브라우저 개발자들은 Google의 "웹 DRM" WEI API에 반대합니다.
Chrome에 WEI(Web Environment Integrity) API를 도입하려는 Google의 계획은 사용자 자유를 제한하고 개방형 웹의 핵심 원칙을 훼손한다는 비판을 불러일으키며 인터넷 소프트웨어 개발자들의 거센 반발을 불러일으켰습니다.
비발디(Vivaldi), 브레이브(Brave), 파이어폭스(Firefox)의 직원들은 구글이 제안한 표준에 대해 강력하고 반대 입장을 취했으며 일부는 이를 웹사이트용 DRM(디지털 권한 관리)이라고 부르기까지 했습니다.
WEI(웹 환경 무결성)는 웹사이트가 클라이언트(브라우저)에서 장치 및 네트워크 트래픽의 신뢰성을 평가하고 가짜 또는 안전하지 않은 상호 작용을 차단할 수 있도록 하는 웹사이트 신뢰 메커니즘을 도입하는 새로운 API 제안입니다.
예를 들어, 이 메커니즘은 사람이나 봇이 웹사이트를 방문하고 있는지 또는 특정 유형의 장치에 있는 특정 브라우저가 신뢰할 수 있는지 여부를 감지하는 데 사용될 수 있습니다.
웹사이트는 API를 사용하여 인증된 "증명자"에게 토큰을 요청합니다. 이 토큰은 변조를 방지하기 위해 암호화 서명되어 클라이언트의 정보가 합법적인지 검증하는 데 도움이 됩니다.
WEI 제안의 목표는 웹 사이트가 트래픽을 수신하는 장치 및 소프트웨어 스택의 신뢰성을 확인하고 악의적인 온라인 활동을 방지하여 사용자를 사기로부터 보호하도록 돕는 것입니다.
사용 사례의 예로는 소셜 미디어에서의 가짜 참여 탐지, 피싱 캠페인, 사람이 아닌 트래픽, 대량 계정 도용 시도, 게임 부정 행위, 손상된 장치 및 비밀번호 무차별 대입 등이 있습니다.
Google은 이것이 사이트 간 사용자 추적을 활성화하지 않으며 브라우저나 플러그인/확장 기능을 방해하지 않기 때문에 개인 정보 보호 위험이 없다고 말합니다.
위의 내용이 긍정적이고 도움이 되는 것처럼 들리지만,비발디브라우저 개발자 J. Picalausa는 이번 주 초에 발표된 글에서 WEI를 "위험하다"고 말했습니다.
Picalausa는 "기업이 어떤 브라우저를 신뢰할 수 있고 어떤 브라우저를 신뢰할 수 없는지 결정할 수 있는 권한을 갖고 있다면 특정 브라우저를 신뢰할 것이라는 보장은 없습니다"라고 썼습니다.
"모든 새로운 브라우저는 기본적으로 입증자의 재량에 따라 신뢰할 수 있다는 것이 입증될 때까지 신뢰할 수 없습니다."
또한 Picalausa는 Google의 제안이 모호하다는 점을 강조하며, 이는 클라이언트의 행동 데이터 수집과 같은 잠재적 남용에 상당한 여유를 준다고 말했습니다.
Vivaldi의 게시물에서는 Google이 광고 시장에서 지배적 지위를 매우 쉽게 남용하여 대다수 사이트에서 WEI 채택을 강요하고 반대하는 브라우저 프로젝트를 쓸모없게 만들 수 있기 때문에 WEI를 구현하지 않기로 결정하는 것은 복잡할 것이라고 설명합니다.
그만큼용감한그러나 브라우저 팀은 공동 창립자이자 CEO인 Brendan Eich가 WEI를 출시할 계획이 없다고 확인했기 때문에 이러한 시나리오를 두려워하지 않습니다.
Twitter의 스레드에 대한 응답으로 Eich는 Google이 Brave가 기본으로 사용하는 Chrome 코드에 삽입하는 다른 많은 개인 정보 침해 메커니즘과 마찬가지로 WEI 지원이 Brave에서 제공되지 않을 것이라고 밝혔습니다.
에 관해서는모질라 , 인터넷 단체는 아직 공식적인 의견을 표명하지 않았습니다. 그러나 Firefox 엔지니어 Brian Grinstead는 이번 주 초에 Mozilla가 웹에 대한 원칙과 비전에 위배되기 때문에 이 제안에 반대한다고 말했습니다.
Grinstead는 "이러한 선택을 제한하려는 메커니즘은 웹 생태계의 개방성에 해롭고 사용자에게 좋지 않습니다."라고 말합니다.
"또한 나열된 사용 사례는 설명된 대로 보조 기술, 자동 테스트, 보관 및 검색 엔진 스파이더와 같은 웹의 많은 기존 사용을 방해할 가능성이 있는 "사람이 아닌 트래픽을 감지"하는 기능에 따라 달라집니다."
현재 Google의 WEI API 제안은 아직 초기 개발 단계에 있으며 모든 이해관계자가 구현에 동의하는 경우 형태가 변경되거나 크게 변경될 수 있습니다.
또한, 우려의 목소리와 다수의 반대에도 불구하고 구글이 이를 공격적으로 부과하려 한다면 반독점 입법 메커니즘과 경쟁 당국의 반응을 지켜보는 것도 흥미로울 것이다.