로컬 공유 객체

로컬 공유 객체, 로컬 셰어드 오브젝트(Local shared object, LSO)는 일반적으로 HTTP 쿠키와 유사하여 플래시 쿠키(flash cookie)라고 불리며, 어도비 플래시를 사용하는 웹사이트가 사용자 컴퓨터에 저장할 수 있는 데이터 조각이다. 로컬 공유 객체는 버전 6부터 모든 버전의 어도비 플래시 플레이어(매크로미디어에서 개발하고 나중에 어도비 시스템즈가 인수)에서 사용되어 왔다.^[1]

플래시 쿠키는 사용자가 플래시 애플리케이션을 포함하는 페이지에 접속할 때마다 저장되거나 검색될 수 있으며, 로컬 스토리지의 한 형태이다. 쿠키와 유사하게, 사용자 환경 설정을 저장하거나, 플래시 게임의 데이터를 저장하거나, 사용자의 인터넷 활동을 추적하는 데 사용될 수 있다.^[2] LSO는 브라우저 보안 침해로 비판을 받아왔지만, 현재는 저장 기간을 제한하는 브라우저 설정 및 애드온이 있다.

저장

로컬 공유 객체는 개별 웹사이트에 의해 저장된 데이터를 포함한다. 데이터는 액션 메시지 형식으로 저장된다. 기본 설정에서 플래시 플레이어는 하드 디스크에 로컬 공유 객체를 저장하기 위해 사용자 동의를 구하지 않는다. 기본적으로, 9버전부터 11버전(2011년 9월 1일 기준)까지의 플래시 플레이어에서 실행되는 SWF 애플리케이션은 사용자 하드 드라이브에 최대 100 kB의 데이터를 저장할 수 있다. 애플리케이션이 더 많은 데이터를 저장하려고 시도하면, 사용자에게 요청을 허용할지 거부할지 묻는 대화 상자가 나타난다.^[3]

어도비 플래시 플레이어는 타사 로컬 공유 객체가 도메인 간에 공유되는 것을 허용하지 않는다. 예를 들어, "www.example.com"의 로컬 공유 객체는 "www.example.net" 도메인에서 읽을 수 없다.^[1] 그러나, 퍼스트 파티 웹사이트는 전용 XML 파일에 있는 일부 설정을 통해, 그리고 요청에 데이터를 포함시켜 항상 데이터를 서드 파티에 전달할 수 있다. 또한, 기본적으로 서드 파티 LSO는 데이터를 저장할 수 있다.^[4][5] 기본적으로 LSO 데이터는 동일한 기기의 브라우저 간에 공유된다. 예를 들어:

• 방문자가 파이어폭스 브라우저를 사용하여 사이트에 접속한 다음 특정 제품을 표시하는 페이지를 보고 파이어폭스 브라우저를 닫으면 해당 제품에 대한 정보가 LSO에 저장될 수 있다.
• 동일한 방문자가 동일한 기기에서 인터넷 익스플로러 브라우저를 열고 파이어폭스에서 본 사이트의 아무 페이지나 방문하면, 사이트는 인터넷 익스플로러 브라우저에서 LSO 값을 읽어 동적 콘텐츠를 표시하거나 방문자를 대상으로 할 수 있다.

이는 저장된 쿠키에 대해 디렉터리가 분리된 저장 경로를 사용하는 쿠키와는 다른데, LSO는 단일 기기의 모든 브라우저에 대해 공통 디렉터리 경로를 사용한다.

게임 적용

플래시 게임은 LSO 파일을 사용하여 사용자 환경 설정 및 실제 게임 진행 상황과 같은 사용자 개인 게임 데이터를 저장할 수 있다. 이러한 파일들을 백업하려면 소프트웨어에 대한 기술적 이해가 필요하다. 그러나 브라우저 업데이트 및 사용되지 않는 파일을 제거하도록 설계된 프로그램은 이 데이터를 삭제할 수 있다.

치팅을 방지하기 위해 게임은 다른 위치에서 획득한 LSO 파일을 사용할 수 없도록 설계될 수 있다.

프라이버시 문제

HTTP 쿠키와 마찬가지로, 로컬 공유 객체는 사용자가 데이터 수집을 제한하기 위한 조치를 취했음에도 불구하고 웹사이트가 사람들이 탐색하는 방식에 대한 정보를 수집하는 데 사용될 수 있다.^[6] 온라인 은행, 상인, 또는 광고주는 추적 목적으로 로컬 공유 객체를 사용할 수 있다.^[7]

2009년 8월 10일, 와이어드 매거진은 상위 웹사이트의 절반 이상이 로컬 공유 객체를 사용하여 사용자를 추적하고 정보를 저장하지만, 그 중 4개만이 개인정보 보호정책에서 이를 언급했다고 보도했다. 이 기사는 "플래시 쿠키는 웹 사용자들에게 비교적 알려지지 않았다"며, "사용자가 추적 객체로부터 자신의 컴퓨터를 지웠다고 생각하더라도, 대부분은 그렇지 않다"고 말했다. 이 기사는 또한 일부 웹사이트가 플래시 쿠키를 숨겨진 백업으로 사용하여 사용자가 삭제한 HTTP 쿠키를 복원할 수 있다고 덧붙였다.^[8]

뉴욕 타임스에 따르면, 2010년 7월까지 미국에서 로컬 공유 객체 사용에 대해 미디어 회사들을 상대로 최소 5건의 집단 소송이 제기되었다.^[9]

특정 국가에서는 사용자 동의 없이 사용자를 추적하는 것이 불법이다. 예를 들어, 영국에서는 고객이 쿠키/로컬 공유 객체 사용에 동의해야 한다.^[10][11]

“

쿠키 또는 유사한 장치는 관련 터미널 장비의 구독자 또는 사용자가 다음을 충족하지 않는 한 사용해서는 안 된다: 해당 정보의 저장 또는 접근 목적에 대한 명확하고 포괄적인 정보를 제공받는다; 그리고 해당 정보의 저장 또는 접근을 거부할 기회를 제공받는다.

”

로컬 공유 객체는 2010년 1월 연방거래위원회(FTC) 원탁회의에서 처음 논의된 주제였다.^[12] FTC 위원장 존 라이보위츠는 어도비와 "플래시 문제"라고 묘사하는 것에 대해 논의해 왔다. ^[13]

사용자 제어

사용자는 어도비 웹사이트의 온라인 설정 관리자에 있는 전역 저장 설정 패널을 사용하여 로컬 공유 객체를 비활성화할 수 있다.^[14] 그러나 이것은 컴퓨터에 영구적인 플래시 쿠키를 저장하여, 다른 모든 웹사이트에 사용자가 플래시 쿠키를 컴퓨터에 저장하고 싶지 않다는 것을 알린다. 사용자는 플래시 플레이어의 "설정"(플레이어를 마우스 오른쪽 버튼으로 클릭하여 접근) 또는 웹사이트 저장 설정 패널을 사용하여 지정된 사이트의 LSO를 선택 해제할 수 있다. 후자는 또한 사용자가 로컬 공유 객체를 삭제할 수 있도록 한다.^[15]

사용자는 또한 수동으로 또는 타사 소프트웨어를 사용하여 로컬 공유 객체를 삭제할 수 있다. 예를 들어, 마이크로소프트 윈도우 및 macOS용 독립형 컴퓨터 프로그램인 CCleaner는 사용자가 필요에 따라 로컬 공유 객체를 삭제할 수 있도록 한다. 또한 파이어폭스 애드온, Clear Flash Cookies가 있는데, 이는 브라우저를 재시작할 때마다 모든 LSO를 자동으로 지운다.^[16]

플래시 10.3 버전부터는 온라인 설정 관리자(어도비 웹사이트를 통해 사용자가 개인 정보 및 보안 권한을 구성할 수 있도록 함)가 윈도우, 맥, 리눅스 플랫폼의 로컬 설정 관리자로 대체되었다. 이는 윈도우 제어판 또는 macOS 시스템 환경설정을 통해 접근할 수 있다.^[17] 다른 운영 체제 사용자는 여전히 어도비 온라인 설정 관리자를 사용한다. 적어도 2012년 4월(v 11.2.202.233)부터는 새로운 플래시 버전을 다운로드하여 업데이트하면 보안 및 개인 정보 설정이 로컬 스토리지를 허용하고 미디어 접근을 다시 요청하는 기본값으로 재설정되는데, 이는 사용자의 의도와 다를 수 있다.

브라우저 제어

브라우저 제어는 웹 브라우저가 로컬 공유 객체를 삭제하고 개인 정보 모드가 활성화될 때 영구적인 로컬 공유 객체 생성을 방지하는 기능을 의미한다. 전자의 경우, 2009년 3월 19일에 출시된 인터넷 익스플로러 8^[18]은 API를 구현하여 브라우저 확장이 브라우저와 협력하고 사용자가 검색 기록 삭제 명령을 내릴 때 저장된 영구 데이터를 삭제할 수 있도록 한다.^[19] 그러나, 도입된 지 2년이 지난 2011년 3월 7일에서야 어도비는 당시 개발 중이던 플래시 플레이어 v10.3이 인터넷 익스플로러 8 이상과 협력하여 로컬 공유 객체를 삭제하는 것을 지원한다고 발표했다.^[20]

또한 2011년 1월 5일, 어도비 시스템즈, 구글 주식회사, 모질라 재단은 새로운 브라우저 API(NPAPI ClearSiteData로 명명됨)를 확정했다. 이는 API를 구현하는 브라우저가 로컬 공유 객체를 지울 수 있도록 한다.^[21] 4개월 후, 어도비는 플래시 플레이어 10.3이 모질라 파이어폭스 4와 "미래 애플 사파리 및 구글 크롬 출시 버전"이 로컬 공유 객체를 삭제할 수 있도록 한다고 발표했다.^[20] 따라서 버전 4부터 파이어폭스는 LSO를 HTTP 쿠키와 동일하게 취급하며, 이전에는 HTTP 쿠키에만 적용되던 삭제 규칙이 이제 LSO에도 적용된다.^[22][23] 이는 HTTP 쿠키와 플래시 로컬 공유 객체를 다른 목적으로 사용하던 파이어폭스 및 플래시 사용자들에게 데이터 손실 및 이전 버전과 호환되지 않는 플래시 애플리케이션 동작을 초래했다.^[24] 주로 플래시 LSO에 저장된 게임 데이터에 의존하는 플래시 게이머들에게 영향을 미쳤다.^[25][26] 이로 인해 발생한 지원 요청은 HTTP와 플래시 쿠키 간의 동등성이 도입되었기 때문에 브라우저 변경 없이는 모질라 파이어폭스 사용자에게 유리하게 해결될 수 없다.^[22][23] 현재 사용 중인 해결책은 브라우저를 기록 데이터와 쿠키를 절대 지우지 않도록 구성하거나, 타사 패치를 사용하여 이 사용 사례에 영향을 미치는 변경 사항의 일부를 복귀시키는 것이다.^[27]

브라우저의 개인 정보 보호 모드에서의 동작에 관해서는, 2010년 6월 10일에 출시된 어도비 플래시 플레이어 10.1은 인터넷 익스플로러, 파이어폭스, 구글 크롬, 사파리의 개인 정보 보호 모드를 지원한다. 개인 정보 보호 모드에서 생성된 로컬 공유 객체는 세션 종료 시 삭제된다. 일반 세션에서 생성된 객체 또한 개인 정보 보호 모드에서는 접근할 수 없다.^[28][29]

타사 소프트웨어

뷰어 및 편집기

소프트웨어	개발자	플랫폼	기능			첫 공개 출시	최신 안정 버전	라이선스
			읽기	쓰기	형식
.minerva (GitHub)	가브리엘 마리아니	웹 플랫폼	예	예	AMF0/AMF3, JSON	~2008-07-15 (1.5.1)	4.1.1 (2015-01-10)	BSD
.sol 편집기	알렉시스 아이작	윈도우	예	예	AMF0	2005년 2월	1.1.0.1 (2005-02-21)	MPL
SOLReader	알레산드로 크루놀라	윈도우	예	아니요	AMF0/AMF3	2007-10-25	1.0.0 (2007-10-25)	?
플래시 개발	미카 팔무, 필립 엘사스	윈도우	예	아니요	AMF0/AMF3	2009-06-14 (3.0.0)	4.4.0 (2013-04-18)	MIT
SolVE	대런 스콜	윈도우, macOS	예	예	AMF0	2004년 11월	0.2 (2004-10-15)	CPL

라이브러리 및 프레임워크

소프트웨어	개발자	기능			첫 공개 출시	최신 안정 버전	라이선스
		읽기	쓰기	형식
Dojo 툴킷	Dojo 재단	아니요	예	AMF0/AMF3 (브라우저 내 플래시를 통해)	2004	1.9.0 (2013-05-01)	BSD, AFL
PyAMF (GitHub/PyPI)	닉 조이스	예	예	AMF0/AMF3	2007-10-07	0.8.0 (2015-12-17)	MIT
s2x 오픈 소스 플래시	아랄 발칸	예	예	AMF0, XML	2003년 12월	0.75 (2003년 12월)	프리웨어

클리너

소프트웨어	개발자	플랫폼	첫 공개 출시	최신 안정 버전	라이선스
PrivacyScan	SecureMac.com, Inc.	macOS 10.6 - 10.10	2012-01-30	1.5	셰어웨어
Cookie Stumbler	WriteIt! Studios Ltd.	macOS 10.8 - 10.9	2011-04-01	2.1.2	셰어웨어
Cookie	SweetP Productions	macOS 10.6 - 10.10	2011	4.3.2	셰어웨어
Safari Cookies	SweetP Productions	macOS 10.5 - 10.10	2009-04-12	2.0 (2014-10-27)	프리웨어
MAXA Cookie Manager	Maxa Research	윈도우	?	5.3 (2011-12-11)	셰어웨어
Click&Clean	블라드 & 세르주 스트루코프	윈도우, macOS, 리눅스, BSD, 파이어폭스 애드온	2010-01-23 (3.6.5.0)	4.1 (2013-03-16)	MIT
CCleaner	피리폼	윈도우	?	?	프리미엄

같이 보기

• HTTP 쿠키
• 에버쿠키
• 웹 스토리지
• 인덱스드 데이터베이스 API
• 웹 SQL 데이터베이스
• 구글 기어스
• 장치 지문
• 캔버스 지문