WebGL 핑거프린트 — 그래픽 카드가 흘리는 작은 신호
같은 그림을 그려도 컴퓨터마다 결과가 미세하게 다르다는 사실, 알고 계셨나요? WebGL이 사용자 식별에 활용되는 원리와 일반 사용자가 알아야 할 점을 정리합니다.
웹사이트가 사용자 컴퓨터의 그래픽 카드까지 알아본다고 하면 놀라실 거예요. 하지만 실제로 그런 일이 일어나고 있습니다. WebGL 핑거프린트라는 기술인데, 같은 도형·삼각형·텍스처를 그려도 사용자 컴퓨터마다 결과가 미세하게 다르다는 점을 이용합니다.
왜 컴퓨터마다 결과가 다를까
그래픽 카드는 화면에 그림을 빠르게 그리는 부품입니다. 카드 제조사·모델·드라이버 버전에 따라 계산 방식이 조금씩 다릅니다. 똑같은 코드로 같은 도형을 그려도 어느 픽셀이 살짝 다르게 표현되거나, 색상의 마지막 자리 숫자가 달라집니다.
이 차이는 사람 눈에는 보이지 않을 만큼 작지만, 결과 이미지를 픽셀 단위로 비교하면 명확히 다릅니다. 사이트는 이걸 해시 함수에 통과시켜 짧은 식별자(예: 12자리 문자열)를 만들고, 그게 사용자의 그래픽 카드 지문이 됩니다.
어떤 정보가 새고 있나
WebGL을 통해 사이트가 알 수 있는 것들:
- 그래픽 카드 제조사·모델명: NVIDIA GeForce RTX 4070, Apple M2, Intel UHD 등
- 드라이버 버전: 정기 업데이트마다 미세하게 결과가 바뀜
- 최대 텍스처 크기: 그래픽 카드의 능력치 일부
- 지원하는 확장 기능 목록: 카드 + 드라이버 조합으로 결정
- 렌더링 미세 차이: 위에서 설명한 픽셀 단위 차이
식별이 얼마나 정확한가
연구에 따르면 WebGL 신호만으로도 사용자의 약 60–80%를 다른 사람과 구분할 수 있습니다. 다른 신호(폰트, 화면 해상도, 시간대)와 결합하면 정확도가 99%를 넘어갑니다.
특히 강력한 이유는 사용자가 의식적으로 바꾸기 어렵기 때문입니다. 쿠키는 지울 수 있고 VPN도 깔면 되지만, 그래픽 카드는 컴퓨터 본체를 바꾸지 않는 한 그대로예요. 한 번 노출된 WebGL 지문은 사실상 그 컴퓨터의 영구 신분증이 됩니다.
일반 사용자가 알아야 할 점
WebGL 추적이 모두에게 위협이라는 뜻은 아닙니다. 일상적인 웹 사용에서는 광고가 따라오는 정도의 불편이고, 큰 피해는 거의 없어요. 다만 다음 상황에서는 신경 쓸 가치가 있습니다:
- 계정 분리 운영: 여러 계정을 같은 PC에서 쓰는 분
- 민감한 정보 다루기: 회계·법무·의료 등 추적되면 안 되는 작업
- 마케팅 자동화 운영: 사이트가 자동화 도구를 의심하는 경우
이런 경우 WebGL 신호까지 가려주는 전용 브라우저를 사용하는 것이 일반적입니다. 일반 브라우저의 시크릿 모드나 VPN은 WebGL 지문에 거의 효과가 없습니다.