브라우저 파비콘을 이용한 지문 추적 기술 ‘Supercookie’

• 파비콘(favicon) 캐시를 이용해 웹사이트 방문자에게 고유 식별자를 부여하는 추적 기법으로, 사용자가 캐시나 쿠키를 삭제해도 식별 정보가 유지됨
• 이 방식은 시크릿 모드, VPN, 광고 차단기 사용 시에도 작동하며, 브라우저 재시작이나 시스템 재부팅 후에도 지속됨
• 브라우저가 파비콘을 요청하거나 캐시에서 불러오는 패턴 조합을 통해 고유한 식별 번호를 생성함
• Chrome, Firefox, Safari, Edge 등 주요 브라우저와 모바일 브라우저가 이 취약점의 영향을 받음
• 브라우저 보안 및 개인정보 보호 측면에서 파비콘 캐시 관리의 중요성이 부각됨

Supercookie 개요

• Supercookie는 파비콘 캐시(F-Cache) 를 이용해 사용자를 식별하는 기술
  • 파비콘은 웹사이트의 작은 아이콘으로, 브라우저 주소창이나 북마크 목록에 표시됨
  • 브라우저는 파비콘을 빠르게 표시하기 위해 별도의 로컬 데이터베이스(F-Cache)에 저장함
• F-Cache에는 방문 URL, 파비콘 ID, TTL(유효 기간) 정보가 포함됨
• 이 구조를 악용하면, 특정 URL 경로별 파비콘 요청 여부를 조합해 고유한 브라우저 패턴을 생성할 수 있음

위협 모델

• 웹서버는 브라우저가 파비콘을 새로 요청하는지 여부를 통해 이전에 방문한 적이 있는지 판단 가능
  • 캐시에 파비콘이 없으면 서버에 GET 요청이 발생하고, 있으면 요청이 생략됨
• 여러 경로의 파비콘 요청 상태를 조합하면 브라우저별 고유 식별 번호를 생성할 수 있음
• 이 식별자는 쿠키 삭제, 캐시 초기화, VPN 사용, 헤더 조작 등 기존 추적 방지 조치에도 영향을 받지 않음

기존 쿠키와의 비교

• 표에 따르면 Supercookie는 100% 식별 정확도를 가지며,
  • 시크릿 모드 감지, 캐시·쿠키 삭제 후에도 지속, 여러 창 간 식별, 안티트래킹 소프트웨어 우회가 가능함
• 반면 일반 쿠키는 이러한 기능을 지원하지 않음

영향받는 브라우저

• Chrome, Safari, Edge, Firefox 등 주요 브라우저가 취약함
  • Chrome: Windows, macOS, Linux, Android에서 영향
  • Safari: macOS, iOS에서 영향
  • Edge: Windows, macOS, Android에서 영향
  • Firefox: 일부 플랫폼에서 시크릿 모드 시 다른 지문 생성
  • Brave: 최신 버전에서는 대부분 차단됨
• 이전 버전의 Brave(1.14.0)와 Firefox(<84.0)는 이 공격에 취약함

확장성과 성능

• 리디렉션 경로 수(N)를 조정해 2^N개의 고유 사용자를 구분 가능
• 구분 가능한 사용자가 많아질수록 읽기·쓰기 시간이 증가함
• N의 길이를 동적으로 조정해 리디렉션 수를 최소화할 수 있음

방어 방법

• 가장 확실한 방법은 파비콘 캐시를 완전히 비활성화하거나 수동으로 삭제하는 것
  • Chrome(macOS): ~/Library/Application Support/Google/Chrome/Default/Favicons 및 Favicons-journal 삭제
  • Chrome(Windows): C:\Users\username\AppData\Local\Google\Chrome\User Data\Default 삭제
  • Safari(macOS): ~/Library/Safari/Favicon Cache 내용 삭제
  • Edge(macOS): ~/Library/Application Support/Microsoft Edge/Default/Favicon 및 Favicons-journal 삭제

프로젝트 목적 및 배경

• 본 저장소는 교육 및 시연용으로 제작되었으며, 파비콘을 이용한 추적 가능성에 대한 보안 인식 제고가 목적
• 영감은 University of Illinois Chicago 연구 논문과 heise.de 기사에서 비롯됨
• 프로젝트는 개인 연구의 일환으로 2일 만에 구현된 데모 포털 포함

기타

• 개발자는 독일 출신 20세 학생으로, 소프트웨어 디자인 및 IT 보안 분야에 관심을 가짐
• 프로젝트는 GitHub에서 공개되어 있으며, Docker 또는 Node.js 환경에서 실행 가능
• 관련 보도는 Vice, Gizmodo, TechRadar, Schneier.com 등 주요 매체에서 다뤄짐