여태껏인터넷보안및개인정보보호를진지하게생각하고있지않았다면, 지금이야말로관심을가져야할때입니다. 최근해커들의공격이날로심해지고있으며, 인터넷보안및개인정보보호의부재와직접적으로관련된사건또는데이터도난에대한소식을뉴스에서자주접할수있습니다.
물론인터넷개인정보보호가언급될때는 ExpressVPN 나 NordVPN 같은 VPN, 프록시서버, 개인정보보호검색엔진등도항상같이언급되곤합니다. 이들은개인정보보호수준개선및온라인보안취약점해결을위해활용할수있는좋은수단입니다.
위에언급된수단들을통해타인이불법적으로 IP 주소를탈취하는것을막을수있지만, IP 주소탈취외에도또다른위험이도사리고있습니다. 웹 RTC라고부르는것이바로그것입니다.
Wikipedia에따르면웹RTC(웹실시간통신)는간단한 API(앱프로그래밍인터페이스)를통해웹브라우저및모바일앱에 RTC(실시간통신) 기능을제공합니다. 이를통해직접적인 P2P 통신이가능하게되고음성및영상통신기능이웹페이지내에서작동하게됩니다. 여기에는플러그인설치나네이티브앱다운로드가필요하지않습니다.
간단하게말하자면, 웹RTC란중개서버없이웹브라우저간직접소통을가능하게하는표준화된기술들의집합입니다. 웹RTC는빠른속도를자랑하지만, 실제 IP 주소숨김및온라인익명성을완벽히보장하지않는다는단점이있습니다.
두개의기기사이에웹RTC를통한통신이이루어질때는 (이는 Firefox, Chrome, Opera, Microsoft Edge에서기본활성화되어있는기능임) 각기기가서로의실제 IP 주소를알고있어야합니다. 이처럼기기들이서로의 IP 주소를확인하는과정은제 3자가 IP 주소를알아내는데활용되기도합니다.
이를웹RTC 누출이라고합니다.
웹RTC 누출에대해들어본적이없을수도있습니다. 그러나 VPN이자신을보호해줄것이라고믿는다면다시생각해보아야합니다. 웹RTC 누출은세간에잘알려지지않았으며, 쉽게간과하곤하는문제입니다. 때문에일부 VPN 업체들은이에대한대비가안되어있을수도있습니다.
웹RTC는상호연결설정(ICE) 프로토콜을통해 IP를파악합니다. ICE는 IP를발견해내는여러기술을가지고있는프로토콜로서, 기술중에는 STUN/TURN 서버또는호스트후보가있으며, 두기술모두사용자가눈치채지못하는사이에브라우저를조작하여 IP 주소를캐낼수있습니다.
해당기술은특정브라우저에맞게적용되므로다수의브라우저를주기적으로사용한다면정보가노출될위험이큽니다.
그렇다면웹RTC 누출에어떻게대비해야할까요? 취약점에대한해결책이있는걸까요?
1. 웹RTC 누출을방지하는 VPN 사용하기
웹RTC 누출을막는 VPN은소수에불과합니다. 대표적인것으로 ExpressVPN 와 NordVPN 이있습니다. ExpressVPN에연결된상태에서브라우저에서새로운웹페이지를열면공용 IP 주소가누출되지않습니다. 이외에또무엇이있을까요?
ExpressVPN같은 VPN은브라우저확장 (ExpressVPN 브라우저확장)이있어웹RTC를완전히비활성화하고취약점에대한문제를해결할수있습니다.
2. Manually disabling WebRTC in your browser 브라우저에서수동으로웹RTC 비활성화하기
VPN에전적으로의존하기보다는브라우저에서웹RTC를수동으로비활성화하는것도누출을막는하나의방법이될수있습니다. 아래는각브라우저에서웹RTC를비활성화하는방법입니다.
• Firefox
– 주소창에about:config을입력합니다.
– '위험을감수하겠습니다' 버튼이보이면클릭합니다.
– 검색창에media.peerconnection.enabled을입력합니다.
– 더블클릭하여값을 “아니오”로변경합니다.
이는모바일과데스크톱버전모두에서할수있습니다.
• Opera
Opera의웹RTC를비활성화하려면먼저 '웹RTC 누출방지(WebRTC Leak Prevent)'라는확장프로그램을다운로드해야합니다. 다운이완료되면다음과같은과정을따릅니다.
– 확장프로그램의설정에서보기(View) → 확장보기(Show Extensions) → 웹RTC 누출방지(WebRTC Leak Prevent) → 옵션(Options) 을클릭합니다.
– 드롭다운메뉴를열고 '프록시되지않은 UDP 비활성화 (Disable non-proxied UDP (force proxy))' 항목을선택합니다.
– 설정적용을클릭합니다.
먼저확장프로그램을다운받는것을잊지마세요.
• Safari
Safari는웹RTC를비활성화할필요가없는브라우저입니다. 대부분의다른브라우저보다엄격한허용모델로구축되어있기때문입니다.
• Microsoft Edge
현재이글이작성되는시점에서는 Microsoft Edge의웹RTC 기능을완전히비활성화할수있는지여부가밝혀지지않았습니다. 한가지해볼수있는것은로컬 IP 주소를숨기도록설정하는것입니다. 다음은그방법입니다.
– 주소창에서 about:flags를입력합니다.
– 웹RTC 연결관련로컬 IP 주소숨기기(Hide my local IP adress over WebRTC connections) 항목을찾아체크합니다.
• Chrome (데스크톱버전)
Chrome 데스크톱버전에서는 WebRTC 비활성화가불가능합니다. 한가지방법은추가프로그램(Add-on)을사용하는것입니다. 이는 Chrome 대신아예다른브라우저를쓰지않는이상유일한방법입니다. 다만추가프로그램만으로는웹RTC의취약점문제를완전히해결할수없다는점에유의해야합니다.
• Chrome (모바일버전)
– Android 기기의 Chrome에서chrome://flags/#disable-webrtc를엽니다.
– 스크롤다운하여 'WebRTC STUN origin header' 항목을찾은후비활성화합니다. 추가적으로 WebRTC Hardware Video Encoding/Decoding 항목을비활성화할수도있습니다.
• Brave
– 방법 1: 환경설정(Preferences) >보호(Shields) >지문보호(Fingerprinting Protection) 순서로클릭합니다. 그리고모든지문차단(Block all fingerprinting) 항목을선택합니다.
– 환경설정(Preferences) >웹RTC IP 취급정책(WebRTC IP Handling Policy) 을클릭한후프록시되지않은 UDP 비활성화하기(Disable Non-Proxied UDP)를선택합니다.
2015년전에는웹RTC에대해알려진바가없었습니다. 웹RTC에대한사실이알려진지금, 인터넷개인정보보호에대해민감한사람이라면웹RTC 누출에대해서도관심을가질필요가있습니다. 유념해야할점은통상적으로데이터도난, 해킹, IP 주소노출등이발생하는경로가브라우저라는것입니다.
온라인개인정보보호는할수있는모든대비를해도항상부족하기만한것입니다. 위에서설명한내용을잘참고하여웹RTC 누출관련취약점문제를해결하시기바랍니다.