인터넷에서 당신의 모든 행위는 관찰의 대상이다. 당신이 현재 살펴보고 있는 웹사이트는 무엇이고, 읽고 있는 이메일이 무엇이며, 어떤 동영상을 보고 있는지 등을 알기 위해 다양한 기업이 날로 진화하는 기술로 당신을 추적하고 있다. 이른바 트래킹(tracking)이라 불리는 기술은 어떻게 작동하고, 어떤 영역에서 실제 트래킹 기술이 이용되고 있는지, 개별 이용자는 어떻게 트래킹으로부터 보호받을 수 있는지 등을 살펴보자.
월드와이드웹과 함께한 웹 트래킹의 역사
어떤 이용자가 특정 웹사이트 또는 웹페이지를 방문했을 때 그 이용 행위를 기록 및 저장하고 이를 분석하여 이용자에 대한 프로필 정보를 만들고, 이용자 프로필에 맞춰 적절한 광고 상품을 노출하는 데 쓰이는 기술을 웹 트래킹(web tracking)이라 부른다.
웹사이트 운영자는 방문자 중 재방문자의 비율은 어느 정도인지, 재방문자의 행위가 첫 방문자들과 구별되는지 등이 궁금하다.
방문자의 주된 유입 경로는 무엇일까, 검색을 통해서? 아니면 이메일 또는 페이스북을 통해서? 아니면 즐겨찾기를 이용해서 방문했을까? 특정 뉴스사이트를 한 주 동안 5회 이상 방문한 이용자를 ‘충성 고객’으로 분류할 수 있을까? 그렇다면 이들에게는 다른 뉴스서비스를 또는 다른 광고를 노출하는 것이 효과적일까?
‘장바구니’는 정기적으로 업데이트하고 있으나 실제 구매를 하지 않는 이용자 수가 계속해서 증가하고 있다면, 또는 로그인 하지 않은 상태에서 검색을 이용하는 재방문자의 수가 늘어나고 있다면, 해당 쇼핑몰 운영자는 어떤 대응책을 강구해야 할까?
특정 서비스 운영자 입장에 볼 때 이런 정당한 질문에 답을 찾고자 하는 기술인 웹 트래킹은 월드와이드웹 초기부터 이용자와 언제나 함께했다. 다음, 네이버, 구글 등 이메일 서비스를 제공하는 기업도 예외는 아니다. 이용자의 이메일 내용을 분석하고 이에 맞는 광고 상품을 이메일과 함께 노출하지 않는다면 이른바 ‘무료(free) 서비스’는 경제적 측면에서 존재할 수 없기 때문이다.
쿠키, 트래킹 기술 남용의 시작
이용자 행위 트래킹을 위해 보편적으로 사용하는 기술은 ‘쿠키'(HTTP Cookie)다. 이용자가 특정 웹사이트를 방문할 경우, 매우 작은 크기의 파일이 이용자 컴퓨터 또는 스마트폰에 저장된다. 이 데이터 또는 파일은 고유한 식별번호(identification number)를 가지고 있으며, 일반적으로 웹 브라우저에 저장된다. 앞서 말한 특정 웹사이트를 재방문할 경우, 쿠키에 담긴 식별번호는 동일 브라우저 여부를 판단하는 근거로 기능한다.
쿠키는, 헨젤과 그레텔이 깊은 숲에서 길을 잃을 것을 두려워해 흘린 쿠키처럼 인터넷 서비스 제공자에게 서비스를 진화시킬 수 있는 이정표로서 기능한다. 고객의 만족도를 정확하게 알아야 서비스를 개선할 수 있는 여지가 생기기 때문이다. 문제는 쿠키 기술의 남용에서 시작된다.
첫 번째는 쿠키를 통해 얻은 정보와 로그인 또는 회원가입 정보를 결합해 이용자 프로파일링(client profiling)을 진행하는 일이다. 로그인을 의도적으로 하지 않은 이용자의 익명성 권리를 침해한 경우다. 이용자 프로파일링이 ‘제3자 쿠키’ 관행과 결합하면 쿠키의 긍정적 기능을 넘어 개인정보 침해로 결과할 수 있다.
두 번째 쿠키 남용 가능성은 제3자 쿠키다. 이용자가 특정 웹사이트를 방문할 경우, 해당 웹사이트의 쿠키만 내려받는 것이 아니라 광고 등 타 서비스의 쿠키를 동시에 내려받는다. 이 타 서비스의 쿠키를 제3자 쿠키(third-party cookie)라고 칭한다.
광고 트래킹(ad tracking)을 가정해 보자. 동일한 광고 서버(ad server)가 뉴스사이트 10개, 온라인 소핑몰 5개, 커뮤니티 3개 등에 광고를 노출하면서 별도의 쿠키를 방문자의 웹 브라우저에 설치한다. 그리고 총 18개의 사이트를 통해 설치된 쿠키를 통합하여 특정 방문자의 행위를 분석하면 해당 방문자에 대한 보다 정확한 프로파일링이 가능하며, 이에 기초한 보다 효과적인 광고 노출이 가능하다. 광고 사업자가 제3자 쿠키의 유혹을 떨쳐버리기란 쉬운 일이 아니다. 경제적 관점에서 볼 때 제3자 쿠키를 막을 방법은 없다.
제3자 쿠키의 진화된 형태가 유튜브 동영상 임베드(embed)와 페이스북 ‘좋아요’ 버튼 임베드다. 임베드 방식으로 특정 웹사이트 및 웹페이지에서 결합한 동영상의 데이터는 해당 웹사이트가 아닌 유튜브 서버로부터 직접 전송된다. 이때 유튜브 서버는 쿠키를 함께 보낸다. 페이스북 ‘좋아요’ 버튼도 마찬가지다.
한편 자체 웹사이트 로그인이 아닌 페이스북, 구글플러스, 트위터 등 SNS 로그인을 요청하는 웹사이트가 많이 증가하고 있다. 이른바 소셜 로그인(social login)이다. 웹사이트 운영자는 관련 SNS로부터 소셜 로그인 이용자의 소셜 그래프(social graph) 정보를 그 대가로 받는다. 자체 로그인 서비스 운영 부담을 줄일 수 있는 장점도 있다. 이용자 입장에서도 다양한 서비스를 하나의 로그인 계정으로 이용할 수 있어 소셜 로그인은 빠른 속도로 확장하고 있다. 문제는 그만큼 제3자 쿠키의 가능성이 높아졌다는 점이다.
위치정보 트래킹에 이용되는 IP 주소
쿠키와 함께 가장 일반적으로 이용되는 트래킹 기술은 IP 주소에 기초한다. IP 주소는, 이진법에 기초한 수의 조합으로 네트워크에 연결된 기계에 부여되는 번호다. 예를 들어 네 개의 블럭으로 구성된 IPv4의 IP 주소인 54.64.10.72를 가정하자. 이 주소는 특정 웹사이트가 설치된 아마존 웹서비스(AWS) 서버의 주소다. 마찬가지로 이 웹사이트를 방문하는 PC, 노트북, 스마트폰 등은 방문자의 기계 모두는 IP 주소를 가지고 있으며, 앞서 언급한 서버와 이 기계들이 연결될 때 해당 기계의 IP 주소가, 다시 말해 웹사이트와 연결된 기계의 주소 정보가 웹사이트 서버에 전달된다.
물론 IP 주소는 고정되지 않고 변할 수 있다. 그리고 동일한 IP 주소를 가진 복수의 컴퓨터를 복수의 이용자가 이용할 수 있다. 따라서 앞서 예를 든 웹사이트를 방문하는 이용자의 정확한 위치 정보를 바로바로 파악하는 일은 불가능하다. 그러나 접속하는 기계의 IP 주소를 지속해서 분류할 경우, 정확한 주소는 아니지만 정확한 지역은 어렵지 않게 알 수 있다. 한국에서 접속을 시도하고 있는지 또는 일본에서 접속하고 있는지 알 수 있을 뿐 아니라, 이용자의 현재 위치가 서울인지 대전인지에 대한 분석이 가능하다. 누구나 내려받을 수 있는 데이터 셋인 Geolite City 데이터 셋을 이용할 경우, 특정 IP 주소로부터 40km 수준의 정확성을 가진 위치 정보를 알 가능성은 약 75%에 달한다.
이용자 정보에 기초한 상관관계 분석
쿠키와 IP 주소를 통해 확보한 이용자 정보는 해당 웹사이트 운영자에게만 머물러있지 않는다. 자체 분석능력이 부족하거나 자체 분석의 경제성이 떨어질 경우, 수집된 쿠키 정보 등을 외부 분석회사에 위탁한다. 외부 분석회사의 경우 일반적으로 복수의 고객을 가지고 있다. 예를 들어 독일의 IQ Media의 경우 로이터 통신, 10여 개의 독일 대표 뉴스사이트를 비롯하여 비즈니스 SNS인 링크드인(LinkedIn)의 쿠키 정보를 분석하고 있다.
이렇게 모여서 쌓인 이용자 데이터는 이용자의 취미, 직업, 성별, 나이 등을 추론하는 데 이용된다. 특정 행위와 성별 사이의 상관관계, 특정 행위와 직업 사이의 상관관계 등이 분석 대상이다. 이러한 상관관계 분석의 최종 목표는 높은 광고 효과다. 이른바 “타겟 광고”(Targeted Advertising)의 출현과 발전은 쿠키 및 IP 정보와 직접적인 연관성을 가지고 있다.
전문 분석업체의 분석 정확성과 이에 기초한 광고 효율성에 대한 체계적인 분석은 아직 존재하지 않는다. 한편 2012년 4월 기준 페이스북은 총 81개 범주에서 개별 이용자를 분류하고 있는 것으로 알려졌다. 페이스북 개별 이용자의 이용 빈도와 이용 강도에 따라 각 범주에는 더 세부적인 하위 범주 분류가 가능할 것이다.
이메일 트래킹
무료 이메일 서비스의 경우 이용자의 이메일에서 특정 키워드를 도출하는 방식으로 트래킹을 진행하고 있다. 여기서 분명히 할 점은 사람이 직접 이용자의 이메일 내용을 감시하는 것이 아니라 알고리즘에 의해 특정 키워드를 찾아내고 이에 맞는 광고를 기계적으로 노출한다는 점이다.
이메일에 ‘고양이’라는 단어가 반복될 경우 고양이 관련 광고를 게재한다. ‘이혼’과 ‘다이어트’가 반복적으로 이메일에 등장할 때 그와 관련한 광고를 이용자에게 노출한다.
구글 등 무료 이메일 서비스 사업자는 어떻게 이러한 단어를 도출하고 이에 맞는 광고를 게재하고 있는지, 그리고 그 효과는 어떠한지 등에 대한 정보를 공개하지 않고 있다. 그러나 분명한 점은, ‘무료’ 이메일이란 광고 문구일 뿐이라는 점이다. 이용자는 자신의 데이터를 이메일 서비스 제공자에게 주고 그 대가로 이메일 서비스를 이용하고 있다.
앱 트래킹
스마트폰에 설치된 손전등 앱도 스마트폰 위치정보에 대한 접근권을 가질 수 있다. 단일 기업에서 제작한 복수의 앱이 특정 이용자 스마트폰에 설치되어 있다면 해당 이용자의 다양한 정보가 앱을 제공한 기업으로 흘러간다.
지금까지 살펴본 트래킹 기술의 경제적 목표는 광고 효율성을 높이는 데 있다. 그러나 스마트폰의 디스플레이 광고효과는 이른바 오터치(fat finger) 등을 제외할 경우 매우 낮은 것으로 알려졌다.
또 다른 예외는 페이스북, 트위터 그리고 이후 인스타그램에서 높은 광고효과(CTR)를 자랑하는 인스트림(in-stream) 광고다. 페이스북 모바일 광고의 CTR은 약 3%에서 6%에 이르는 것으로 알려졌다. 매우 높은 광고효과다. SNS 앱을 제외하면 스마트폰에서 광고효과는 매우 낮으며 관련 트래킹 기술은 스마트폰 앱에서는 그 빛이 바랜 상태다.
그러나 앱 트래킹의 효용가치가 입증될 수 있다면, 트래킹의 가능성은 그 어떤 트래킹 기술의 그것보다 크다. 아마존 등이 앱 트래킹에 연구를 집중하고 있는 이유다.
트래킹 vs. 정보 프라이버시(information privacy)
‘트래킹 기술이 합법적인가, 아닌가?’라는 질문에 답변하는 일은 쉽지 않다. 고학수, 이상민이 2013년에 쓴 “국내 인터넷사이트의 개인정보 수집 현황 분석”에 따르면, 쿠키 등 트래킹 기술을 통해 수집된 정보를 개인식별정보(personally identificable information)로 정의하거나, 트래킹 기술을 제한하는 한국 법령은 2014년 현재 존재하지 않는다. 특히 해외 사업자에 의한 트래킹 기술 사용을 규제하거나 제한하려는 시도는 한국사회에 아직 존재하지 않는다. 따라서 사업자 스스로 다소 추상적인 개인정보보호법을 어떻게 해석하는가에 따라 트래킹 기술의 적용 범위를 스스로 결정하고 있는 것이 현실이다.
예를 들어 현행법은 IP 주소를 개인(과 관련한) 정보로 분류하지 않는다. 때문에 IP 주소는 ‘개인정보보호법’의 적용을 받지 않는다. 다만 IP 주소는 통신비밀보호법에서 ‘통신사실확인자료’로 분류되고 있을 뿐이다.
따라서 트래킹 기술의 진화 및 그 적용 범위 확대를 고려한 상황에서 ‘개인정보보호범’ 개정 논의가 필요한 시점이다.
이용자 개인의 선택?
웹 브라우저에서 정기적으로 쿠키를 삭제하는 습관을 모든 이용자에게 요구하는 것은 사실상 불가능하다. 개인정보에 민감한 이용자 규모가 작을 뿐 아니라, 번거로운 쿠키 삭제의 필요성과 효과를 이용자 스스로 절감하기란 쉽지 않다. 더욱이 진화하는 스마트폰 트래킹 기술에 대한 지식을 이용자가 시기적절하게 습득할 가능성도 매우 낮다.
이러한 이용자 상황을 고려했는지는 알 수 없으나, 미국 연방거래위원회(Federal Trade Commission)는 지난 2010년부터 “Do-not-track(DNT; 날 추적하지 마세요)” 제도를 운영하고 있다. DNT는 이용자에게 트래킹 여부에 대한 선택권을 부여한다. 트래킹을 거부하는 이용자는 자신의 웹 브라우저에 DNT 메시지를 담은 신호를 설치하고, 이 신호를 다양한 쿠키에 담아 사업자 서버에 발송한다. 그러나 이용자가 보내는 DNT 메시지를 존중할 것인지 또는 무시할 것인지는 전적으로 사업자의 선택에 달려있다. 다시 말해 DNT 캠페인의 실효성은 매우 의심스러운 상태다.
[box type=”note” head=”쿠키에 관심이 있다면”]
쿠키에 관심 있는 이용자에게 유용한 정보는 다음과 같다.
- 자신의 웹 브라우저를 통해 어떤 정보가 쿠키를 통해 사업자에게 흘러가는지 알고 싶다면, 파이어폭스 브라우저 확장기능 중 라이트빔(Lightbeam)을 이용할 것을 추천한다.
- 광고에서 작동하는 쿠키를 거부하고 싶다면 애드블럭 플러스(Adblock Plus), 애드블럭(Adblock), 고스터리(Ghostery) 이용을 추천한다. 이때 MS의 인터넷 익스플로러는 가능하다면 이용하지 않는 것이 좋다.
- 웹 브라우저 상단에 설치된 네이버 툴바, 다음 툴바, 알툴바 등을 삭제하자. 이 툴바들은 자신의 웹 브라우저 내용을 해당 기업에 상납하는 기능을 가지고 있다.
[/box]
당신에 대한 추적은 계속된다
웹 브라우저 또는 스마트폰 앱을 통한 이용자에 대한 추적(=트래킹)은 계속되고 있다. 입법기관은 현 상황에 대한 신뢰할 수 있는 수준의 정보를 가지고 있지 않다. 2014년 현재 관련 외부 용역 연구가 진행 중인 수준이다.
더욱 큰 문제는 국내법으로만 트래킹 기술에 대한 규제와 제한을 할 수 없다는 점이다. 구글과 페이스북 등 미국 기업에 의한 트래킹에 대한 투명한 관리를 위해서는 관련 국가 및 국제기구 수준에서의 논의와 합의가 필요하기 때문이다.
트래킹 기술에 대한 투명한 관리가 지속적으로 필요한 이유는, 개인식별정보에 대한 보호를 넘어 디지털 기술 진화 과정에서 사회 전체의 신뢰성 회복이 절실하다. 아쉽게도 한국의 개인정보보호법은 기술의 발전 수준을 따라가고 있지 못하다.
![한국 판타지 소설을 돌아보며: [3] 폭풍의 5년(2015-2019)](https://slownews.kr/wp-content/uploads/2020/01/000-1-768x531.jpg)
안녕하세요. 현재 크롬 브라우저를 사용 중인 컴맹 입니다.
개인정보 보호에 관심이 있는? 편이라고 생각합니다.
툴바 사용안한지 몇 년은 된 것 같구요.
최대한 컴퓨터에 새롭게 무언가를 다운 받지도 않고,
만약 다운 받거나 설치될 경우 따로 폴더(자동 다운로드 될 경우 지정해둔 상태) 를 만들어서 확인을 하고 있습니다.
1주일에 한번씩 조각모음 프로그램을 사용하구요.
가입 사이트마다 id/ password 다르게 하기 위해 노력도 합니다.
Avira 로 바이러스 검사를 하고,
크롬 확장프로그램 AdBlock, No History 를 사용 중입니다.
확장프로그램 Website Blocker 도 이용 중입니다.
이건 개인정보 보호와 관계는 없지만, 광고 팝업창 처럼 자동으로 연결되는 인터넷사이트가 생각보다 많더라구요.
요즘은 광고를 팝업창으로 안하고 사이트 직접링크로 하나봅니다;;
그런곳 나올 때 마다 죄다 블럭합니다.
누가 저를 감시한다는 기분도 싫고,
Do-not-track(DNT; 날 추적하지 마세요)” 을 원합니다.
컴맹에게 반드시 필요한 프로그램 추천해주세요.
이 정도면 개인으로선 최선의 방법인가요?
No History 의 기능은 기록의 삭제로 알고 있는데요.
이게 쿠키의 삭제를 말하는 건가요.
아니면 쿠키 삭제 프로그램을 따로 설치해야 하는건가요?
어느 정도의 노력이면 DNT 가 가능할까요?
정말 유익한 글이었습니다.
안녕하세요. 이번 학기에 cyber crimlaw를 공부하는 학생입니다 정말 유용 한 정보 감사합니다 여기가 뉴욕이라서 그러는데 저희 클래스에도 이글을 소개하고 싶습니다. 하지만 이글을 다 영역할 수준은 못되고요 메일 상자를 보니 번역해주는 기능이 있더라구요. 그래서 번역을 했는데 그건 기계가 한건가요?아님 어느 번역가분이 하신건가요? 여기서 학교를 다니다보면 학교 편지중 한글로 번역되어서 오는 편지가 있는데 영 말이 안되더라구요 이글을그번역하는 기계로 번역해도 될까요 아님 명문사이트긴 있으신가요?답좀,제발.
감사합니다