CreepJS: 브라우저 지문 테스트가 당신을 어떻게 인식하는지
일반 웹페이지를 열면, 아무것도 클릭하기 전에 이미 수백만 개의 브라우저 중에서 당신의 브라우저를 찾아낼 수 있습니다. 로그인도, 쿠키도, 권한 요청도 필요 없습니다. 검색 기록을 삭제하고, 시크릿 모드로 전환하고, VPN을 사용해도 페이지는 여전히 당신을 식별할 수 있습니다. 이는 당신의 주소 때문이 아니라, 웹 브라우저가 무료로 제공하는 수많은 작은 특징들을 통해 이루어집니다. CreepJS는 당신의 정보가 얼마나 노출되어 있는지를 보여주는 도구이며, 일단 그 작동 방식을 알게 되면 웹이 더 이상 익명처럼 느껴지지 않을 것입니다. 이 가이드에서는 CreepJS가 무엇인지, 어떻게 당신을 식별하는지, 브라우저 개인정보 침해에 맞서는 방법, 그리고 여러 개의 암호화폐 계정을 운영하는 사람이 왜 이 문제에 관심을 가져야 하는지 설명합니다.
브라우저 핑거프린팅이란 무엇인가요?
브라우저 핑거프린팅 은 태그 없이 사용자를 식별하는 방식입니다. 기기에 쿠키를 저장하고 나중에 다시 읽어들이는 대신, 스크립트가 웹페이지 로딩 시 브라우저가 드러내는 수십 가지 세부 정보를 조용히 수집하여, 이를 조합해 사용자를 고유하게 식별하는 단일 값으로 만들어냅니다. 화면 해상도, 설치된 글꼴, 시간대, 사용자 에이전트 문자열, 그래픽 카드가 이미지를 렌더링하는 방식 등은 각각은 평범해 보이지만, 이러한 정보들을 종합하면 특정 브라우저만을 식별할 수 있게 됩니다.
그 조합은 얼마나 독특할까요? EFF의 획기적인 연구 에서 피터 에커슬리는 직접 테스트에 참여한 방문자 중 83.6%가 고유한 브라우저를 사용했으며, 플러그인 정보까지 포함하면 그 비율은 94.2%까지 상승했다고 밝혔습니다. 브라우저 지문은 약 18.1비트의 식별 정보를 담고 있습니다. 이후 2018년에 한 유명 웹사이트 방문자 200만 명을 대상으로 한 연구에서는 일반 사용자들이 비슷한 설정에 집중하는 경향 때문에 실제 고유성은 약 33.6%로 더 낮게 나타났습니다. 진실은 이 두 수치 사이에 있으며, 어떤 결과가 나오든 브라우저가 독특할수록 고유한 지문이 사용자를 더 쉽게 노출시킨다는 것을 의미합니다.
이 기술은 대부분의 사람들이 생각하는 것보다 훨씬 더 널리 사용되고 있습니다. 프린스턴 대학교에서 상위 100만 개 웹사이트를 분석 한 결과, 약 1.6%의 웹사이트에서 캔버스 핑거프린팅이 실행되고 있는 것으로 나타났으며, 가장 인기 있는 사이트에서는 5%를 넘어섰고, 이후 조사에서는 2021년에는 상위 10만 개 웹사이트의 약 10%에 달하는 것으로 추정되었습니다. 또한, 이 기술은 고르게 적용되지 않습니다. AmIUnique의 연구에 따르면 데스크톱 브라우저의 약 90%가 고유한 반면, 하드웨어가 비교적 균일한 모바일 환경에서는 약 81%만이 고유한 것으로 나타났습니다. 어떤 식으로든, 핑거프린팅은 여러분이 이미 방문하는 많은 웹사이트에 조용히 숨어 있습니다.
CreepJS는 무엇이며 누가 만들었습니까?
CreepJS는 사용자의 데이터를 판매하려는 추적 프로그램이 아닙니다. 개발자 Abraham Juliot이 대부분의 개인정보 보호 체계가 얼마나 허술한지, 그리고 핑거프린팅이 실제로 어떻게 작동하는지를 보여주기 위해 만든 오픈소스 핑거프린팅 라이브러리이자 미러 사이트입니다. 브라우저에서 데모 페이지에 접속하면 CreepJS가 테스트를 실행하고, 브라우저의 식별 가능성과 정직성에 대한 보고서를 제공합니다.
이 프로젝트는 관대한 MIT 라이선스 하에 GitHub 에서 약 2,400개의 별을 받으며 운영되고 있으며, 20개 이상의 테스트 범주를 한 페이지에 통합했습니다. 실제 봇 차단 도구라기보다는 연구 벤치마크로 이해하는 것이 가장 적절하며, 개인정보 보호 연구원과 안티 탐지 도구 개발자들이 자신들의 성과를 측정하는 기준으로 사용합니다. 은밀한 보안 시스템이 CreepJS를 통과하지 못한다면, 실제 상용 핑거프린팅 서비스도 통과하지 못할 가능성이 높습니다. 바로 이러한 이유로 CreepJS는 모든 연구자들이 공부하는 비공식 시험과 같은 존재가 되었습니다.
이 도구가 제공하는 보고서는 무료 도구치고는 이례적으로 상세합니다. 핵심적인 신뢰도 점수 외에도 측정된 모든 신호를 나열하고, 조작된 것으로 보이는 신호를 표시하며, 페이지를 새로고침했을 때 지문이 얼마나 안정적으로 유지되는지 보여줍니다. 개발자들이 개인정보 보호 설정을 변경했을 때 실제로 어떤 변화가 있었는지, 아니면 단순히 그렇게 느껴졌을 뿐인지 알고 싶을 때 가장 먼저 찾는 이유가 바로 이것입니다.
CreepJS의 내부 작동 방식
대부분의 지문 검사는 단순히 사용자의 설정을 읽는 데 그칩니다. 하지만 CreepJS는 한 단계 더 나아가 브라우저가 실제로 이미지를 그리거나 3D 렌더링을 하고, 생성된 사운드에 대한 오디오 지문 검사를 실행하고, 타이머를 작동시키는 등의 작업을 수행하도록 만듭니다. 그리고 각 작업이 어떻게 수행되는지 분석합니다. 작업 내용보다 작업 방식을 위조하는 것이 훨씬 어렵기 때문에 CreepJS는 그 명성을 얻게 된 것입니다.
CreepJS가 수집하는 신호
이 도구는 다양한 소스에서 정보를 수집하며, 각 브라우저 속성은 기기에 대한 약간씩 다른 정보를 드러냅니다. 아래 표는 주요 속성과 그 속성이 제공하는 정보를 보여줍니다.
| 신호 | 그것이 드러내는 것 |
|---|---|
| 캔버스 | 기기가 텍스트와 도형을 렌더링할 때 발생하는 미세한 픽셀 차이 |
| WebGL / GPU | 3D 렌더링을 통해 드러나는 그래픽 하드웨어 및 드라이버 |
| 웹 오디오 | 오디오 스택이 생성된 음파를 처리하는 방식 |
| 설치된 글꼴 | 시스템에 있는 정확한 글꼴 목록 |
| 화면 해상도 | 디스플레이 크기, 색심도 및 픽셀 비율 |
| 사용자 에이전트 | 브라우저, 버전 및 운영 체제 관련 정보 |
| 웹RTC | VPN을 통해 유출될 수 있는 로컬 네트워크 정보 |
스크립트는 일반 JavaScript와 브라우저 API를 통해 이러한 정보 대부분을 읽어들이는데, 여기에는 브라우저가 보고하는 플러그인 정보도 포함됩니다. CreepJS는 웹 워커와 숨겨진 프레임 내부에서 동일한 프로브를 실행하여 응답을 교차 검증합니다. 변조된 브라우저는 메인 창에서는 한 응답을, 다른 곳에서는 다른 응답을 보여주는 경우가 많기 때문입니다.
신뢰도 점수, 엔트로피, 그리고 거짓말
CreepJS는 모든 신호를 해시 값으로 압축하여 전체 프로필을 나타내는 간결한 값을 생성합니다. 이 값을 기반으로 신뢰도 점수를 산출하는데, 이 점수는 사용자의 희귀성보다는 브라우저 사용 패턴이 얼마나 일관적이고 예상 가능한지를 나타냅니다. 단순하고 일관성 있는 설정은 흔하더라도 높은 점수를 받습니다.
이 부분의 핵심은 바로 거짓 탐지 기능입니다. CreepJS는 사용자가 브라우저를 조작할 때 발생하는 작은 모순, 즉 "거짓말"을 감지합니다. 예를 들어, 사용자 에이전트는 macOS라고 주장하지만 설치된 글꼴 및 그래픽 스택은 분명히 Windows인 경우를 말합니다. 하나의 값을 위조하면 다른 곳에서 불일치가 발생하고, 그 불일치는 숨기려 했던 원래 신호보다 훨씬 더 두드러지게 나타나는 경우가 많습니다.
단순히 레이블을 확인하는 것 이상의 작업이 필요합니다. CreepJS는 특정 작업에 걸리는 시간을 측정하고 자바스크립트 엔진이 계산 결과를 반올림하는 방식을 검사합니다. 엔진 버전마다 삼각 함수 계산 반올림 방식이 미묘하게 다르기 때문입니다. 가짜 버전 번호로는 실제 엔진의 계산 방식을 바꿀 수 없습니다. 이러한 은밀한 검사들을 여러 개 쌓아 올리면 아무리 그럴듯해 보이는 위장이라도 결국에는 진짜처럼 보이게 됩니다.
CreepJS가 헤드리스 브라우저에 대해 밝혀낸 사실
스크래퍼와 봇 제작자들이 불안해하는 부분이 바로 이 지점입니다. 일반적인 브라우저 자동화 도구는 기본 Selenium이나 Playwright 세션에서 명백한 단서를 발견하기 때문에 거의 즉시 탐지됩니다. navigator.webdriver 플래그가 true로 설정되어 있고, HeadlessChrome 사용자 에이전트가 사용되며, 이러한 신호들은 실제 사용자의 브라우저 환경과는 전혀 다릅니다. 스텔스 패치는 이러한 단서들을 희미하게 만들 뿐, 완전히 없애지는 못합니다.
CreepJS를 대상으로 한 독립적인 테스트 결과는 단순한 봇과 정교하게 만들어진 봇 사이의 격차가 얼마나 큰지를 보여줍니다. 아래 수치는 각 도구를 동일한 지문 테스트에 적용하여 봇 탐지 성능을 분석한 보고서에서 발췌한 것입니다.
| 자동화 설정 | CreepJS 감지 |
|---|---|
| 바닐라 셀레늄 / 극작가 | 약 100% 감지됨 |
| 스텔스 플러그인을 사용하는 극작가 | 약 40% 검출됨 |
| 감지되지 않음-ChromeDriver | 약 31% 검출됨 |
| 카무폭스(강화된 파이어폭스) | 헤드리스 점수가 거의 0%에 가깝습니다. |
웹 스크래퍼를 개발하는 사람이라면 누구나 명심해야 할 교훈은 분명합니다. 플래그 하나만 끄는 것으로는 충분하지 않습니다. CreepJS는 전체 프로필이 제대로 작동하는지 확인하기 때문입니다. CreepJS에서 제대로 위장하지 않은 자동화 도구는 정직한 도구보다 점수가 떨어지는 경우가 많습니다. 목표는 브라우저에서 보고할 내용이 전혀 남지 않도록 완전히 제거하는 것이 아닙니다. 프로필 자체가 의심스럽기 때문입니다. 대신, 헤드리스 세션이 실제 화면에서 실제 브라우저처럼 렌더링되고, 동작하고, 실행 시간을 정확하게 맞추도록 만드는 것이 목표입니다. 이는 단순히 설정을 하나 끄는 것보다 훨씬 더 어려운 과제입니다.
암호화폐 계정에 대한 CreepJS 탐지 우회
제가 CreepJS 설명 자료에서 거의 보지 못했던 관점을 하나 소개합니다. 거래소와 에어드롭 플랫폼이 방문자의 지문을 수집하는 이유는 카지노에서 게임 진행 상황을 감시하는 것과 같은 이유입니다. 즉, 한 사람이 여러 계정을 몰래 운영하는 것을 적발하기 위해서입니다. 하나의 공유된 지문을 통해 여러 개의 "개별" 지갑이 하나의 기기에 연결되어 있음을 밝혀낼 수 있습니다.
거래소와 에어드롭에서 사용자의 지문 정보를 수집하는 이유는 무엇일까요?
이 문제는 실제 돈과 관련된 문제입니다. 레이어제로 프로토콜이 2024년 5월 에어드롭 시빌 공격 단속을 실시했을 때, 803,093개의 주소가 다중 계정 파밍 의심 사례로 분류되었고, 그 결과 전체 신청자의 약 59%가 제거되었습니다. 기기 및 브라우저 지문 인식은 플랫폼에서 이러한 계정들을 연결하는 데 사용하는 가장 강력한 도구 중 하나입니다. 새로운 지갑은 몇 초 만에 생성할 수 있지만, 완전히 새로운 지문을 구축하는 것은 훨씬 더 어렵습니다.
안티 탐지 브라우저의 실제 기능은 무엇일까요?
바로 이 지점에서 안티 감지 브라우저가 등장합니다. Multilogin, GoLogin, AdsPower, Dolphin Anty 등이 이 범주에 속합니다. 이러한 브라우저들은 사용자의 지문을 숨기는 대신, 각 프로필에 고유하고 일관성 있는 프로필을 부여하여 모든 계정이 마치 다른 평범한 사람처럼 보이게 합니다. 즉, 동일 인물이 위장한 것처럼 보이지 않도록 하는 것입니다. 수요가 폭발적으로 증가했으며, AdsPower만 해도 2020년 약 10만 명에서 2025년에는 약 900만 명으로 사용자 수가 증가할 것으로 예상하고 있습니다. 이들의 핵심은 일관성입니다. 완벽하게 일관된 프로필은 세 군데를 교묘하게 수정하고 네 번째 곳에서 모순되는 프로필보다 훨씬 효과적이기 때문입니다. 내부적으로 각 프로필은 일치하는 값 세트를 제공합니다. 믿을 만한 사용자 에이전트, 글꼴 목록, GPU 문자열, 화면 크기, 시간대는 모두 동일한 가상 장치에 속하며, 우수한 도구는 이러한 값들을 하나의 단위로 순환 적용하여 하나의 필드를 수정하고 나머지 필드가 제대로 맞는지 확인하는 방식을 사용하지 않습니다. 하지만 한 가지 주의할 점이 있습니다. 깨끗한 지문은 로그인 개인정보를 보호하지만, 자체 관리 및 철저한 보안 조치를 대체하는 것은 아니며, 여러 계정을 운영하는 것은 플랫폼 약관을 위반할 수 있습니다.
CreepJS 신뢰 점수를 낮추는 방법
구체적인 공략은 생각보다 드물며, 그 이면에는 역설적이게도 평범하고 일관성 있게 보이는 것이 어설프게 보이는 것보다 낫다는 원칙이 숨어 있습니다. 다음은 차근차근 따라가 볼 만한 합리적인 순서입니다.
1. 실제 공통 장치 프로필에서 시작하고 개별 값을 부분적으로 위조하려는 충동을 억제하십시오. 불일치가 발생할 때마다 CreepJS가 이를 거짓으로 표시할 수 있기 때문입니다.
2. 완벽한 익명성을 원한다면 Tor 브라우저를 사용하세요. Tor 브라우저는 레터박싱을 통해 화면을 고정된 크기로 나누고 모든 Windows 컴퓨터에서는 동일한 Windows를, 모든 Mac 컴퓨터에서는 동일한 macOS를 표시하도록 하여 사용자가 다른 사용자들과 자연스럽게 어우러지도록 합니다.
3. Brave를 예로 들어보겠습니다. Brave의 파블링(farbling) 기능은 캔버스와 오디오 읽기에 세션별로 약간의 무작위 변화를 추가하여 값이 하나의 안정적인 ID를 형성하는 대신 사이트 간에 변동되도록 합니다.
4. 특이한 확장 기능이나 특이한 설정은 피하세요. 특이한 선택은 엔트로피를 높여 오히려 더 독특하게 만들 뿐입니다.
5. 여러 계정을 사용하는 경우, 수많은 개인 정보 보호 추가 기능보다는 제대로 된 탐지 방지 브라우저와 일관된 프로필을 사용하는 것이 좋습니다. 그런 다음 CreepJS 데모에서 다시 테스트하여 헤드라인 점수뿐 아니라 거짓말의 수를 확인하세요.
실제로 중요한 계정부터 시작하고, 정직하게 테스트하며, 결과를 첫 시도에 만점을 받아야 하는 점수가 아니라 피드백으로 받아들이세요.
브라우저 지문 인식 우회의 한계
지문 인식을 완전히 피하는 것은 불가능합니다. 그저 주변 환경에 녹아드는 것뿐이죠. CreepJS는 그 은폐가 얼마나 허술한지를 보여주기 위해 만들어졌습니다. 지문 인식 방지 도구는 발전했지만, 탐지 방법 또한 마찬가지로 발전했습니다. 더 나아가, 전반적인 추세는 개인정보 보호 측면에서도 바람직하지 않습니다. 구글은 수년간 타사 쿠키를 없애겠다고 약속해 왔지만, 2025년 4월에도 이를 유지했습니다. 그리고 그해 초에는 광고주에 대한 자체적인 지문 인식 금지 조치를 조용히 해제했는데, 이는 영국의 데이터 규제 기관으로부터 무책임한 행위라는 비판을 받았습니다. 지문 인식 기술은 사라지는 것이 아니라 오히려 확산되고 있으므로, 현실적인 목표는 완전한 투명화가 아니라 군중 속에 자연스럽게 녹아드는, 엔트로피가 낮은 일관된 프로필을 만드는 것입니다.
지문, CreepJS 및 개인 정보 보호
CreepJS를 한 번 실행해보고, 그 신뢰도 점수가 주는 경각심을 느껴보세요. 목표는 유령처럼 숨어 지내는 것이 아니라, 평범하고 일관성 있게 행동하는 것입니다. 익명성이 필요할 때는 Tor를, 여러 계정을 관리할 때는 일관성 있는 탐지 방지 프로필을 사용하는 것처럼, 상황에 맞는 도구를 활용해야 합니다. 신원 도용은 철저히 위장하는 게임입니다. 따라서 진정한 질문은 간단합니다. 당신의 브라우저가 웹에 어떤 정보를 제공하고 있는지 마지막으로 확인한 것이 언제였습니까?
