Cloudflare Turnstile가 WebGL을 강제하기 시작했다, 프라이버시는 어디로 가는가

CAPTCHA의 진화, 그런데 부작용이 있어요

웹사이트 들어갈 때 '나는 로봇이 아닙니다' 체크박스 누르신 적 있죠? 요즘은 그것조차 안 누르고 그냥 잠깐 동그라미 돌면서 통과되는 경우도 많아졌어요. 그 뒤에 있는 기술 중 하나가 바로 Cloudflare Turnstile이에요. 구글 reCAPTCHA의 대안으로 등장한, '사용자에게 거의 보이지 않는 봇 차단 시스템'이죠.

그런데 최근 한 보안 연구자가 분석한 결과, Turnstile이 동작하려면 이제 WebGL이 필수가 됐다는 사실이 드러났어요. 그것도 단순히 그래픽을 그리는 용도가 아니라, 사용자의 GPU와 드라이버 정보를 정밀하게 캐내는 방식으로요. 이게 왜 문제냐면, WebGL은 브라우저 핑거프린팅(브라우저 지문 채취)에 악용될 수 있는 대표적인 기술이거든요.

브라우저 핑거프린팅이 뭐길래

핑거프린팅을 쉽게 설명하면 이래요. 쿠키처럼 명시적으로 ID를 심지 않아도, 여러분의 브라우저가 가진 미세한 특징들 — 화면 해상도, 폰트 목록, GPU 모델, 드라이버 버전, 그래픽 렌더링 미세 오차 같은 것들 — 을 다 모으면 거의 유일무이한 '지문'이 만들어져요. 한 번 모은 지문은 쿠키를 다 지워도, 시크릿 모드로 들어가도 따라다닐 수 있어요. 광고 추적의 종착역이라 불리는 기술이죠.

특히 WebGL은 같은 모델의 GPU여도 드라이버 버전, OS 패치 상태, 심지어 GPU 개체의 미세한 제조 편차에 따라 픽셀 단위로 다른 결과를 만들어내요. 그래서 WebGL 렌더링 해시 하나만 있어도 사용자를 식별하는 정확도가 굉장히 높아져요. 유럽의 EFF나 토르 프로젝트가 오랫동안 'WebGL 핑거프린팅 위험'을 경고해온 이유가 여기 있어요.

왜 Cloudflare는 이걸 쓸까

물론 Cloudflare 입장에선 명분이 있어요. 봇을 정확하게 걸러내려면 사람과 로봇의 환경 차이를 찾아내야 하고, GPU·렌더링 특성은 자동화된 헤드리스 브라우저(서버에서 사람 흉내 내는 봇)와 진짜 사람의 PC를 구분하는 좋은 신호거든요. 게다가 LLM 기반 봇이 늘면서 단순한 자바스크립트 챌린지로는 더 이상 막을 수 없는 시대가 됐어요.

문제는 트레이드오프예요. 봇은 잘 막히지만, 진짜 사용자의 익명성도 같이 깎여 나간다는 거죠. 더 나아가서 WebGL을 비활성화한 브라우저(보안에 신경 쓰는 사용자들), 토르 브라우저, 일부 모바일 환경, 또는 GPU가 약한 저사양 기기에서는 Turnstile이 통과 자체가 안 되는 경우가 생겨요. '봇이 아니라는 걸 증명하려면 GPU 지문을 내놓아야 한다'는 새로운 형태의 강제가 만들어지는 거예요.

비슷한 사례, 그리고 흐름

이런 흐름은 사실 처음이 아니에요. 구글 reCAPTCHA v3가 등장할 때도 '사용자 행동을 점수화하기 위해 마우스 움직임, 스크롤 패턴까지 다 수집한다'는 비판이 있었고, 애플의 Private Access Tokens 같은 기술은 반대 방향으로 '신원 증명은 OS가 대신해주고 사이트는 핑거프린팅을 못 하게 한다'는 접근을 시도하고 있어요. Cloudflare도 PAT를 지원하긴 하지만, 결국 대다수 사용자에겐 WebGL 챌린지가 떨어지는 게 현실이죠.

한국 개발자에게 주는 시사점

첫째, 만약 여러분이 운영하는 사이트가 Turnstile을 쓰고 있다면 접근성 이슈를 한 번 점검해봐야 해요. WebGL이 막힌 환경, 구형 안드로이드, 임베디드 기기에서 결제 페이지나 로그인이 통과 안 되는 케이스가 분명히 있을 거예요. 둘째, 개인정보 처리방침 관점에서도 Turnstile이 수집하는 정보의 범위를 다시 확인할 필요가 있어요. GDPR이나 개인정보보호법 관점에서 핑거프린팅은 점점 더 민감한 영역이 되고 있거든요.

셋째, 봇 차단을 직접 구현하는 분들이라면 '얼마나 강하게 식별할 것인가'와 '얼마나 사용자를 존중할 것인가' 사이의 균형을 진지하게 고민해야 해요. 보안과 프라이버시는 늘 한 쌍이지만, 둘 다 사용자를 위한 가치라는 걸 잊지 않는 게 중요해요.