* ArsTechnica의 게시물을 많이 참고하였습니다. 자세한 내용은 해당 게시물 + 링크한 여러 출처들을 확인해 주세요.
최근 구글은 WEI (Web Environment Integrity API)를 제안하였습니다. 이는 웹에 대한 DRM과 같은 것으로, 클라이언트가 봇이 아닌 사람이며 브라우저가 '허락'되지 않은 방식으로 '변형' 또는 '조작'되지 않았는지, 즉 무결성을 검증하는 것입니다.
구글은 이 API를 통해 소셜 네트워크 봇을 멈추고, IP (지적재산)를 존중하고, 광고주들에게 유용할 것이며, 웹 게임에서의 치트를 막고 금융 서비스의 보안이 향상될 것이라 주장합니다.
Apple의 App Attest와 Android의 Play Integrity API (구 SafetyNet)에서 영감을 받았다 하는데, Play Integrity API(구 SafetyNet)은 앱들에게 단말이 루팅되었는지 확인할 방법을 제공하는 API로, 루팅을 했을 때 금융앱 등을 사용하지 못하는 이유입니다. 루팅된 단말에서 선탑제 앱을 제거하고 커스터마이징을 하는 등의 유용한 행위를 할 수 있으나, 구글은 상관하지 않고 이를 방지합니다. 구글은 웹에서도 동일한 것을 하려는 것입니다.
구글의 계획은, 웹사이트와의 데이터 교환 중 웹서버가 단말에 데이터를 제공하기 전 "환경 입증" 테스트를 진행시킨다는 것입니다. 이때 웹브라우저는 "제 3자"의 증명 서버에 연결하게 되고, 어떠한 테스트를 통과한 후, 환경의 무결성을 입증하는 서명된 "무결성 토큰"을 제공하고 웹서버가 이 증명 서버를 신뢰할 때, 데이터를 제공하는 것입니다.
구글은 이 API를 일반적인 의미로 설명하나, 현실적으로 볼 때 이는 대부분 Google이 제공하게 될 것입니다. 브라우저는 Google의 Chrome일 것이며, 무결성을 입증하는 서버 또한 구글이 제공하게 될 것입니다.
구글은 아직 이를 공개적으로 발표하지 않았으며, 이 문서들 또한 Google이 아닌 직원의 개인 Github에 공유되었습니다. 허나, 지난 5월 구글은 이를 프로토타이핑할 의도를 밝혀 현재 진행중인 상황이며, 이의 일부를 Chromium에 머지하였습니다.
이에 대하여 Mozilla, Vivaldi, 자유 소프트웨어 재단, W3C 컨소시엄과 더불어 전직 구글 엔지니어 등 수 많 은 사 람 들이 이를 비판하며 우려를 표하고 있습니다.
Google *is* evil.