AmIUnique: 당신의 브라우저 지문은 얼마나 쉽게 식별될까요?
VPN을 사용하고, 새 지갑을 개설하고, 시크릿 모드로 웹 서핑을 하고, 주소를 재사용하지 않는다고 해도 웹사이트는 여전히 당신을 식별할 수 있습니다. AmIUnique에 접속하여 버튼 하나만 클릭하면 대부분의 사용자는 똑같이 불안한 결과를 얻게 됩니다. 바로 당신의 브라우저가 고유하다는 것입니다. 드문 정도가 아니라, 프로젝트 데이터 세트에 있는 모든 브라우저 중에서 유일하게 고유한 것입니다. 이 단 하나의 사실이 바로 수많은 온라인 추적의 숨겨진 원동력이며, 암호화폐를 보유한 사람들에게는 단순한 광고 성가심 이상의 문제입니다. 광고 네트워크가 당신을 추적할 수 있게 해주는 바로 그 브라우저 지문이 , 당신이 따로 보관한다고 생각했던 "익명" 지갑과 KYC 인증을 거친 거래소 로그인 정보를 연결할 수도 있습니다. AmIUnique는 바로 이러한 점을 측정하고, 당신의 브라우저가 왜 그렇게 쉽게 식별되는지, 그리고 무엇이 실제로 도움이 되는지를 설명합니다.
AmIUnique의 작동 방식 및 읽어들이는 내용
먼저 점수를 해석하는 방식을 바꿔야 하는 정정 사항부터 말씀드리겠습니다. AmIUnique는 개인정보 보호 제품이 아닙니다. 사용자를 보호해주지도 않고, 어떤 상품도 판매하지 않습니다. 프랑스의 Inria와 CNRS 연구진이 개발한 학술 프로젝트로, 브라우저 지문이 얼마나 다양한지 파악하고 개발자에게 더 나은 보안 시스템을 설계할 수 있는 데이터를 제공하기 위해 만들어졌습니다. amiunique.org에서 테스트를 실행하시면, 본인의 지문을 확인하는 것만큼이나 데이터 포인트를 제공하는 데 기여하게 됩니다.
브라우저 속성은 다음과 같이 읽습니다.
이 테스트는 페이지가 로드되는 순간 JavaScript를 실행합니다. 권한 요청이나 경고 메시지도 없습니다. 사용자 에이전트를 읽어 브라우저 버전과 운영 체제를 파악합니다. 그 다음 화면 해상도와 색심도, 시간대, 언어, 설치된 글꼴, 플러그인, 그리고 브라우저가 모든 요청 시 전송하는 HTTP 헤더를 확인합니다. 특히 Canvas와 WebGL 관련 정보가 많이 수집됩니다. 페이지는 브라우저에 숨겨진 이미지를 그리도록 조용히 요청하고, GPU와 드라이버가 이미지를 렌더링하는 미세한 방식들이 거의 완벽한 식별 기준으로 활용됩니다.
당신의 독창성을 어떻게 평가하는가
이러한 값들 중 어느 하나만으로는 당신을 특정할 수 없습니다. 수백만 명의 사람들이 동일한 브라우저 버전을 사용하고 있기 때문입니다. 진정한 힘은 브라우저 스택에 있습니다. AmIUnique는 사용자의 모든 속성을 수집하여 자체 데이터셋과 비교하고, 일치하는 다른 브라우저의 수를 알려줍니다. 대부분의 경우 일치하는 브라우저는 없습니다. 2018년 Laperdrix와 그의 동료들이 118,934개의 브라우저를 연구했을 때, 89.4%의 브라우저 지문이 고유한 것으로 나타났습니다. 2025년 Google과 MIT 연구진이 8,400명을 대상으로 다른 방법을 사용한 연구에서는 미국 사용자 중 약 60%만이 완전히 고유한 것으로 나타났습니다. 그 이후로 보안 기술은 향상되었습니다. 대부분의 사람들은 여전히 고유한 특성을 가지고 있습니다. 그리고 고유성이 추적으로 이어지는 것은 지문이 지속적으로 유지될 때이며, 이것이 바로 웹사이트가 사용자를 다음 방문 시 인식할 수 있게 해주는 요소입니다.
AmIUnique를 사용하여 브라우저 지문을 확인하세요.
검사 자체는 몇 초밖에 걸리지 않습니다. amiunique.org에 접속하여 지문 테스트를 실행하고 다음 두 가지를 확인하세요. 유사성 비율(얼마나 많은 브라우저가 사용자의 지문을 공유하는지)과 드물게 나타나는 값을 보여주는 속성 표입니다. 하나의 도구에만 의존하지 마세요. EFF의 Cover Your Tracks와 BrowserLeaks는 서로 다른 데이터 세트를 사용하여 유사한 테스트를 수행하며, 이들을 비교하면 더 전체적인 상황을 파악할 수 있습니다. "고유"라는 수치는 문장이 아니라 정보로 받아들이세요. 이는 사용자가 얼마나 노출되어 있는지를 알려주는 것이지, 이미 모든 곳에서 추적당하고 있다는 것을 의미하는 것은 아닙니다.
브라우저 지문으로 사용자를 식별할 수 있는 이유
고유성은 사실상 엔트로피 문제입니다. 브라우저가 드러내는 모든 속성에는 식별 정보가 조금씩 담겨 있으며, 이러한 정보들이 충분히 쌓이면 다른 사람이 동일한 정보를 가질 확률은 거의 0에 가까워집니다. 쿠키는 필요하지 않으며, 쿠키를 삭제해도 아무런 변화가 없습니다. 모든 정보를 삭제하고 새 세션을 시작해도 동일한 속성들이 조합되어 같은 식별자가 생성됩니다. 저장된 파일 없이도 이러한 지속성이 유지되는 것이 바로 핑거프린팅을 제거하기 어렵게 만드는 이유입니다.
이 수치는 10년 넘게 일관되게 유지되어 왔습니다. EFF의 2010년 파놉티클릭(Panopticlick) 연구 에 따르면, 브라우저의 83.6%가 고유하게 식별 가능하며, 최소 18.1비트의 엔트로피를 보유하고 있습니다. 이는 대략 286,777분의 1의 확률로 사용자의 지문을 공유할 수 있다는 것을 의미합니다. 캔버스 렌더링만으로도 약 5.7비트의 엔트로피가 발생할 수 있습니다. 아래 표는 엔트로피의 출처를 보여줍니다.
| 기인하다 | 그것이 드러내는 것 | 권력의 식별 |
|---|---|---|
| 캔버스/웹GL | 렌더링된 이미지를 통해 살펴본 GPU 및 드라이버의 특이점 | 높음(캔버스에서 약 5.7비트) |
| 설치된 글꼴 | 소프트웨어, 언어 팩, 운영체제 | 높은 |
| 사용자 에이전트 | 브라우저 버전, 운영 체제 | 중간 |
| 화면 해상도 + 색심도 | 디스플레이 및 장치 클래스 | 중간 |
| 시간대 + 언어 | 대략적인 위치, 지역 | 낮음~중간 |
| 플러그인 + HTTP 헤더 | 구성 세부 정보 | 낮지만, 가산적 |
브라우저 지문 인식 기술이 계속 성장하는 이유는 무엇일까요?
왜 상황이 나아지기는커녕 악화되고 있는 걸까요? 바로 쿠키 때문입니다. 20년 동안 온라인 추적은 제3자 쿠키를 기반으로 이루어졌지만, 이제 쿠키는 사라지고 있습니다. 사파리와 파이어폭스는 기본적으로 쿠키를 차단하고 있으며, 광고 업계는 사용자가 삭제할 수 있는 저장소에 남지 않는 대체 기술을 필요로 했습니다. 그 해답은 바로 핑거프린팅이었습니다. 통계는 핑거프린팅이 얼마나 빠르게 확산되었는지 보여줍니다. 2025년 UC 샌디에이고의 연구에 따르면 상위 2만 개 웹사이트 중 12.7%에서 캔버스 핑거프린팅이 사용되고 있는 것으로 나타났습니다. 또 다른 2025년 연구에서는 미국 상위 500개 웹사이트 중 3분의 1 이상에서 핑거프린팅 스크립트가 발견되었으며, 이는 핑거프린팅이 단순한 사기 방지뿐만 아니라 사이트 간 추적에도 사용된다는 사실을 처음으로 밝혀냈습니다.
광고 판매업자라면 이 논리에 반박하기 어렵습니다. 쿠키는 삭제할 수 있는 파일이지만, 지문은 사용자의 정보를 더 정확하게 반영합니다. 저장할 것도 없고, 클릭해야 할 배너도 없으며, 사용자가 찾아야 할 초기화 버튼도 없습니다. 규제 당국이 이를 동의가 필요한 추적 행위로 간주하기 시작한 이유도 바로 이 때문입니다. 쿠키는 사라지고 있고, 지문이 그 자리를 채우고 있습니다. AmIUnique 같은 도구가 여전히 유용한 이유는 사용자가 어떤 정보를 유출하고 있는지 정확한 수치를 제공하기 때문입니다.
브라우저 지문 및 암호화 온라인 개인정보 보호
대부분의 사람들에게 디지털 지문은 자신을 따라다니는 광고를 의미합니다. 하지만 암호화폐 사용자에게는 상황이 다릅니다. 디지털 지문은 실명으로 KYC 인증을 완료한 거래소와 비공개 라고 생각했던 지갑 세션을 연결할 수 있습니다. 이는 단순한 광고가 아니라 익명성 박탈입니다.
당신의 지갑은 수동적인 깃발입니다
암호화폐 사용자라면 누구나 우려해야 할 부분이 바로 이것입니다. MetaMask나 거의 모든 EVM 지갑을 설치하면 방문하는 모든 페이지에 window.ethereum이라는 JavaScript 객체가 삽입됩니다. 어떤 웹사이트든 이 객체를 몰래 확인할 수 있습니다. 2023년 USENIX Security의 연구 에 따르면, 약 96,905개의 웹사이트를 분석한 결과 1,099개의 웹사이트에서 암호화폐 지갑 정보를 수집하고 있었으며, 그중 window.ethereum이 210개의 스크립트에서 가장 많이 확인된 객체였습니다. 이러한 확인의 절반 이상은 제3자 스크립트, 즉 추적 프로그램을 통해 이루어졌으며, 사용자가 방문한 웹사이트 자체에서 발생한 것이 아니었습니다.
지문을 실제 신원과 연결하기
지갑을 가지고 있다는 사실 자체만으로도 신원 확인 신호가 됩니다. 여기에 안정적인 지문 정보가 더해지면 연결 고리가 됩니다. KYC 인증을 거친 거래소에 로그인할 때와 DeFi 앱에 지갑을 연결할 때 동일한 지문이 나타난다면, VPN을 사용하더라도, 심지어 다른 IP 주소를 사용하더라도 두 세션을 연관 지을 수 있습니다. 거래소는 사용자의 이름을 알고 있고, 나머지는 연결 고리가 처리합니다.
일상적인 상황을 떠올려 보세요. 노트북으로 주요 거래소에서 신원 인증을 완료한 후, 같은 브라우저에서 하드웨어 지갑을 열어 개인 정보 보호를 위해 비공개로 사용하고 싶은 대출 프로토콜을 이용합니다. 온체인상에서 자금을 주고받은 적이 없기 때문에 블록 탐색기에는 연결이 표시되지 않습니다. 하지만 두 세션의 지문을 기록한 데이터 브로커는 하나의 브라우저만 인식하고, 이제 당신의 "비공개" 계정에 법적 이름이 표시됩니다. VPN이나 새로운 지갑 주소가 해결해주지 못하는 개인정보 보호 허점이 바로 이것입니다. 정보 유출이 네트워크가 아닌 브라우저에서 발생하기 때문입니다.
광고 추적 외에도 지문 인식의 위험성은 여전히 존재합니다.
사용자를 추적하는 데 사용되는 동일한 기술이 사용자를 차단하는 데에도 사용됩니다. 사기 방지 및 봇 탐지 시스템은 계정 지문을 사용하여 계정을 식별하고, 여러 거래소 또는 에어드롭 계정을 운영하는 거래자는 계정 설정이 유사해 보일 경우 적발되어 계정이 정지됩니다. 에어드롭 파머들은 이러한 사실을 뼈아프게 경험했습니다. 프로젝트들은 점점 더 공유되는 브라우저 지문과 IP 주소를 기반으로 지갑을 클러스터링하여 "시빌" 계정의 보상을 차단하고, 한 번의 필터로 수개월간의 파밍 노력을 날려버립니다. 이러한 압력 때문에 "탐지 방지" 또는 지문 브라우저 산업 전체가 존재하며, 주로 암호화폐 다중 계정 사용자를 위해 각 프로필에 의도적으로 구별되고 일관된 지문을 부여합니다.
이러한 도구들은 그 자체로 위험을 내포하고 있으며, 합성 프로필이 아닌 실제 브라우저를 기반으로 구축된 AmIUnique 데이터셋은 관리형 핑거프린트가 공급업체의 주장만큼 명확하지 않은 경우가 많은 이유를 보여줍니다. SlowMist의 분석 에 따르면, 2025년 초 한 핑거프린트 브라우저 공급업체에 대한 공급망 공격으로 약 3만 명의 사용자가 피해를 입었고, 약 410만 달러 상당의 암호화폐가 도난당했습니다. 이 사건은 분명한 교훈을 줍니다. 폐쇄형 소스 개인정보 보호 도구에 지갑 정보를 맡기는 것은 그 도구가 해결하려는 문제보다 더 큰 위험을 초래할 수 있습니다. 규제 당국 또한 이 문제를 주시하고 있습니다. 2024년 10월 유럽 데이터 보호 위원회(EDBP)는 ePrivacy 규정에 따라 핑거프린트 사용에는 사전 동의가 필요하다고 확인했으며, 2025년 2월 구글이 광고 스택에서 핑거프린트 사용을 허용하겠다고 발표했을 때, 영국의 데이터 규제 기관은 이를 무책임한 조치라고 비판했습니다.
AmIUnique는 당신을 보호해 줄까요? VPN 제한 사항
AmIUnique는 진단만 할 뿐, 방어는 하지 않습니다. 테스트를 실행한다고 해서 사용자의 추적 가능성이 달라지는 것은 아니며, 단지 점수만 보여줄 뿐입니다. 대부분의 사람들이 가장 먼저 찾는 방어 수단들은 여기서는 거의 효과가 없습니다. VPN은 IP 주소를 숨길 뿐, 사용자의 지문을 숨기지는 않습니다. 시크릿 모드는 쿠키와 검색 기록을 삭제할 뿐, 캔버스와 글꼴에 저장된 정보를 지우지는 않습니다. 둘 다 지문을 그대로 남겨둡니다.
알아두면 유용한 미묘한 함정이 있습니다. 캐슬 연구소의 연구원들이 지적했듯이, 고유한 존재라는 것과 추적당한다는 것은 다릅니다. 진정한 추적은 사용자의 고유한 정보가 시간이 지나도 안정적이고 일관성을 유지해야 하기 때문입니다. 단순한 스푸핑은 오히려 역효과를 낳습니다. 사용자 에이전트를 위조하면서도 실제 GPU가 캔버스에 드러나도록 내버려 두면, 그 불일치 자체가 신호가 되어 아무것도 하지 않은 경우보다 더 쉽게 발각될 수 있습니다.
나만의 고유한 지문을 줄이는 방법
지문은 지울 수 없습니다. 군중 속에 섞여들 수도 있고, 움직이는 표적이 될 수도 있는데, 올바른 선택은 온라인에서 무엇을 하느냐에 달려 있습니다. 이 두 가지 진지한 접근 방식은 정반대 방향으로 나아갑니다.
Tor 브라우저는 균일성 모델을 사용합니다. 즉, 모든 사용자를 최대한 동일하게 보이도록 만드는 방식입니다. 따라서 Tor를 통해 AmIUnique 테스트를 실행하면 일반적으로 고유한 결과가 아닌 거의 0에 가까운 유사도 비율이 반환됩니다. 이는 가장 강력한 방어 수단이지만 대부분의 DeFi 프런트엔드를 무력화시키므로 활발한 암호화폐 사용자에게는 상당한 부담이 됩니다. Brave는 무작위화 방식을 사용하여 캔버스와 오디오에 세션별로 작은 노이즈를 추가하여 사용자의 지문이 매번 바뀌도록 합니다. 이는 사이트를 손상시키지 않으면서 세션 간 추적을 차단합니다. Firefox는 resistFingerprinting 설정을 통해 중간 방식을 제공합니다.
어떤 방법을 선택하든 몇 가지 습관은 전반적으로 도움이 됩니다. 흔하지 않은 브라우저 확장 프로그램이나 사용자 지정 글꼴을 과도하게 사용하는 것은 피하세요. 특이한 선택 하나하나가 혼란을 야기하여 오히려 눈에 띄게 만들고, 주변과 어우러지지 않게 됩니다. 브라우저를 최신 버전으로 업데이트하여 수백만 명의 다른 사용자와 동일한 버전을 사용하세요. 구버전을 사용하는 소수의 사용자들처럼 되지 않도록 주의해야 합니다. 또한 개별 값을 수동으로 조작하려는 충동을 억제하세요. 잘못된 신호는 정직하고 일반적인 설정보다 쉽게 감지될 수 있습니다. 목표는 특별해 보이는 것이 아니라, 평범해 보이는 것입니다.
| 방어 | 모델 | 지문 인식을 중단하나요? | DeFi 친화적인가요? |
|---|---|---|---|
| Tor 브라우저 | 획일성 (모두가 똑같다) | 강한 | 아니요, 대부분의 앱을 작동시키지 않습니다. |
| 용감한 | 무작위화(세션별 노이즈) | 좋은 | 예 |
| 파이어폭스(지문 인식 방지) | 부분적 균일성 | 보통의 | 주로 |
| 브라우저 감지 방지 | 개별 프로필 관리 | 다양함, 신뢰 위험 | 네, 조심스럽게 하세요. |
| VPN / 시크릿 모드 | IP 주소 숨기기 / 쿠키 삭제 | 아니요 | 해당 없음 |
특히 암호화폐의 경우, 실질적인 해결책은 분리입니다. KYC 인증이 필요한 거래에는 강력한 브라우저 프로필을, 온체인 활동에는 별도의 프로필을 사용하고, 두 프로필이 동일한 지문을 공유하지 않도록 해야 합니다.
브라우저 지문 인식에 대한 결론
AmIUnique를 한 번 실행해보고 결과를 진지하게 생각해 보세요. 사용하는 브라우저가 고유하다면, 그것이 바로 가상의 노출이 아니라 실제 노출입니다. 그 다음에는 위협 모델에 대한 판단이 중요합니다. 단순히 광고 추적이 싫다면 Brave로 바꾸면 됩니다. 하지만 KYC 인증을 거친 거래소를 개인 지갑에 연결하는 거래자는 더욱 엄격한 분리가 필요하며, 폐쇄형 탐지 방지 도구를 신뢰하기 전에 신중하게 고려해야 합니다. 불편한 진실은 온라인에서 완벽한 익명성은 대부분 허구라는 것입니다. 중요한 질문은 사라질 수 있느냐가 아니라, 누구에게서 숨으려 하는지, 그리고 실제로 그 설정을 통해 익명성을 확보할 수 있느냐입니다.
