드에 모든 URL이 하드코딩되어 완전히 감사 가능하며, 외부 서버 통신이 전혀 없음

  • 5

    TrackMeNot(NYU, 2006), AdNauseam 등 합법적 선례가 존재하며 CFAA 위반에 해당하지 않음

문제: 브라우징 기록은 한 번도 프라이빗했던 적이 없음

  • 미국에서는 ISP가 사용자의 브라우징 데이터를 합법적으로 광고주와 데이터 브로커에게 판매할 수 있음. 별도의 동의 절차도 필요 없음
  • Acxiom, Oracle Data Cloud, LexisNexis 같은 데이터 브로커들이 브라우징 패턴, 구매 이력, 위치 데이터를 결합해 정치 성향, 건강 상태, 재정 상황까지 포함한 상세 프로필을 구축함
  • NSA의 XKEYSCORE 프로그램은 인터넷 활동을 실시간으로 검색·분석할 수 있으며, FISA Section 702는 영장 없는 통신 수집을 허용함
  • FBI는 영장 대신 상업용 위치·브라우징 데이터를 직접 구매해 사용한 사례가 있음
  • Google, Meta 등 광고 기술 기업들이 쿠키, 핑거프린팅, 트래킹 픽셀로 사이트 간 추적을 수행하며 광고·가격·신용 결정에 활용됨

VPN은 해결책이 아님

  • VPN은 IP 주소를 숨기지만, ISP는 VPN 연결 자체를 확인할 수 있음
  • VPN 제공자가 ISP 대신 모든 트래픽을 보게 되는 것이므로 신뢰 대상만 바뀌는 것임
  • 트래킹 픽셀과 브라우저 핑거프린팅은 IP와 무관하게 작동함

핵심 아이디어: 숨기지 말고 묻어버림 (Signal Dilution)

  • Poisson은 트래픽을 숨기는 대신, 대량의 가짜 브라우징 활동으로 진짜 기록을 파묻는 "신호 희석" 방식을 채택함
  • 하루 50페이지 방문 시 Poisson이 500페이지를 추가로 방문하면, 분석자는 신호가 아닌 노이즈만 보게 됨
  • 레이더 대응에 사용되는 채프(chaff), 데이터 과학의 차등 프라이버시(differential privacy)와 동일한 원리임
  • 이 접근법은 감시를 차단하는 것이 아니라, 감시 데이터의 가치를 떨어뜨리는 전략임

기술 구현: 사람처럼 행동하는 노이즈 생성기

  • 푸아송 과정(Poisson process) 기반으로 탭 오픈 타이밍을 결정함. 일정 간격이 아닌 지수 분포의 랜덤 간격을 사용해 실제 사람의 불규칙한 브라우징 패턴을 모방함
  • Chrome의 alarm API가 최소 1분 간격을 요구하므로, 한 tick 내에서 여러 작업을 배치 처리하고 계산된 푸아송 오프셋에 맞춰 디스패치함
  • 각 백그라운드 탭에서 스크롤, 마우스 호버, 링크 클릭, "읽기" 멈춤 등 인간 행동을 시뮬레이션함
  • 뉴스, 기술, 쇼핑, 건강, 금융 등 12개 카테고리의 사이트를 방문하고, Google/DuckDuckGo/Bing/Yahoo에서 자연스러운 검색 쿼리를 수행함
  • 4단계 강도 조절 가능: Low(~18회/시간), Med(~60회/시간), High(~150회/시간), Max(~300회/시간)
  • 탭은 active: false로 열려 포커스를 빼앗지 않으며, 5~25초 후 자동 종료됨

투명성과 감사 가능성

  • 전체 코드가 약 2,500줄의 주석 포함 JavaScript로 작성됨
  • 방문할 모든 URL이 소스 코드 내 BROWSE_SITES, AD_SITES, SEARCH_ENGINES 배열에 하드코딩되어 있어 완전히 감사 가능함
  • 확장 프로그램 자체의 HTTP 요청은 제로이며, 네트워크 활동은 노이즈 탭에서만 발생함
  • 모든 동작이 타임스탬프와 함께 로그에 기록되어 실시간 확인 가능함
  • 계정, 서버 연결, 텔레메트리, 분석 데이터 수집이 전혀 없음. MIT 라이선스로 공개됨

합법성과 선례

  • 공개 접근 가능한 웹사이트를 자동으로 방문하는 것은 합법임. 접근 통제 우회나 CFAA(컴퓨터 사기 및 남용 방지법) 위반에 해당하지 않음
  • NYU 연구진이 2006년부터 운영해 온 TrackMeNot이 동일한 방식(랜덤 검색 쿼리 생성)으로 합법적 선례를 확립함
  • AdNauseam은 모든 광고를 백그라운드에서 클릭해 프로필을 오염시키는 확장 프로그램으로, Google이 Chrome 웹스토어에서 차단했지만 확장 프로그램 자체는 합법임
  • 커버 트래픽 생성 도구는 학술 프라이버시 연구에서 수십 년간 정당한 트래픽 분석 대응책으로 논의되어 옴

한계점

  • 브라우저 핑거프린팅 방어는 제공하지 않음. 이를 위해서는 Tor Browser나 Mullvad Browser가 필요함
  • 트래픽을 암호화하지 않으므로, ISP가 충분히 노력하면 Poisson 트래픽과 실제 트래픽을 구분할 가능성이 있음. VPN과 병용이 권장됨
  • 높은 강도로 실행 시 상당한 대역폭과 CPU를 소모함
  • 완전한 프라이버시 솔루션이 아닌, 방어 심층(defense-in-depth) 전략의 한 계층으로 사용해야 함

프라이버시 도구의 패러다임이 '숨기기'에서 '노이즈 주입'으로 진화하고 있음. 암호화나 익명화가 점점 어려워지는 환경에서, 감시 데이터의 신호 대 잡음비를 떨어뜨려 분석 비용을 높이는 전략은 차등 프라이버시의 실용적 응용이라 할 수 있음. 다만 ISP 수준의 정교한 트래픽 분석에는 백그라운드 탭의 패턴이 구분될 수 있어 VPN 병용이 필수적임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.