새해 파이어폭스의 인터넷 익명성 보호 기능이 한층 강화될 전망이다. 익명성 보호에 초점을 맞춘 '토르(Tor)' 브라우저 개발팀이 최신 프라이버시 기술을 파이어폭스 정식판에 함께 제공하기로 했다. 토르는 세계 각국을 겨냥한 미국 정부의 감청프로그램 운영 현황을 드러낸 미국 국가안보국(NSA)의 기밀문서를 폭로해 유명해진 에드워드 스노든이 은근히 밀어주는 브라우저이기도 하다.
토르는 '양파 라우터(The Onion Router)'를 줄인 이름으로, 인터넷에서 익명성을 지켜주는 네트워크 서비스와 그 브라우저의 이름이다. 웹사이트 방문자의 익명성은 토르 네트워크상의 경유지 '릴레이(Relay)'를 암호화 접속으로 여러번 거치는 식으로 실현된다. 토르는 영국 일간지 가디언이 운영하는 내부고발자용 제보시스템 '시큐어드롭'에 사용됐다. 페이스북은 3년 전부터 토르 사용자를 위한 접속을 지원 중이다.
[☞참조링크: Tor Project: Overview]
[☞참조링크: Guardian launches SecureDrop system for whistleblowers to share files]
[☞관련기사: 페북, 비밀 네트워크 '토르'와 손잡았다]
2016년말 게재된 공식블로그 포스팅에 따르면 이전부터 토르와 파이어폭스는 가까운 관계였다. 토르 브라우저 소스코드의 대부분(95% 가량)을 파이어폭스에서 가져왔기 때문이다. 그런데 두 브라우저 개발팀은 지난해부터 아예 함께 일하기 시작했다. 파이어폭스 사용자에게 더 많은 프라이버시 보호 기능을 제공하고 결과적으로 두 브라우저 모두 더 안전하게 만드는 일을 더 쉽게 하겠다는 취지였다.
[☞참조링크: Tor at the Heart: Firefox
양측이 지난해 시작한 협력은 토르 브라우저를 위한 패치를 만들고 그걸 파이어폭스에도 다시 반영하는 '업리프트(uplift)' 방식에서 출발했다. 업리프트란 토르 브라우저에서 기본으로 써야 하는 신기능이나 프라이버시 패치를, 그 기반 오픈소스인 파이어폭스에 미리 만드는 방식이다. 다만 파이어폭스는 신기능을 '비활성' 상태로 품는다. 신기능 때문에 렌더링 호환성같은 부분에 문제가 생길 수도 있어서다.
이런 업리프트 방식으로 구현될 첫 신기술이 '퍼스트파티아이솔레이션(First Party Isolation)'이다. 이는 웹사이트의 추적에서 방문자를 보호해 주기 위한 기술이다. 지난해 6월 파이어폭스 테스트판에 구현된 다중 로그인 기능 '컨테이너스'를 만드는데도 쓰였다. 모질라는 토르 브라우저용 퍼스트파티아이솔레이션 기술을 가져와 파이어폭스용으로 구현할 전담팀을 꾸렸다.
[☞관련기사: '한 사이트에 여러 계정 로그인', 파이어폭스는 OK]
[☞참조링크: Identifier Unlinkability Defenses in the Tor Browser
토르 측은 파이어폭스용 퍼스트파티아이솔레이션 기능을 만들 때 "테스트와 검수(QA)를 거쳐 토르 브라우저만큼 탄탄함을 보장하고 어떤 면에서는 훨씬 더 강력한 (프라이버시) 보호를 수행하게" 할 거라면서, 이 기능은 "파이어폭스에서 호환성 문제 때문에 비활성 상태로 제공되지만, 사용자는 about:config 페이지의 'privacy.firstparty.isolate' 항목을 'true' 값으로 설정해 사용할 수 있다"고 밝혔다.
올초 정식 배포되는 파이어폭스52 버전에 퍼스트파티아이솔레이션 기능이 탑재된다. 파이어폭스52 버전은 차세대 토르 브라우저의 기반 역할도 하게 된다. 따라서 향후 토르 브라우저 개발팀은 퍼스트파티아이솔레이션 기능을 별도로 패치하지 않아도 된다. 이전까지는 파이어폭스에 없었기 때문에, 토르 브라우저 개발팀이 최신 파이어폭스 버전이 나올 때마다 일일이 만들어 넣어야 했다.
관련기사
- 익명네트워크 토르, 크라우드펀딩으로 20만달러 모금2017.01.06
- 토르 프로젝트, 버그 퇴치에 현상 공모2017.01.06
- 스노든 다룬 영화 감독 "토르 없었다면 영화도 없었다"2017.01.06
- 익명 네트워크 토르, 비밀 메신저 만든다2017.01.06
양측의 개발팀은 퍼스트파티아이솔레이션 기능 외에도 다른 여러 보안 기술 개발과 구현에 업리프트 방식으로 협력할 방침이다. 그 일환으로 여러가지 브라우저 사용자 지문채취(browser fingerprinting)를 방지하기 위한 패치를 계획했다. 또 그간 토르 브라우저용으로 개발된 샌드박싱 기술을 2017년초 제공할 파이어폭스 브라우저용 샌드박싱 기능으로 함께 만드는 방법도 강구되고 있다.
토르 측은 "마지막으로, 우리는 보안 취약점이 우려됨에 따라 모질라와 토르 프로젝트간 지속 협력의 가치를 깨달았다"며 "이 협력의 중요성은 불과 몇 주 전 파이어폭스에 담긴 보안취약점을 사용해 토르 브라우저를 겨냥한 제로데이 익스플로잇 사례가 발생했음을 우리가 동시에 인지한 시점에 드러났다"고 밝혔다. 당시 양측은 24시간만에 해당 취약점을 보완한 두 브라우저를 개발, 테스트, 배포해냈다.