토르로 숨었는데 파이어폭스가 당신을 팔았다

“토르 브라우저만 쓰면 안전하다"고 믿으셨나요? 최근 보안 리서처들이 찾아낸 Firefox의 IndexedDB 취약점은 그 믿음에 큰 금을 냈습니다. 익명으로 쓰던 세션과 실명으로 쓰던 세션을 같은 사람의 것으로 묶어낼 수 있는 구멍이 발견된 겁니다.

무엇이 발견되었나

핵심은 Firefox가 IndexedDB(브라우저 내장 데이터베이스) 내부에서 사용하는 식별자가 예상보다 오래, 그리고 여러 컨텍스트에 걸쳐 살아남는다는 사실입니다. 원래 브라우저는 프라이빗 창, 일반 창, 토르 세션 등을 격리해야 합니다. 그런데 이번에 드러난 문제는 특정 경로로 접근했을 때 동일한 안정적 식별자가 새어나온다는 점이에요.

쉽게 말해, 낮에 실명으로 로그인하던 사이트와 밤에 토르로 익명 활동하던 사이트가 같은 브라우저 엔진 위에서 돌아간다면, 이 식별자를 수집하는 추적 업체가 “두 세션은 같은 디바이스"라고 역으로 이어붙일 수 있다는 뜻입니다.

Fingerprint.com이 왜 이름에 등장하나

이 이슈가 커진 배경에는 Fingerprint.com 같은 상용 디바이스 식별 업체들이 있습니다. 이들은 합법적으로 봇 탐지와 사기 방지를 위해 브라우저 지문을 수집한다고 설명해왔는데요. 문제는 “정당한 용도"로 쌓인 기술이 프라이버시 측면에서는 이중날이라는 겁니다.

특히 이번 취약점은 쿠키를 전부 지우고, VPN을 켜고, 토르까지 물려도 우회가 어렵다는 점이 섬뜩합니다. 사용자가 통제할 수 있는 영역이 아니라, 브라우저 내부 동작에서 식별자가 새기 때문입니다.

왜 지금 이게 중요한가

토르 브라우저는 Firefox ESR을 기반으로 만들어집니다. 즉 Firefox 본체의 동작 방식에 버그가 있으면 토르도 같은 문제를 안고 갑니다. 내부 격리를 맡은 레이어가 뚫리면, 익명성 보장이라는 전제가 흔들리는 거죠.

커뮤니티에서는 “기자, 내부고발자, 활동가가 실제로 위험해질 수 있는 종류의 버그"라는 반응이 나옵니다. 단순히 광고가 더 정교해지는 수준이 아니라, 신원이 특정되면 생명과 직결되는 사람들의 워크플로우가 깨질 수 있다는 경고입니다.

그래서 지금 뭘 해야 하나

첫째, Firefox와 Tor Browser의 업데이트를 확인하세요. Mozilla와 Tor Project 모두 관련 패치를 빠르게 배포해왔고, 이번에도 수정 버전이 나오는 대로 적용하는 게 최선입니다.

둘째, 진짜 익명성이 필요한 작업이라면 브라우저 프로필을 섞지 않기가 여전히 기본 원칙입니다. 같은 기기, 같은 브라우저에서 실명 활동과 익명 활동을 번갈아 하는 습관은 이런 버그가 없어도 여전히 위험합니다.

셋째, “토르만 쓰면 끝"이라는 관념은 내려놓는 게 좋습니다. 위협 모델에 따라 Tails 같은 전용 OS, 별도 디바이스, 네트워크 격리까지 고려해야 하는 작업이 있습니다.

마무리하며

이번 사건이 주는 메시지는 분명합니다. 익명성은 한 번의 설정으로 완성되지 않는다는 것. 브라우저 한 줄의 코드가 당신의 정체를 바꿀 수 있는 시대에, 우리는 어떤 도구를 얼마나 믿을 수 있을까요? 프라이버시를 지킨다는 건, 결국 도구의 내부를 의심할 줄 아는 습관에서 시작되는지도 모르겠습니다.