검색 프라이버시를 위한 트랙미낫 2.0: 쿼리 난수화와 사이드채널 방어

초록

TrackMeNot은 사용자의 실제 검색 쿼리를 다량의 가짜 쿼리와 섞어 검색 엔진이 개인 선호를 추론하지 못하도록 하는 브라우저 확장이다. 최신 버전은 쿼리 주제 모델링, 사용자 검색 히스토리 기반 타이밍 모방, 쿠키·클릭·HTTP 헤더 등 브라우저 사이드채널을 차단하는 메커니즘을 도입해 기존 버전의 단점을 보완하고, 현재의 검색 봇 탐지 시스템에도 탐지되지 않음을 실험으로 입증한다.

상세 분석

본 논문은 웹 검색 프라이버시 보호를 위한 세 가지 전통적 접근법—익명화 네트워크(Tor 등), 사적 정보 검색(PIR), 그리고 쿼리 오브퓨스케이션—의 장단점을 상세히 비교한다. 익명화는 IP 주소는 숨기지만, 쿠키·User‑Agent·클릭 로그 등 부수적 식별자를 완전히 차단하기 어렵고, 높은 지연과 탈출 노드의 신뢰 문제를 안고 있다. PIR은 수학적 보안성을 제공하지만, 실제 검색 엔진에 적용하려면 다중 키워드 OR 쿼리를 전송해야 하며, 이는 검색 엔진에게 “PIR 사용자”라는 명시적 지표를 남긴다. 반면 오브퓨스케이션은 모든 사용자를 보호 대상으로 삼아, 가짜 쿼리를 자연스럽게 섞음으로써 개별 사용자를 구분하기 어렵게 만든다.

TrackMeNot 2.0은 “쿼리 불가분성(Query Indistinguishability)”을 핵심 목표로 삼는다. 이를 위해 (1) 주제 모델링: 사용자 히스토리에서 추출한 TF‑IDF 기반 토픽 분포를 기반으로 가짜 쿼리의 주제를 선정한다. (2) 시간 프로파일링: 사용자의 실제 검색 간격을 히스토리에서 학습해 가짜 쿼리 전송 시점에 적용, 시간 분석 공격을 무력화한다. (3) 다양한 소스 활용: RSS 피드, 위키피디아 랜덤 페이지, 공개된 키워드 사전 등을 실시간으로 섞어 가짜 쿼리 풀을 동적으로 업데이트한다.

사이드채널 방어 측면에서는, (a) 헤더 정규화: User‑Agent, Referer, Accept‑Language 등을 표준화하거나 제거해 식별성을 낮춘다. (b) 쿠키 격리: 가짜 쿼리 전송 시 별도 쿠키 저장소를 사용해 실제 세션 쿠키와 혼합되지 않게 한다. (c) 클릭 시뮬레이션 차단: 가짜 쿼리에 대한 클릭 이벤트를 자동으로 발생시키지 않음으로써 클릭 로그 기반 프로파일링을 방지한다. (d) 스크립트/플래시 비활성화: 가짜 쿼리 전송 페이지에서 불필요한 JavaScript·Flash 로드가 일어나지 않도록 제한한다.

실험에서는 구글 검색을 대상으로 30일간 실제 사용자와 가짜 쿼리를 혼합한 트래픽을 수집했다. 결과는 (1) 가짜 쿼리 비율을 30 %까지 높여도 검색 결과 품질에 유의미한 저하가 없었으며, (2) 기존 검색 봇 탐지 시스템(예: Google’s reCAPTCHA, BotScout)에서는 TMN 트래픽을 인간 트래픽과 구분하지 못했다. 또한, 머신러닝 기반 필터링 공격에 대해서도 “합리적 의심(Reasonable Doubt)” 수준을 유지, 50 % 이상의 실제 쿼리를 가짜 쿼리와 구분하지 못하게 했다.

한계점으로는 (i) 가짜 쿼리 생성 비용이 여전히 존재해 대규모 배포 시 서버 부하가 증가할 수 있다. (ii) 사용자가 로그인된 상태에서 검색할 경우, 로그인 쿠키가 가짜 쿼리와 공유되지 않으므로 완전한 보호는 어려울 수 있다. (iii) 검색 엔진이 사용자 맞춤형 광고를 위해 비정형 데이터를 활용한다면, 가짜 쿼리만으로는 완전 차단이 불가능하다.

전반적으로 TrackMeNot 2.0은 기존 오브퓨스케이션 도구의 설계 결함을 보완하고, 실용적인 프라이버시 보호 수준을 제공한다는 점에서 의미가 크다. 특히 “모든 사용자에게 보호를 제공한다는” 철학은 프라이버시‑우선 설계의 좋은 사례로 평가된다.