그래픽카드로 사용자 식별하는 기술 등장

- Advertisement -

민감한 개인 정보 없이 웹사이트가 사용자를 식별하는 기술이 등장했다.

프랑스·이스라엘·호주 대학의 연구원 팀은 논문을 통해 ‘드로잉아파트(DrawingApart)’라는 방법을 소개했다. 이는 사용자 PC에 내장된 그래픽 처리 장치(GPU)로 고유 패턴을 만들어 사용자를 식별하는 기술이다.

◆ GPU 성능만으로 사용자 PC 식별 가능해

(출처 : Arxiv.org)

드로잉아파트는 웹브라우저에서 3D 그래픽을 렌더링할 때 사용하는 WebGL(Web Graphics Library) API를 사용한다. WebGL API를 통해 사용자 PC의 GPU에 간단한 연산 명령을 내린다. 이 과정에서 GPU의 실행 단위 수와 속도, 렌더링을 완료하기까지 걸린 시간을 측정해 성능 점수를 계산한다. 이 점수가 PC를 식별하는 기준이다.

(출처 : Arxiv.org)

혹시 같은 GPU를 사용하는 PC는 성능 점수도 같지 않을까? 정답은 ‘No’다. GPU 모델이 동일하더라도 생산 과정에서 편차가 발생하므로 실제 성능은 제품마다 미세하게 다르다. 사용에 영향을 주는 정도까지는 아니지만 드로잉아파트를 통해 측정하는 값은 달라진다. GPU마다 서로 다른 성능 점수를 내므로 충분히 식별 기준으로 삼을 수 있다.

◆ 다른 부품, PC 사용 패턴은 식별에 영향 주지 않아

드로잉아파트의 특징은 GPU 외 다른 요소로부터 영향을 받지 않는다는 것이다.

연산 규모를 최소화해 연산할 때마다 성능 점수가 다르게 나오는 것을 방지했다. 또한 현재 GPU 사용량이 많고 적음에 따라 두 가지 측정 방식이 적용되도록 하여 드로잉아파트의 연산 결과가 GPU 사용량에 영향을 받는 것을 방지했다. GPU 사용량이 적을 때에는 빠르게 연산하고, GPU 사용량이 많을 때에는 연산 명령을 긴 시간에 걸쳐 분산해 GPU 점유율을 낮게 유지하며 연산한다.

그 결과 측정값은 전적으로 GPU에 따라서만 달라진다. GPU 이외 다른 PC 부품, PC가 수행하는 작업 프로세스 수, 브라우저에 열려 있는 다른 탭의 GPU 점유율도 영향을 끼치지 않는다. 심지어 PC를 재부팅해도 결과는 동일하다.

(출처 : Arxiv.org)

연구팀은 1605개의 서로 다른 CPU 구성을 갖춘 장치 2550개를 대상으로 드로잉아파트 기술을 테스트했다. 그 결과 쿠키와 같이 현재 사용자 식별·추적에 사용되고 있는 기술들에 비해 중간값 추적 기간(Median Tracking Duration)이 67%까지 향상됐다.

향후 개선 여지도 많다. 연구팀의 테스트 결과 드로잉아파트가 WebGL API를 통해 사용자를 식별하는 데이터를 수집하는 데 걸린 시간은 8초 정도였다. 후속 API ‘WebGL 2.0’을 통해 테스트하면 데이터를 수집하는 데 걸리는 시간이 150밀리초(ms)까지 단축되는 동시에 정확도도 98%로 매우 높아진다. 개발 중인 차세대 GPU API ‘WebGPU’를 사용한다면 이보다 훨씬 빠르고 정확하게 PC를 특정할 수 있을 것으로 보인다.

◆ 기존 쿠키 방식의 ‘불편함’ 보완할 수 있어

기존에도 웹사이트가 방문자를 식별하고 특정하는 기술이 있었다. ‘쿠키’가 대표적인 예다.

쿠키는 사용자의 하드웨어·소프트웨어 정보와 언어·시간대·방문한 사이트·로그인 정보까지 다양한 데이터를 저장한다. 웹 브라우저를 재시작해도 로그인이 풀리지 않는 게 쿠키의 매력이다.

하지만 쿠키는 개인의 인터넷 사용 기록부터 로그인 정보까지 민감한 데이터를 수집한다. 개인 정보 보안을 중요하게 생각한다면 쿠키가 마냥 곱게 보이지 않을 수 있다.

게다가 최근 일부 사이트는 쿠키를 허용해야 이용 가능한 경우도 있다. 특히 유럽에서는 웹사이트가 사용자 쿠키 수집을 할 경우 사이트 이용 전에 이를 팝업으로 알리고 동의를 받도록 법을 제정했다. 그렇다 보니 쿠키 수집에 동의하지 않으면 이용할 수 없는 사이트가 점차 늘어나는 추세다.

드로잉아파트는 GPU 성능으로만 사용자를 특정하기 때문에 불필요한 개인 정보 유출 우려가 없다. 그나마도 제공하기 싫다면 다양한 방법으로 드로잉아파트의 정보 수집을 막을 수 있다. 대표적으로 △속성값을 변경하는 방법 △GPU의 병렬 실행을 방지하는 방법 △스크립트·API·시간 측정을 차단하는 방법이 있다. 이들 중 하나만 적용하더라도 드로잉아파트가 GPU 성능 정보를 수집하지 못해 사용자 식별이 불가능해진다. 웹사이트에 따라 울며 겨자먹기로 제공해야 하는 쿠키보다 훨씬 자유롭다.

이처럼 드로잉아파트는 사용자가 원한다면 정보 제공을 원천 차단하는 것이 가능하며 수집하는 정보도 개인 신상과 관련 없는 GPU 성능뿐이다. 만약 드로잉아파트가 기존 쿠키 방식을 대체한다면 개인 정보 보호 수준이 월등히 향상될 것으로 기대된다.

테크플러스 에디터 이병찬

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here

Related Stories