토르 브라우저 보안 등급 설정: 자바스크립트 차단하기

증상 확인: 왜 자바스크립트를 차단해야 하는가?

토르 브라우저를 사용하는 당신은 아마도 익명성과 프라이버시를 극대화하기 위해 이 브라우저를 선택했을 것입니다. 하지만 기본 설정만으로는 충분하지 않습니다. 특히 자바스크립트(JavaScript)는 웹사이트에 동적 기능을 제공하는 핵심 기술이지만, 동시에 다음과 같은 심각한 보안 및 프라이버시 위협의 통로가 될 수 있습니다.

• 브라우저 핑거프린팅: 자바스크립트는 사용 중인 브라우저, 운영체제, 화면 해상도, 설치된 폰트, 타임존 등 수백 가지 정보를 수집하여 고유한 ‘디지털 지문’을 생성할 수 있습니다. 이 지문은 쿠키를 삭제하거나 토르 회로를 변경해도 당신을 추적하는 데 사용됩니다.
• 위치 추적: HTML5 Geolocation API 등을 통해 실제 위치 정보를 유출할 위험이 있습니다.
• CPU 성능 공격: 복잡한 자바스크립트 연산을 강제로 실행시켜 장치의 성능을 저하시키고, 이를 통해 장치의 고유 특성을 파악할 수 있습니다.
• 보안 취약점 악용: 자바스크립트 엔진의 취약점을 통해 악성 코드를 실행시키는 공격(Drive-by Download)의 주요 벡터가 됩니다.

이로 인해 극도의 익명성이 필요한 상황에서는 자바스크립트를 차단하는 것이 필수적인 보안 조치입니다. 다만, 이로 인해 대부분의 현대 웹사이트가 정상적으로 작동하지 않을 수 있음을 이해해야 합니다.

원인 분석: 토르 브라우저의 보안 등급 시스템

토르 브라우저는 파이어폭스를 기반으로 하며, ‘보안 등급(Security Level)’이라는 독특한 시스템을 통해 프라이버시와 사용성 사이의 균형을 사용자가 선택할 수 있게 합니다. 이 설정은 브라우저의 여러 근본적인 동작을 한 번에 변경합니다. 자바스크립트 차단은 가장 높은 보안 등급에서 활성화되는 핵심 기능 중 하나입니다.

이 시스템의 동작 원리는 간단합니다. 브라우저의 about:config 페이지에 숨겨진 수백 개의 고급 설정을 미리 정의된 프로필로 제어하는 것입니다. 사용자가 슬라이더를 조정하면, 이에 해당하는 설정 그룹이 자동으로 적용됩니다. 우리가 수동으로 해야 할 작업을 토르 브라우저가 대신 패키징해 놓은 것이며, 관련 세부 동작 방식은 참고 내용 확인을 통해 확인할 수 있습니다.

해결 방법 1: 보안 등급 슬라이더를 통한 일괄 설정 (가장 쉬운 방법)

토르 브라우저의 가장 직관적인 방법입니다, 주소창 왼쪽의 방패 아이콘을 클릭하면 보안 설정 패널이 열립니다.

1. 토르 브라우저를 실행합니다.
2. 주소창의 왼쪽에 있는 방패 모양 아이콘을 클릭합니다.
3. “보안 강화” 또는 “security level” 섹션을 찾습니다.
4. 슬라이더를 “가장 안전함(safest)”으로 이동합니다.

이 설정을 적용하면 다음과 같은 변화가 일괄적으로 발생합니다.

• 모든 사이트에서 자바스크립트가 비활성화됩니다.
• 일부 글꼴 및 기호가 기본 글꼴로 대체됩니다.
• 오디오, 비디오, 웹gl 등 여러 미디어 기능이 클릭을 통한 수동 실행으로 전환됩니다.
• 자동 재생이 차단됩니다.

이 방법은 설정이 간단하고, 토르 프로젝트에서 권장하는 조합을 사용하므로 상대적으로 안전합니다. 그러나 특정 신뢰할 수 있는 사이트(예: 검증된 웹메일)에서만 자바스크립트를 허용하고 싶은 경우에는 너무 제한적입니다.

주의사항: ‘가장 안전함’ 모드는 극도의 보호를 제공다만, 웹 서핑 경험을 크게 저하시킵니다. 뱅킹, 이메일, SNS 등 대부분의 일상적인 웹사이트가 로그인 자체가 불가능하거나 레이아웃이 무너질 수 있습니다. 이 모드는 신원 노출 위험이 매우 높은 특정 상황에서만 임시로 사용하는 것을 권장합니다.

해결 방법 2: NoScript 확장 프로그램을 통한 세밀한 제어 (권장 방법)

보다 유연하고 강력한 제어를 원한다면, 토르 브라우저에 기본 내장된 NoScript 확장 프로그램을 사용해야 합니다. 이 방법은 ‘어디서’ 자바스크립트를 실행할지 선택할 수 있는 권한을 부여합니다.

NoScript는 기본적으로 모든 스크립트(자바스크립트, Java, Flash, Silverlight 등)를 차단한 상태로 시작합니다. 사용자가 신뢰하는 사이트에 대해 일시적 또는 영구적으로 실행 권한을 부여할 수 있습니다.

NoScript 기본 사용법

브라우저 툴바의 NoScript 아이콘(‘S’ 모양)을 클릭하면 현재 사이트에서 차단된 스크립트 원본 목록을 볼 수 있습니다.

1. 자바스크립트가 필요한 사이트(예: example.com)에 접속합니다. 페이지가 정상적으로 로드되지 않을 것입니다.
2. 툴바의 NoScript 아이콘을 클릭합니다.
3. 드롭다운 메뉴에서 해당 사이트의 도메인(예: example.com)을 찾습니다.
4. 도메인 옆의 임시 허용(Temporarily allow) 또는 신뢰(Trusted)를 선택합니다.
5. 페이지를 새로 고침(F5)하여 정상 작동을 확인합니다.

고급 설정: 기본 정책 설정하기

NoScript의 진가는 기본 정책 설정에 있습니다, 이를 통해 모든 사이트에 대한 초기 규칙을 정의할 수 있습니다.

1. noscript 아이콘을 클릭하고 옵션(options)을 선택합니다.
2. 기본(permanent) 탭으로 이동합니다.
3. 기본 정책(default) 섹션에서 원하는 기본 동작을 설정합니다.
   • 신뢰하지 않음(Untrusted): 모든 스크립트 차단 (가장 안전함).
   • 사용자 정의(Custom): 스크립트 종류별(자바스크립트, 객체, 프레임 등)로 세부적으로 허용/차단 설정 가능.
4. 적용(Apply) 후 확인(OK)을 클릭합니다.

이제 모든 새로운 사이트는 당신이 설정한 기본 정책을 따르게 되며, 필요시 개별 사이트에 대해 예외를 추가할 수 있습니다. 이 방법은 보안 등급 슬라이더보다 훨씬 정교한 제어가 가능합니다.

해결 방법 3: about:config를 통한 수동 설정 (고급 사용자용)

보안 등급 슬라이더나 NoScript가 제공하는 추상화 계층을 벗어나, 브라우저의 근본 설정을 직접 제어하고 싶은 고급 사용자를 위한 방법입니다. 이 설정을 잘못 변경하면 브라우저 불안정이나 보안 취약점을 초래할 수 있으므로 각별한 주의가 필요합니다.

백업의 중요성: about:config 페이지에 들어가기 전에, 토르 브라우저의 프로필 폴더를 백업하십시오, 변경 후 문제가 발생하면 백업한 폴더로 복원하는 것이 가장 확실한 복구 방법입니다. 프로필 폴더 경로는 주소창에 about:support를 입력하고 ‘프로필 폴더(Profile Folder)’ 행에서 찾을 수 있습니다.

1. 토르 브라우저의 주소창에 about:config를 입력하고 엔터를 누릅니다.
2. 경고 메시지가 나타나면 “위험을 감수하고 계속하기”를 클릭합니다.
3. 검색창에 javascript.enabled를 입력합니다.
4. 해당 설정 항목을 더블클릭하여 값을 false로 변경합니다. 값이 false로 표시되면 자바스크립트가 전역적으로 비활성화된 상태입니다.

이 설정 한 줄만 바꾸면 모든 웹사이트에서 자바스크립트가 전면 차단됩니다. 원상 복구하려면 값을 다시 true로 변경하면 되지만, 이 방식은 사이트별로 허용·차단을 조절하는 유연성이 전혀 없습니다. NoScript처럼 예외를 두는 구조가 아니라, 사용자는 모든 기능을 포기하거나 전부 허용해야 하는 극단적인 선택만 할 수 있습니다. 이러한 올 오어 낫싱(all-or-nothing) 접근은 보안 측면에서는 명확하지만, 그만큼 사용성과 정보 접근성에 큰 영향을 미친다는 점에서 리플(XRP) 소송 결과가 가상화폐 시장에 미치는 영향 분석처럼 단일 결정이 전체 생태계에 연쇄적인 파급 효과를 만드는 사례와 유사합니다.

주의사항 및 문제 해결

자바스크립트를 차단한 후 발생할 수 있는 일반적인 문제와 해결책입니다.

• 사이트가 전혀 로드되지 않음: 이는 정상적인 현상입니다. 해당 사이트가 자바스크립트에 전적으로 의존하고 있음을 의미합니다. NoScript를 사용하여 해당 사이트 도메인을 ‘임시 허용’하거나, 해당 사이트의 사용이 절대적으로 필요한지 재고해야 합니다.
• 로그인이 불가능함: 대부분의 현대 로그인 시스템은 자바스크립트를 사용합니다. 신뢰할 수 있는 사이트라면 NoScript로 해당 도메인을 ‘신뢰’ 목록에 추가하십시오. 토르 브라우저의 ‘가장 안전함’ 모드에서는 의도적으로 이를 방지합니다.
• 캡차(CAPTCHA)가 작동하지 않음: 구글 리캡차 등 대부분의 캡차는 자바스크립트를 필요로 합니다. 차단을 해제하거나, 토르 브라우저에서 제공하는 대체 캡차 링크(있는 경우)를 사용해야 합니다.
• NoScript 아이콘이 회색으로 표시됨: NoScript가 비활성화되었거나, 현재 탭에 스크립트 소스가 전혀 없는 것입니다. about:addons 페이지에서 확장 프로그램이 활성화되어 있는지 확인하십시오.

전문가 팁: 안전과 사용성의 최적 균형점

극도의 보안은 극도의 불편을 동반합니다. 현실적인 운영을 위해 다음과 같은 계층화된 전략을 권장합니다.

1. 기본 정책: NoScript의 기본 정책을 ‘모든 스크립트 차단’으로 설정합니다. 이것이 당신의 새로운 기준이 됩니다.
2. 1차 신뢰 목록: 자주 사용하며 반드시 기능이 필요한 최소한의 사이트(예: 주요 웹메일, 신뢰하는 검색엔진)만 ‘신뢰(Trusted)’ 목록에 영구 추가합니다.
3. 2차 임시 허용: 가끔 방문하는 사이트는 ‘임시 허용(Temporarily allow)’을 사용합니다. 브라우저를 종료하면 권한이 자동으로 소멸됩니다.
4, 세션 분리: 극도로 신뢰할 수 없는 사이트를 탐색해야 할 경우, 토르 브라우저의 ‘새 신원(new identity)’ 기능(ctrl+shift+u)을 사용하거나, ‘가장 안전함’ 보안 등급으로 임시 전환한 후 별도의 창에서 실행하십시오. 이렇게 하면 주요 신뢰 사이트의 설정이 오염되는 것을 방지할 수 있습니다.

이 전략의 핵심은 ‘모든 것을 차단한 상태에서 시작하여, 필요한 최소한만을 선택적으로 열어준다’는 화이트리스트(Whitelist) 접근법입니다. 이는 블랙리스트 방식보다 훨씬 안전합니다.

자바스크립트 차단은 토르 브라우저를 활용한 고급 프라이버시 보호의 시작에 불과합니다, 이를 통해 당신은 추적 스크립트와 잠재적 공격 벡터로부터 자신을 보호하는 능동적인 방어선을 구축한 것입니다. 설정이 완료되었다면, https://check.torproject.org와 같은 사이트를 방문하여 토르 연결이 정상적인지, 그리고 https://coveryourtracks.eff.org와 같은 도구로 브라우저 핑거프린팅 저항성을 간접적으로 테스트해 보는 것이 좋습니다. 기술은 도구일 뿐이며, 궁극적인 안전은 지속적인 주의와 상황에 맞는 판단에 달려 있습니다.