대부분의 사람들은 시크릿 모드로 탐색하면 아무도 자신의 행동을 볼 수 없다고 생각합니다. 시크릿 탭을 열고, 민감한 사이트 몇 군데를 방문하고, 창을 닫습니다. 끝. 안전하다고 느끼죠.
그렇지 않습니다. 전혀요.
Chrome, Firefox, Safari의 시크릿 모드는 창을 닫을 때 로컬 방문 기록을 삭제합니다. 그게 전부입니다. ISP는 여전히 트래픽을 볼 수 있습니다. 방문한 웹사이트는 여전히 IP 주소를 기록합니다. 회사 네트워크는 여전히 DNS 쿼리를 저장합니다. 그리고 광고주들은 브라우저 핑거프린팅을 통해 쿠키 없이도 99% 이상의 정확도로 여러분을 식별할 수 있습니다.
흔적 없이 탐색하려면 “흔적”이 실제로 무엇을 의미하는지 이해해야 합니다. 그래야 무언가를 할 수 있습니다.
시크릿 모드는 생각과 다릅니다
FTC와 여러 학술 연구들은 사용자들이 시크릿 모드를 크게 오해하고 있다는 점을 반복해서 지적했습니다. 시카고 대학교의 한 연구에서 참가자의 절반 이상이 시크릿 브라우징이 웹사이트로부터 위치를 숨겨준다고 생각했습니다. 그렇지 않습니다.
시크릿 모드는 내 기기가 방문 기록을 저장하지 않도록 합니다. 이건 분명 유용합니다. 공용 노트북에서 생일 선물을 사거나, 자동 완성에 나타나지 않길 바라는 의사 증상 검색, 방금 검색한 내용 기반의 맞춤 광고 회피 같은 상황에서요. 하지만 외부 당사자인 웹사이트, ISP, 네트워크 운영자로부터 보호하는 기능은 전혀 없습니다.
이 혼란은 부분적으로 브라우저 제조사들의 잘못입니다. “시크릿 브라우징”이라는 이름이 마치 투명인간이 된 것 같은 느낌을 줍니다. 하지만 실제로는 그냥 깔끔하게 지우는 것뿐입니다.
온라인에서 실제로 신원이 드러나는 방법들
탐색 중에 흔적을 남기는 다섯 가지 주요 방법이 있으며, 대부분의 개인정보 보호 조언은 그 중 하나나 둘 정도만 다룹니다.
IP 주소는 연결하는 모든 서버에 노출됩니다. 대략적인 위치(보통 도시 수준)와 ISP 계정에 연결됩니다. 대부분의 법적 체계에서 ISP는 적법한 요청이 있을 때 IP를 신원과 연결할 수 있습니다.
DNS 쿼리는 브라우저가 페이지를 로드하기 전에 발생합니다. URL을 입력하면 기기가 DNS 서버에 도메인 이름을 IP 주소로 변환해달라고 요청합니다. 대부분의 사람들의 DNS 쿼리는 기본적으로 ISP 리졸버로 전송되어, ISP에게 HTTPS 사이트를 포함한 모든 방문 도메인의 거의 완전한 목록을 제공합니다. 암호화는 연결 내용을 보호하지만, DNS 누출은 목적지를 드러냅니다.
쿠키와 트래킹 픽셀은 적극적으로 삭제하지 않으면 세션 간에 유지됩니다. Google, Meta, 광고 네트워크 같은 회사가 심어놓은 서드파티 트래커들은 사이트를 넘나들며 여러분을 추적하고 행동 프로필을 만듭니다.
브라우저 핑거프린팅은 가장 교묘한 방법입니다. 쿠키도 로그인도 필요 없습니다. 웹사이트는 운영 체제, 화면 해상도, 설치된 폰트, WebGL 렌더러, 시간대, 배터리 상태, 플러그인 목록 등 수십 가지 신호를 조합해 특정 브라우저를 식별합니다. 이 조합은 기기마다 고유한 경우가 많습니다. 더 나쁜 것은, 확장 프로그램을 추가하거나 설정을 조정해 핑거프린트를 바꾸려 할수록 오히려 더 눈에 띄게 됩니다. 특이한 사람이 되는 거니까요.
계정 로그인은 가장 명백한 흔적입니다. Google, Facebook, 또는 다른 서비스에 로그인한 상태라면, 해당 추적 코드가 삽입된 모든 사이트에서의 활동이 추적됩니다. 이는 웹의 대부분입니다.
지금 바로 내 브라우저가 무엇을 드러내는지 테스트하기
무언가를 바꾸기 전에 실제 노출 수준을 아는 것이 중요합니다.
전자프론티어재단(EFF)의 Cover Your Tracks는 브라우저에 고유한 핑거프린트가 있는지, 알려진 추적 기법으로부터 보호되고 있는지 빠르게 테스트합니다. EFF는 2010년부터 이 도구를 유지해왔으며, 방법론이 공개적으로 문서화되어 있습니다. 가장 좋은 시작점입니다.
BrowserLeaks는 더 심층적입니다. 캔버스 핑거프린팅, WebGL, WebRTC, JavaScript API, 폰트 열거 등 전체 테스트를 실행하고, 방문하는 모든 사이트에 각각 무엇을 드러내는지 정확히 보여줍니다. 설정 변경 전후의 기준점으로 유용합니다.
DNS 관련해서는 DNS Leak Test가 DNS 쿼리가 의도한 리졸버로 가는지 아니면 ISP로 누출되는지 확인합니다. HTTPS를 통한 DNS를 활성화했는데 제대로 작동하지 않는다면 이 도구가 잡아냅니다.
IPLeak은 WebRTC 누출 탐지와 함께 겉으로 보이는 IP 주소를 확인합니다. 브라우저가 VPN 터널을 우회하는 WebRTC 요청을 통해 실제 로컬 네트워크 IP를 노출하는 흔한 문제입니다.
이 도구들은 모두 계정이 필요하지 않습니다. 신원과 연결된 결과를 저장하지도 않습니다. 회원가입 없이 작동하기 때문에 유용한 도구들입니다.
사용하는 브라우저가 이미 많은 것을 결정합니다
확장 프로그램과 설정이 도움이 됩니다. 하지만 새는 시스템을 밀폐된 것으로 바꿀 수는 없습니다. 브라우저 선택이 기반입니다.
Firefox에 올바른 설정을 적용하면 대부분의 사람들에게 가장 실용적인 옵션입니다. 추적 보호 기능을 “강력”으로 설정하고, 설정 → 개인 정보 및 보안 → HTTPS를 통한 DNS에서 DoH를 활성화하고, uBlock Origin을 설치하세요. Firefox는 광고 회사가 아닌 Mozilla 재단이 자금을 지원하는 오픈소스 브라우저입니다. 제품 결정의 인센티브를 생각할 때 이 구조적 차이는 중요합니다.
Brave는 Chromium 기반이지만 공격적인 핑거프린트 무작위화와 기본으로 활성화된 광고 차단이 포함됩니다. 기본 보호를 위해 설정할 것이 없습니다. 단점은 Brave가 자체 광고 제품(Brave Ads)을 가진 상업 회사라는 점으로, 일부에서는 개인정보 보호 포지셔닝과 철학적으로 일치하지 않는다고 봅니다. 수동 조정 없이 합리적인 기본값을 원한다면 좋은 선택입니다.
Tor Browser는 가장 강력한 보호와 가장 어려운 사용성의 절충점을 제공합니다. 모든 트래픽을 Tor 네트워크를 통해 여러 릴레이를 거쳐 목적지에 도달하기 전에 IP를 익명화합니다. 핑거프린팅은 모든 Tor 사용자가 웹사이트에 동일하게 보이도록 해서 최소화됩니다. 단점은 속도와 Tor 출구 노드를 거부하는 사이트에서의 접근 차단 가능성입니다.
일상적인 개인정보 보호 — 광고 네트워크 차단, DNS 암호화, 핑거프린팅 감소 — 에는 Firefox나 Brave가 적합합니다. Tor Browser는 IP 수준의 익명성이 실제로 중요한 상황을 위해 활용하세요.
Chrome은 이 대화에 낄 자리가 없습니다. Google의 핵심 사업은 광고입니다. Chrome은 기본적으로 원격 측정 데이터를 수집하고, 추적을 차단하지 않으며, 교차 사이트 추적을 수익성 있게 만든 서드파티 쿠키 인프라를 폐기하는 데 느렸습니다. Chrome의 압도적인 시장 점유율은 웹이 더 강력한 개인정보 기본값으로 이동하는 것을 실질적으로 늦추고 있습니다.
실제로 도움이 되는 확장 프로그램들
온라인에서 추천하는 확장 프로그램 대부분은 소음에 불과합니다. 이것들은 아닙니다.
uBlock Origin은 필수입니다. 잘 관리되는 필터 목록을 사용해 네트워크 수준에서 광고, 트래커, 악성 스크립트를 차단합니다. 수익화 모델 없는 오픈소스입니다. 독립적인 벤치마크 테스트에서 차단율과 리소스 효율성 모두에서 모든 대안을 지속적으로 앞섭니다. Firefox에서는 WebExtensions API에 완전히 접근합니다. Chromium 브라우저에서는 Google의 Manifest V3 전환이 일부 기능을 제한했습니다. 개인정보 보호를 위해 Firefox를 사용해야 하는 또 하나의 구조적 이유입니다.
Firefox Multi-Account Containers는 서로 다른 사이트를 색상 코드된 컨테이너로 격리합니다. 은행은 한 컨테이너, 소셜 미디어는 다른 컨테이너에서 실행됩니다. 쿠키는 컨테이너 경계를 넘을 수 없어, 뉴스 사이트의 Facebook 추적 스크립트가 Facebook 세션과 연결되지 않습니다. 설정하는 데 5분이면 충분하고 교차 사이트 추적을 실질적으로 제한합니다.
EFF의 Privacy Badger는 필터 목록 대신 관찰된 행동을 바탕으로 눈에 보이지 않는 트래커를 차단하는 법을 학습합니다. uBlock Origin을 보완합니다. 정적 목록이 놓칠 수 있는 추적 패턴을 잡아냅니다.
적극적으로 피해야 할 것은 오픈소스가 아닌 개인정보 보호 브랜드의 확장 프로그램입니다. Chrome 스토어의 많은 VPN 브라우저 확장 프로그램과 “개인정보 보호 도구”가 브라우징 데이터를 판매하는 것으로 밝혀졌습니다. 제작사를 확인하고, 개인정보 보호 정책을 읽고, 설치 전 소스 코드 저장소를 찾아보세요.
HTTPS를 통한 DNS: 대부분이 건너뛰는 설정
DNS 쿼리는 온라인 생활의 조용한 완전한 기록입니다. HTTPS 사이트를 포함해 방문하는 모든 도메인이 기록됩니다.
HTTPS를 통한 DNS(DoH)는 DNS 조회를 암호화해 ISP가 읽을 수 없게 합니다. Firefox는 설정 → 개인 정보 및 보안 → HTTPS를 통한 DNS에서 기본 제공합니다. Brave는 자동으로 활성화합니다. Chrome은 설정 → 개인 정보 및 보안 → 보안 → 보안 DNS 사용에서 설정합니다.
DNS 리졸버의 선택이 중요합니다. Google의 공개 DNS(8.8.8.8)를 사용하면 가시성을 ISP에서 Google로 옮기는 것으로, 개선이 아닌 거래입니다. NextDNS는 설정 가능한 비로깅 옵션을 가진 개인정보 중심 리졸버입니다. Cloudflare의 1.1.1.1은 데이터 판매 금지와 25시간 내 쿼리 로그 삭제를 약속하는 공개 개인정보 정책이 있습니다. 선택 전에 정책을 읽으세요. 신뢰하되 검증하는 원칙이 여기서도 적용됩니다.
DoH 활성화 후 DNS Leak Test를 실행해 실제로 작동하는지 확인하세요.
로그인 불필요 도구로 계정 문제 완전히 피하기
가장 간단한 개인정보 보호 개선은 종종 가장 간과됩니다. 필요하지 않은 것들에 대한 계정 생성을 중단하는 것입니다.
모든 계정은 데이터 포인트입니다. 이메일 주소, 브라우징 기록, 신원과 연결된 행동 프로필. 서비스가 로그인을 요구하면 내부에서 하는 모든 것을 무기한으로 추적할 수 있습니다. 계정 없이 도구를 사용하면 만들 프로필도, 침해당할 데이터도 없습니다.
이것이 로그인 불필요 도구 범주의 논리입니다. 이미지 편집, 파일 변환, 메모 작성, 코드 실행, 계산 등 방대한 범위의 작업들이 신원을 밝히지 않고 브라우저에서 수행될 수 있습니다.
무언가에 등록해야 하지만 실제 받은 편지함에 스팸이 오는 것을 원하지 않을 때, Temp Mail은 회원가입 없이 즉시 일회용 주소를 생성합니다. 탭을 닫으면 사라집니다.
비밀번호나 민감한 메시지를 공유해야 할 때, PrivNote는 수신자가 열면 스스로 삭제되는 암호화된 자폭 노트를 전송합니다. 계정 없음. 읽은 후 서버 측 복사본 없음.
| 도구 | 목적 | 개인정보 측면 |
|---|---|---|
| Cover Your Tracks | 브라우저 핑거프린트 및 추적 테스트 | 변경 전 노출 수준 확인 |
| BrowserLeaks | 전체 브라우저 누출 감사 | 모든 누출 벡터를 자세히 식별 |
| DNS Leak Test | DNS 리졸버 확인 | DoH가 실제로 작동하는지 확인 |
| IPLeak | IP 및 WebRTC 누출 확인 | WebRTC를 통한 VPN 우회 감지 |
| Temp Mail | 일회용 이메일 | 회원가입에 실제 주소 불필요 |
| PrivNote | 자폭 노트 | 메시지 읽힌 후 아무것도 남지 않음 |
솔직히 인정해야 할 한계
어떤 설정도 완전한 익명성을 제공하지 않으며, 과장은 도움보다 해가 됩니다.
정교한 위협 행위자의 표적 감시가 위협 모델에 포함된다면 브라우저 설정만으로는 부족합니다. Tor Browser가 도움이 되지만, Tor도 네트워크를 충분히 통제하는 공격자에 대한 알려진 약점이 있습니다. 운영 보안, 즉 도구만이 아닌 행동이 그 수준에서는 중요합니다.
나머지 우리에게 현실적인 목표는 대규모 상업적 추적을 훨씬 어렵게 만드는 것입니다. ISP가 브라우징 기록을 판매할 수 없도록 DNS를 암호화하고, 광고 네트워크가 행동 프로필을 구축할 수 없도록 서드파티 트래커를 차단하고, 기본적으로 집에 전화를 걸지 않는 브라우저를 선택하고, 이메일을 넘길 이유가 없을 때는 로그인 불필요 도구를 사용하는 것입니다.
일관성 문제도 있습니다. 핑거프린트 저항 브라우저를 사용해도 같은 창에서 Google 계정에 로그인하면 아무 의미가 없습니다. 개인정보 보호 도구는 조합으로 작동합니다. 다른 활동에 다른 브라우저나 컨테이너를 사용해 맥락을 격리하는 것이 단일 설정을 최적화하는 것보다 효과적입니다.
Cover Your Tracks 테스트는 30초면 됩니다. 변경하기 전에 지금 사용 중인 브라우저에서 바로 실행해보세요. 결과는 종종 정말 놀랍습니다. 구체적으로 자신의 핑거프린트를 보는 것은 어떤 글보다 더 동기부여가 됩니다.