대부분의 개인정보 보호 조언은 정작 중요한 단계를 건너뜁니다. 실제로 무슨 일이 일어나고 있는지 확인하는 것이요. 설정을 바꾸거나 확장 프로그램을 설치하는 건 쉽게 추천할 수 있어요. 더 어렵지만 훨씬 유용한 것은, 구체적인 테스트를 실행해서 지금 이 순간 브라우저가 실제로 무엇을 노출하고 있는지 확인하는 거예요.
이 가이드가 바로 그 역할을 해드릴게요. 10분이면 충분해요. 계정 생성 없이, 소프트웨어 설치 없이. 무엇이 유출되고 있는지 정확하게 보여주는 무료 브라우저 도구들로, 구체적인 수치를 통해 바로 조치를 취할 수 있어요.
무엇을 테스트하는 건가요
브라우저는 네 가지 주요 채널을 통해 데이터를 노출하고, 각각 다른 테스트가 필요해요.
IP 주소 — 가장 명확한 것이에요. 연결을 할 때마다 IP가 드러나요. 그런데 WebRTC(브라우저 내 화상 통화를 지원하는 API)는 VPN을 통해서도 실제 IP를 노출시킬 수 있어요. VPN이 차단하지 못하는 레이어에서 작동하기 때문이에요.
DNS 쿼리 — 방문하는 모든 도메인은 DNS 조회를 발생시키고, 이 쿼리는 어딘가로 전송돼요. 기본적으로 암호화 없이 ISP의 리졸버로 가요. ISP는 쿼리하는 모든 도메인을 기록해요. VPN은 이것을 자체 리졸버를 통해 라우팅해야 하지만, 많은 경우 그렇게 되지 않아서 VPN 터널 밖에 별도의 브라우징 기록이 남아요.
브라우저 핑거프린트 — GPU, 설치된 폰트, 시간대, 화면 해상도, 하드웨어 동시성, 그 외 수십 가지 속성이 합쳐져서 쿠키 없이도 사이트 간에 추적할 수 있을 만큼 고유한 프로필을 만들어요. EFF의 Panopticlick 연구에 따르면 브라우저의 83.6%가 고유한 핑거프린트를 가지고 있고, 브라우저 플러그인을 포함하면 94.2%까지 올라가요. 시크릿 모드는 이에 대해 아무런 효과가 없어요.
서드파티 스크립트 — 광고 네트워크와 데이터 브로커는 대부분의 상업 사이트에 추적 스크립트를 배치해요. 이 스크립트들은 브라우저에서 실행되어 핑거프린트를 읽고 서버에 보고해요. 이것을 차단하는 것은 위의 유출을 수정하는 것과는 별개의 문제예요.
아래 네 가지 무료 도구로 각각을 테스트해요. 아무것도 변경하기 전에 실행하세요 — 기준선이 필요하니까요.
1단계: Cover Your Tracks로 핑거프린트 점수 확인하기
Cover Your Tracks는 Electronic Frontier Foundation이 만든 도구로, 시작점으로 딱 좋아요. 브라우저가 군중 속에 섞이는지 아닌지를 하나의 명확한 결론으로 알려줘요.
「Test Your Browser」를 클릭하고 약 10초 기다리면 결과가 세 가지 중 하나로 나와요:
- 강력한 보호 — 핑거프린트가 충분히 일반적이어서 많은 사용자 속에 섞일 수 있음
- 부분적 보호 — 일부 랜덤화되어 있지만 여전히 일부 방식으로 식별 가능
- 고유 핑거프린트 — 쿠키 없이도 사이트 간에 식별되고 추적될 수 있음
처음에는 대부분 「고유 핑거프린트」가 나와요. 이건 실패가 아니에요 — 개선할 수 있는 기준선이에요. 도구는 속성별 엔트로피 분석도 보여줘요. 어떤 특성이 얼마나 많은 식별 정보를 제공하는지 비트 단위로 나타내요. 화면 해상도는 보통 34비트, User-Agent 문자열은 약 10비트를 더해요. 합치면 고유 핑거프린트는 보통 1822비트의 엔트로피를 가져요. 즉 약 25만 개 중 1개의 브라우저만 같은 조합을 공유하는 거예요.
변경하기 전에 결과를 기록해 두세요. 나중에 비교할 때 필요해요.
2단계: IPLeak으로 IP 및 WebRTC 유출 확인하기
IPLeak.net은 빠르게 로드되고 세 가지를 동시에 확인해요: 표시되는 IP 주소, WebRTC를 통해 노출되는 IP, 그리고 DNS 서버예요.
특히 확인할 부분: WebRTC 섹션이 메인 IP와 다른 IP를 보여주는지 여부예요. VPN을 사용 중인데 WebRTC가 VPN IP가 아닌 실제 ISP IP를 보여준다면 — WebRTC 유출이 확인된 거예요. 웹사이트는 사용자 상호작용 없이 백그라운드에서 이 확인을 조용히 실행할 수 있어요.
DNS 섹션은 어떤 리졸버가 쿼리를 처리하는지 보여줘요. ISP나 통신사에 속하는 IP 주소가 보이면, 그 쿼리들은 VPN 터널 밖으로 나가고 있는 거예요. 콘텐츠는 암호화되어 있어도 ISP는 방문한 모든 도메인을 볼 수 있어요.
VPN을 사용하지 않는다면 IP와 DNS 섹션 모두 ISP 정보가 표시될 거예요 — 예상된 결과지만 이해해둘 필요가 있어요. ISP 입장에서는 익명이 아닌 거예요.
3단계: DNS 구성 확인하기
DNS Leak Test는 DNS에 특화되어 있고 IPLeak보다 더 철저한 검사를 해요. 「Extended Test」 옵션을 사용하세요 — 고유한 서브도메인으로 여러 DNS 요청을 보내 응답하는 모든 리졸버를 포착해요.
결과에는 각 DNS 서버의 IP 주소와 해당 기관이 표시돼요. 깨끗한 결과: VPN 제공업체의 서버만 표시. DNS 유출: ISP 서버가 VPN 제공업체 서버와 함께 또는 대신 표시. 심각한 유출: VPN이 활성화되어 있어도 ISP 서버만 표시 — VPN이 DNS 트래픽을 전혀 라우팅하지 않는다는 뜻이에요.
각 무료 개인정보 테스트 도구의 커버리지 비교:
| 도구 | IP 유출 | WebRTC 유출 | DNS 유출 | 핑거프린트 | 가입 불필요 |
|---|---|---|---|---|---|
| Cover Your Tracks | — | — | — | ✓ | ✓ |
| IPLeak.net | ✓ | ✓ | ✓ | — | ✓ |
| DNS Leak Test | — | — | ✓ | — | ✓ |
| BrowserLeaks | ✓ | ✓ | — | ✓ | ✓ |
| PrivacyTests.org | — | ✓ | ✓ | ✓ | ✓ |
다섯 가지 모두 무료이고 가입이 필요 없으며, 결과를 바로 활용할 수 있어요.
4단계: BrowserLeaks로 심층 분석하기
BrowserLeaks는 핑거프린팅 표면 하나하나를 타겟으로 하는 개별 테스트 페이지 모음이에요. Cover Your Tracks보다 기술적이지만 핑거프린트 이면의 원시 데이터를 볼 수 있어요.
가장 중요한 페이지들:
WebRTC 유출 — IPLeak이 보여준 내용과 교차 확인해요. 두 도구가 같은 유출 IP를 보고한다면 유출이 실제로 존재하고 일관된다는 의미예요.
Canvas 핑거프린트 — 콘텐츠를 보이지 않게 렌더링하도록 요청받을 때 브라우저가 생성하는 픽셀 해시를 보여줘요. Canvas 핑거프린팅 저항이 작동하고 있다면 페이지를 다시 로드할 때마다 이 값이 바뀌어야 해요. 로드할 때마다 동일하다면 Canvas로 추적될 수 있어요.
IP 주소 — GPS나 어떤 권한도 없이 보통 도시 수준까지 정확한, IP에서 파생된 지리 위치를 포함해요.
User-Agent Client Hints — Chrome의 새로운 UA-CH API는 사이트가 하나의 일체형 User-Agent 문자열을 읽는 대신 개별 속성(브라우저 버전, 플랫폼, 아키텍처)을 따로 쿼리할 수 있게 해줘요. BrowserLeaks는 이 새 채널을 통해 브라우저가 정확히 어떤 값을 노출하는지 보여줘요.
PrivacyTests.org는 전 Firefox 개인정보 엔지니어가 관리하며, 20개 이상의 표준화된 테스트에서 주요 브라우저를 벤치마크하고 결과를 공개해요. 현재 설정을 테스트하기보다는 브라우저를 바꿀지 결정하기 전에 Firefox, Chrome, Brave, Safari를 나란히 비교하는 용도예요. 테스트는 자동화되어 정기적으로 업데이트되므로, 일회성 스냅샷이 아닌 신뢰할 수 있는 참고 자료예요.
고칠 수 있는 것과 없는 것
기준선 결과가 나왔다면, 실제로 변경할 수 있는 것들을 알아봐요.
WebRTC IP 유출 — 2분 이내에 고칠 수 있어요. Firefox에서 about:config를 열고 media.peerconnection.enabled를 검색해 false로 설정하세요. WebRTC가 완전히 비활성화돼요. 브라우저 내 화상 통화가 안 될 수 있지만, 대부분의 사용자는 그런 기능을 잘 사용하지 않아요. Brave에서는 설정 → 개인정보 및 보안 → WebRTC IP 처리 정책으로 가서 「비프록시 UDP 비활성화」로 설정하세요. Chrome은 네이티브 설정이 없어요 — uBlock Origin 확장 프로그램을 설치하고 설정 패널에서 「WebRTC가 로컬 IP 주소를 유출하는 것을 방지」를 활성화하세요.
DNS 유출 — DNS-over-HTTPS를 활성화하면 고쳐져요. DNS 쿼리를 암호화하고 ISP 리졸버가 아닌 선택한 리졸버를 통해 라우팅해요. Firefox: 설정 → 개인정보 및 보안 → DNS over HTTPS까지 스크롤 → 「최대 보호」 활성화 후 Cloudflare나 NextDNS를 제공업체로 선택. Chrome: 설정 → 개인정보 및 보안 → 보안 → 보안 DNS 사용 → 제공업체 선택. Mozilla의 DNS over HTTPS 문서에서 Firefox 관련 세부 설정을 확인할 수 있어요. 활성화 후 DNS Leak Test를 다시 실행해 ISP 서버가 더 이상 표시되지 않는지 확인하세요.
고유 핑거프린트 — 어렵지만 의미 있게 개선할 수 있어요. 효과가 문서화된 세 가지 방법이 있어요:
privacy.resistFingerprinting을 활성화한 Firefox(about:config에서 true로 설정)는 같은 설정을 가진 모든 Firefox 사용자와 일치하도록 핑거프린트를 정규화해요 — 고정된 화면 해상도, UTC 시간대, 일반 User-Agent. 그러면 Cover Your Tracks에서 「강력한 보호」가 표시돼야 해요.
Brave는 매 세션마다 Canvas와 오디오 핑거프린트에 랜덤 노이즈를 추가해서, 개별 세션의 핑거프린팅은 가능해도 세션 간 연관을 실질적으로 불가능하게 만들어요. Shields 설정에서 「핑거프린팅 보호」를 활성화하세요.
중간 모드의 uBlock Origin은 대부분의 서드파티 스크립트를 실행 전에 차단해요 — 핑거프린팅 스크립트가 실행되기 전에 막는 거예요. 브라우저를 바꾸고 싶지 않은 Chrome 사용자에게 가장 강력한 방법이에요.
추적 스크립트 — Firefox의 Multi-Account Containers 확장 프로그램은 스크립트가 실행되어도 다른 사이트들을 서로 격리해서 크로스 사이트 추적을 방지해요. uBlock Origin의 네트워크 요청 로그는 특정 페이지에서 어떤 서드파티 스크립트가 로드되는지 정확히 보여줘요.
불편한 아이러니가 있어요: 특이한 개인정보 보호 확장 프로그램을 사용하면 오히려 더 쉽게 식별될 수 있어요. 특정 조합의 확장 프로그램을 사용하는 사람이 매우 드물다면, 그 구성 자체가 구별 신호가 돼요. 목표는 모든 것을 차단하는 게 아니에요 — 많은 다른 사람들과 같아 보이는 거예요.
설정 변경 없이 노출 줄이기
기술적인 수정은 브라우저 동작을 다뤄요. 로그인해서 계정을 만든 후에 일어나는 일에는 대응할 수 없어요. 사이트가 이메일 주소를 갖게 되면 핑거프린팅은 불필요해져요 — 모든 기기에서 따라다니는 영구적인 식별자가 이미 있으니까요.
실용적인 방법 하나: 계정이 필요 없는 도구를 사용하는 거예요. 가입 없이 민감한 파일을 공유하려면 Wormhole이 가입 없이 종단 간 암호화를 제공해요. 읽으면 사라지는 메시지를 보내려면 PrivNote가 계정 생성 없이 즉시 작동해요. 콘텐츠를 보기만 할 건데 이메일 주소를 요구한다면 Temp Mail이 즉석에서 일회용 주소를 생성해줘요 — 가입도 비밀번호도 불필요해요.
이것들은 임시방편이 아니에요 — 구조적으로 완전히 다른 모델이에요. 계정 시스템이 없는 도구는 데이터를 연결할 대상이 없으니 프로필을 만들 수 없어요. nologin.tools 디렉토리에는 이미지 편집, 파일 변환, 개발자 유틸리티, 협업 등 카테고리 전반에 걸쳐 수백 개의 도구가 있어요 — 모두 가입 없이 사용 가능해요. 브라우저 설정을 바꿀 필요도 없어요; 데이터 수집 메커니즘 자체가 없어지는 거예요.
지금 당장 시작하기
Cover Your Tracks를 실행해 보세요. 「고유 핑거프린트」가 나오면 그게 주요 문제예요. privacy.resistFingerprinting을 활성화한 Firefox나 Brave로 전환하는 게 가장 효과적인 수정이에요.
그 다음 IPLeak을 실행하세요. WebRTC가 VPN IP와 다른 IP를 노출시킨다면, 브라우저 설정 하나로 2분 안에 고칠 수 있어요.
그리고 DNS Leak Test를 실행하세요. ISP 서버가 결과에 나타난다면, 브라우저에서 DNS-over-HTTPS를 활성화하는 건 클릭 세 번이면 돼요.
테스트 세 개, 구체적인 수정 세 개. 어느 것도 계정을 만들 필요가 없어요. 변경 후 Cover Your Tracks를 다시 실행해 보세요 — 「고유 핑거프린트」에서 「강력한 보호」로의 변화가 즉시 나타나고, 그 차이를 직접 보는 게 가치 있어요.
개인정보 보호는 겹겹이 쌓여요. 유출 하나를 수정하는 게 모든 걸 해결하지는 않지만, 실제로 노출되는 것을 좁혀줘요 — 무엇이 유출되는지 정확히 아는 것이 추측하는 것보다 훨씬 낫고요.