사용자의 취향을 파악해 맞춤 광고를 제공하는 타깃 광고가 웹브라우저의 자동 로그인 기능까지 사용한다는 연구 결과가 나왔다. <더버지>는 프린스턴대학의 정보기술정책센터 연구 결과를 인용해 이 같은 내용을 지난 12월30일 보도했다. 타깃 광고는 대부분의 웹브라우저에서 쓰이는 기능 중 하나인 비밀번호 관리 도구를 사용했다.
이번 연구는 타깃 광고가 웹브라우저의 비밀번호 관리 도구를 악용해 사용자 행동을 추적한다는 사실을 밝혀냈다. 연구자들이 조사를 통해 확인한 스크립트는 '애드씽크(AdThink)'와 '온오디언스(OnAudience)'다. 이 스크립트는 사용자가 로그인하고 웹브라우저에 로그인 정보를 저장하면, 그다음에 보이지 않는 로그인 양식을 만들어두고 자동 로그인 과정에서 사용자를 식별할 수 있는 이메일 해시값을 뽑아낸다. 시연 사이트에서 실제로 어떻게 작동하는지 확인해볼 수 있다.
보통 사용하는 e메일은 자주 바뀌지 않고, 쿠키 삭제에도 영향을 받지 않으며, 기기 제약도 없다. 연구자들은 이러한 e메일의 특성을 들어 사실상 e메일이 식별 가능한 정보임을 지적했다. 이 같은 방법으로 비밀번호도 추출할 수 있지만, 조사과정에서 비밀번호까지 가져가는 사이트는 확인되지 않았다.
이 같은 조치를 막으려면 비밀번호 관리 도구가 작동하는 방식을 더 명확하게 사용자 승인을 받는 형식으로 변경해야 한다. 사이트 관리자는 서드파티의 작동 방식을 명확히 이해해 이 문제를 피해야 한다. 연구진은 "내장 로그인 관리자는 복잡한 암호를 쉽게 사용할 수 있게 도와 웹 보안에 긍정적인 영향을 미치지만, 조사 결과에 비춰 봤을 때 브라우저 공급업체는 자동 로그인에 대한 은밀한 액세스를 재검토해야 한다"라고 지적했다.