시크릿 모드에서도 사용자를 몰래 추적하는 Meta와 Yandex의 프로토콜 악용
지난 몇 년 동안, Chrome과 같은 주요 브라우저에서 구현한 샌드박스 및 추적 방지 기능에 대해 많은 이야기를 들었습니다. 이 기능의 약속은 간단했습니다. 이 기능이 구현되면 사용자는 빅 테크에 의해 감시되거나 웹 기록이 자신의 신원과 직접 연결될 것을 걱정할 필요가 없게 될 것입니다. 대신, 타겟 광고는 익명화된 데이터를 통해 실행될 것이며, 적어도 이론적으로는 광고주의 요구에 충분히 효과적일 것입니다.
이 아이디어는 저희에게 항상 비현실적으로 들렸습니다. 저희는 오랫동안 이러한 익명으로 간주되는 데이터의 익명성을 해제하는 것이 여전히 전적으로 가능하다고 주장해 왔습니다. 하지만 그렇게까지 할 필요가 없다면 어떨까요? 모든 내장 보호 기능에도 불구하고 플랫폼이 고유한 사용자 식별자에 액세스하여 이를 사용자의 브라우징 기록에 안정적으로 연결할 수 있다면 어떨까요?
Meta와 Yandex는 바로 이러한 것이 가능하다는 것을 발견했습니다.
새로운 연구에 따르면, Meta(Meta Pixel을 통해)와 Yandex(Yandex Metrica를 통해)는 Android OS 및 모바일 브라우저의 행동에 있는 허점을 악용하여 사용자의 웹 브라우징 데이터를 Facebook 및 Instagram과 같은 네이티브 앱 내의 실제 신원과 연결하여 사용자의 익명성을 해제하고 있습니다.
그들은 추적 보호 기능을 어떻게 우회하나요?
이 추적 방식이 정확히 어떻게 작동하는지에 대한 자세한 기술적 설명이 필요하신 경우, 원본 연구 자료를 확인하시기를 권장합니다. 간단히 설명드리자면, Meta와 Yandex는 모바일 브라우저에서 추적 데이터를 직접 자체 앱으로 전송하는 비전통적인 방법을 발견했습니다. 이 우회 방법은 Yandex가 2017년부터 사용해온 것으로, Meta는 2024년 말에 약간 다른 형태로 채택했습니다. 이 방법은 Android가 앱이 자체적으로 통신 채널을 열 수 있도록 허용하는 점을 악용합니다.
이 기능은 다음과 같이 작동합니다. 사용자가 이러한 앱 중 하나를 설치하고 실행하면, 백그라운드에서 실행되는 경우에도 앱은 로컬 호스트 또는 루프백 포트라고 하는 기기의 비공개 통신 채널을 엽니다. 이 포트는 원래 목적에 따라 개발자가 라이브 서버에 배포하기 전에 애플리케이션을 로컬에서 미리 확인하고 테스트하는 데 사용됩니다.
그러나 Meta와 Yandex는 이 기능을 악용해 웹 쿠키나 기타 고유 식별자 같은 추적 데이터를 모바일 웹 브라우저(Firefox, Chromium 기반 브라우저 등)에서 페이스북, 인스타그램, 다양한 Yandex 서비스 같은 Android 앱으로 전송했습니다.
사용자가 Meta Pixel 또는 Yandex Metrica 스크립트(수백만 개의 웹사이트에서 찾을 수 있는 추적기)가 삽입된 웹사이트를 방문하면, 해당 스크립트는 HTTP 요청, WebSockets 또는 WebRTC와 같은 표준 브라우저 기능을 사용하여 추적 쿠키를 포함한 데이터를 해당 열린 로컬 포트로 직접 전송합니다. 그런 다음 기기에 설치된 앱이 이 정보를 수신하고 앱 내에서 로그인한 사용자 계정에 연결할 수 있습니다. 연결이 설정되면 앱은 이 결합된 데이터(브라우저 행동 + 사용자 신원)를 Meta 또는 Yandex 서버로 다시 보냅니다.
그 결과, Meta와 Yandex는 브라우저 샌드박싱, 시크릿 모드 및 Android의 권한 제어를 우회할 수 있게 됩니다. 이를 통해 사용자를 익명화에서 해제하고, 사용자가 '시크릿 모드'로 보호받고 있다고 생각할 때에도 온라인에서 하는 활동을 모니터링할 수 있는 교활한 방법을 확보하게 됩니다.
프로토콜 악용 아직도 진행 중?
연구진에 따르면 Meta는 해당 관행을 중단했습니다. 2025년 6월 3일 기준, Meta 픽셀(이전 페이스북 픽셀) 추적 스크립트는 로컬호스트로 어떤 패킷이나 요청도 전송하지 않고 있습니다. Meta는 Ars Technica에 발표한 성명서에서 “해당 문제에 대해 인지한 후, 구글과 협력해 문제를 해결하는 동안 해당 기능을 일시 중단하기로 결정했습니다.”라고 밝혔습니다.
Yandex는 또한 해당 관행을 중단한다고 밝히며, 해당 기능은 민감한 정보를 수집하기 위한 것이 아니며 “단순히 우리 앱 내 개인화 기능을 개선하기 위해 설계되었습니다”라고 덧붙였습니다.
Google은 해당 관행이 명백히 보안 및 개인정보 보호 원칙을 위반했으며, 서비스 약관과 일치하지 않는다고 응답했습니다. 해당 기업은 또한 보고된 브라우저 기능의 악용에 대한 조사를 시작했다고 밝혔습니다.
이로부터 자신을 보호하는 방법은 무엇인가요?
Android에 내장된 보호 기능과 Chrome 및 Firefox와 같은 주요 브라우저에 내장된 보호 기능이 이번에는 사용자를 보호하지 못했다는 것은 분명합니다. 그러나 DuckDuckGo 및 Brave와 같이 덜 인기 있고 보안 및 개인 정보 보호에 중점을 둔 틈새 브라우저의 사용자들은 훨씬 더 운이 좋았습니다. 이는 이러한 브라우저에 추적 요청을 처음부터 차단하거나 식별자 공유를 방지하는 추적 보호 기능이 내장되어 있기 때문입니다.
AdGuard는 동일한 원리로 작동합니다. 추적 보호 필터가 활성화되어 있다면, 저희는 Meta Pixel, Yandex Metrica 및 기타 추적 스크립트를 소스에서 차단합니다. 이에는 이 로컬호스트 트릭을 악용하려는 시도도 포함됩니다. 따라서 이 경우 필터가 활성화되어 있다면 걱정할 필요가 없습니다.
하지만 이 방법은 기업들이 브라우저 및 OS 수준의 보호 기능을 우회하기 위해 얼마나 멀리까지 갈 수 있는지 보여주는 것이며, 이것이 진짜 문제입니다. 이러한 기술이 더 널리 퍼지게 되면, 전반적으로 사용자 개인 정보 보호에 심각한 위협이 될 수 있습니다. 현재는 안전하지만, 당사는 이러한 유형의 악용을 완전히 차단할 수 있는 보다 일반적이고 장기적인 해결책을 이미 고려하고 있습니다.