본문 바로가기 주메뉴 바로가기 검색 바로가기
슈퍼쿠키, 프라이버시 전문가의 경각심 불러 일으켜
상태바
슈퍼쿠키, 프라이버시 전문가의 경각심 불러 일으켜
독일 광고 기술 기업이 보다폰의 ‘디지털 토큰’ 기능을 시험한다. 소비자가 우려해야 하는 부분일까?
By CHRIS STOKEL-WALKER, WIRED UK

보다폰(Vodafone)과 도이치 텔레콤(Deutsche Telekom)을 포함한 독일 일부 이동통신사 고객이 경쟁사 서비스 사용자와는 살짝 다른 브라우저 사용 경험을 하기 시작했다. 기기에 저장된 채로 주기적으로 실행되는 서드파티 추적 쿠키 대신 트러스트피드(TrustPid)라는 기능을 시범 사용하기 시작했다.

트러스트피드는 모바일 이동통신사가 사용자 IP 주소를 기반으로 가짜 익명화 토큰을 생성하도록 한다. 가짜 익명화 토큰은 이동통신사가 관리하며, 마찬가지로 ‘트러스트피드’라는 이름으로 칭한다. 사용자마다 접속하는 웹사이트에 사용할 다른 토큰을 받는다. 토큰은 사용자 개인에게 맞춤화된 상품 추천을 위해 사용한다. 그러나 트러스트피드가 말하는 보안과 프라이버시 친화적인 방식으로 진행된다. 바로 프라이버시 친화성이라는 주장에 비판 세력이 분노를 드러냈다.

인터넷은 광고를 실행한다. 인터넷 광고국(IAB) 조사 결과, 2021년 디지털 광고 산업의 거래 실적은 총 1,890억 달러에 육박했다. 그러나 광고 업계의 비밀은 없다는 불투명한 태도는 프라이버시를 침해하는 사용자의 온라인 활동 감시에 의존하며, 방문한 웹사이트와 게시글 등 여러 요소를 기준으로 여러 맞춤 정보를 생성한다.

독일에서 트러스트피드를 실험 중인 보다폰은 광고 기업이 고객의 심층 분석 정보 가치를 얻도록 하는 동시에 사용자 데이터를 비공개 상태로 유지하는 것으로 추정된다. 그러나 모두가 동의하는 것은 아니다. 다수 인터넷 프라이버시 전문가는 트러스트피드를 소규모 데이터를 사용자 IP 주소, 모바일 기기 연락처와 연결한 기술의 일부분인 슈퍼쿠키(supercookie)로 분류했다. 그리고 트러스트피드 시범 사용을 중단하고, 상용화 계획도 보류해야 한다고 확신한다. 특히, 네트워크 운영사가 고유한 접근 권한을 보유한 채로 통신 데이터의 간단한 경로로 의도한 것을 맞춤형 광고 플랫폼으로 전환하고자 공동 사용하는 방식에 특히 의문을 제기했다. 도이치 텔레콤은 와이어드의 문의에 답변하지 않았다. 보다폰은 트러스트피드를 오해한 것이라고 주장했다.

독일에서 트러스트피드 시험 사용을 감독하는 보다폰 그룹 기업 통신 최고 관리자인 사이먼 폴터(Simon Poulter)는 “트러스트피드는 슈퍼쿠키가 아니라는 점을 강조한다”라고 말했다. 보다폰은 그 대신 트러스트피드를 개인을 식별할 정보를 전혀 포함하지 않은 디지털 토큰 기반 기술이라고 언급했다. 폴터는 광고 기업과 출판 기업 한 곳에 특정된 디지털 토큰의 수명이 90일이라고 덧붙였다.

보다폰 제품 총괄 윌리엄 하머(William Harmer)는 트러스트피드 프로젝트가 버라이즌 와이어리스(Verizon Wireless)가 한동안 사용했던 광고 기술과는 달리 데이터를 가로채 고객 프로필을 형성하지 않으므로 슈퍼쿠키가 아니라고 주장했다. 미국 연방통신위원회(FCC)는 2016년, 사용자의 모바일 브라우저에 사용자 합의 없이 슈퍼쿠키를 심어 두어, 버라이즌 와이어리스에 벌금 135만 달러를 선고했다. 2015년, 디지털 시민 권리 단체 액세스 나우(Access Now)는 자체 조사를 통해 10개국 이동통신사 여러 곳이 2000년부터 슈퍼쿠키를 사용해왔다는 사실을 확인했다. 이처럼 부정적인 소식이 대대적으로 강조된 탓에 보다폰은 트러스트피드를 슈퍼쿠키로 지정하는 것에 강력히 반대한다.

보다폰은 각각의 협력 웹사이트가 같은 사용자를 대상으로 다른 토큰을 생성하는 트러스트피드가 사용자 데이터를 여러 웹사이트 전 영역에 걸쳐 분리된 후 사용자의 관심사를 담은 광범위한 정보를 생성할 확률이 줄어든다고 주장했다. 바로 맞춤화된 광고가 웹 전 영역에서 끝까지 추적하는 것에 싫증이 난 인터넷 사용자가 주로 우려하는 문제이기도 하다. 폴터는 “트러스트피드는 프라이버시를 우선순위로 둔 설계 조건을 따랐으며, 유럽연합 개인정보보호 규정(GDPR) 요구사항과 관련 법안을 준수한다”라고 말했다.

하머 총괄은 온라인 광고의 변화가 트러스트피드 시험 사용을 택한 배경이라고 말했다. 그는 “반대로 불공정 관행인 듯한 상황에서는 각종 프라이버시 조치를 택한다. 그리고 광범위한 영역에서 프라이버시 보호를 상실하고 인터넷에 꽤 널리 공개되는 듯한 고객 데이터와 관련한 수많은 논의가 이루어졌다”라고 언급했다. 보다폰은 트러스트피드가 프라이버시와 데이터 공개 문제를 모두 해결해, 광고 기업에 온라인으로 비용을 지출하는 동시에 소비자에게 데이터 보호 능력을 제공한다고 확신한다.

보다폰은 규제 기관에 트러스트피드 시범 사용 문제를 정확히 설명했다고 밝히며, 독일 연방 데이터 보호 및 정보 자유 위원회(BfDI)와 두 차례 만난 사실을 덧붙여 전했다. BfDI 대변인 크리스토프 슈타인(Christof Stein)은 “보다폰은 단순히 도이치 텔레콤과 함께 BfDI에 트러스트피드 기술 정보를 제공했을 뿐이다. BfDI가 이동통신사의 데이터 보호 권한을 책임지기 때문이다”라고 말했다. 슈타인 대변인은 트러스트피드 기술 확립이 영국 지사와는 별도의 기업이라고 전했다. 영국 지사를 통해 제공하는 트러스트피드는 영국 정보위원회(ICO)에서 담당한다. ICO 대변인 데보라 비아수티(Debora Biasutti)는 와이어드에 “사용자의 확고한 통제 능력이 없는 웹 전 영역에 걸친 추적을 완화한다는 제안 모두 온라인 광고 업계에 만연한 사용자 프라이버시 문제없이 이루어질 수 없다”라고 말했다. 이어서 트러스트피드가 영국 데이터 보호국과 트러스트피드 사용 논의를 한 적이 없다고 밝혔다.
 
[사진=Pixabay]
[사진=Pixabay]

슈타인 대변인은 BfDI가 트러스트피드를 사용하는 기업이 단독으로 연락한 적이 없다고 밝혔다. 데이터 보호 규정 준수 여부와 관련, 트러스트피드가 고유한 가짜 네트워크를 식별한다는 주장이 유럽연합의 전자 프라이버시 지침(ePrivacy Directive)의 가치를 더한 서비스가 될 수 있고 언급했다.

핵심은 ‘될 수 있다’라는 표현이다. 슈타인 대변인은 “사용자가 동의 후 자발적으로 제공하는 정보만이 트러스트피드 사용의 용납할 수 있는 토대이다. 이 부분에는 높은 수준의 표준을 지정해야 한다. BfDI는 현재 사용자 합의가 자발적 정보 제공이라는 조건을 충족한다고 보기는 어렵다”라고 말했다.

슈타인 대변인은 BfDI는 독일 내 트러스트피드 시험 사용 시 데이터 처리 방식을 최종 결정하지 않았다고 밝혔다. 현재 보다폰 독일 지사와 영국 지사를 포함한 1,200곳이 넘는 기업이 가입한 업계 단체인 GSM 협회(GSM Association)는 트러스트피드 시험 사용과 관련된 자문 정보를 제공하지 않았으나 협회 내 기술팀에 데이터 관리 방식을 조사하도록 요청할 예정이라고 전했다.

그러나 어느 한 전직 GSM 협회 프라이버시 국장은 트러스트피드의 데이터 처리 방식을 결정했다. 2009년부터 2015년까지 GSM 협회 데이터 보호 및 프라이버시 컨설턴트로 활동한 팻 월쉬(Pat Walshe)는 왈쉬는 “모바일 이동통신사가 트러스트피드로 사용자 데이터를 사용하는 것이 실망스럽다. 이동통신사는 사용자 통신 정보와 데이터 기밀을 관리해야 한다. 그러나 이동통신사가 사용자 데이터를 수집하고는 디지털 게시판처럼 취급하는 등 사용자를 기업 수익 창출 수단으로 본다는 사실이 분명하다”라고 말했다. 왈쉬는 GSM 협회에서 프라이버시 원칙을 작성하고 10년이 지난 뒤 트러스트피드가 등장했다는 점에서 특히 문제가 된다고 본다. 또한, 트러스트피드의 접근 방식이 모순이 될 수 있다고 생각한다.

왈쉬 이외에 다른 전문가도 트러스트피드를 부정적으로 본다. 오스트리아 빈 소재 연구 기관인 크랙트 랩스(Cracked Labs) 소속 볼피 크리스틀(Wolfie Christl) 연구원은 “통신 네트워크를 운영하는 기업은 사용자를 추적하면 안 된다. 사용자 추적을 위해 다른 기관을 도와서도 안 된다. 트러스트피드가 이동통신 네트워크의 신뢰할 수 있는 기관이라는 특수한 입지를 위반한다고 본다. 사용자 수백만 명의 프라이버시를 위험한 수준으로 공격하는 행위이다”라고 비판했다.

왈쉬는 트러스트피드가 사용자의 합의를 얻어 사용하는 데이터를 수집했다고 주장하는 데 큰 어려움을 겪을 것으로 확신한다. 그는 “누구나 위치 정보, 통화 기록, 통화 상대 등 모든 개인 데이터를 기업이 분석할 수 있다는 솔직한 공식 발표에 동의할 사용자 수가 얼마나 될 지 확신할 수 없다. 기업이 사용자 데이터를 분석한다는 내용의 공식 발표에 동의할 의사가 있는 이를 본 적이 없다. 기업의 데이터 수집 및 분석 계획에 동의하는 이는 없을 것이다”라고 주장했다. 하머 총괄은 트러스트피드의 프라이버시 정책은 사용자를 통해 수집하는 정보 유형을 명시하고, 두 가지 핵심 지침을 따른다고 말했다. 하머 총괄이 언급한 핵심 지침은 사용자가 서비스를 손쉽게 승인하거나 거부할 수 있다는 원칙과 데이터가 처리하는 것과 그 방식의 명확한 설명이다.

크리스틀 연구원은 트러스트피드 프로젝트가 “매일 웹사이트에서 사용자가 다루는 가짜 합의 배너의 오인과 무의미함으로 트러스트피드 구축을 정당화한다”라며 우려를 드러냈다. (하머 총괄은 쿠키 배너는 사용자가 거부하기 어렵다는 점에서 문제가 되며, 트러스트피드는 쿠키 배너 사용을 피하려 한다고 말했다.) 또한, 크리스틀 연구원은 트러스트피드가 “무책임하면서도 노골적으로 사용자 데이터를 이용하며, 통신 기술 신뢰도를 저하한다”라며, “따라서 트러스트피드 시험 사용을 즉각 중단해야 한다”라는 견해를 피력했다.

디지털 토큰과 슈퍼쿠키 중 어떤 표현으로 칭하는가를 떠나 트러스트피드의 온라인 광고 혁신 도박은 디지털 프라이버시 옹호 세력 사이에서 분노를 자극했다. 보다폰은 독일 언론이 트러스트피드 시험 사용 초기 보도 당시 기업의 견해를 설명할 수 없는 상황이었다고 주장했다. 하머 총괄은 “일각에서는 보다폰이 사용자의 관점에서 부정적이라는 평가를 받을 수 있는 일을 다른 곳에서 시행했듯이 반복한다는 억측을 제기했다”라고 말했다. 보다폰은 해당 초기 보도 내용이 보도 후 대중의 견해를 어조를 형성했다고 본다. 이어서 하머 총괄은 두 번째 문제로 “보다폰은 디지털 광고가 수월해지도록 한다”라며, “사용자와 웹사이트 간 필요하다고 보는 데이터 교환 수준이 제한되었다. 일각에서는 보다폰이 데이터 교환 수준을 전혀 제한하지 않았다고 확신한다”라고 전했다.

보다폰의 트러스트피드 프로젝트 성공에는 콘텐츠 제공 기관이나 콘텐츠에 반한 광고 판매를 희망하는 웹사이트의 합의가 필요할 것이다. 추구할 가치가 있는 아이디어이기도 하다. 보다폰은 광고 기업을 확보할 필요성도 인식하고 있다. 하머 총괄은 “시험 사용 단계에서는 트러스트피드의 데이터 사용 방법을 재정의한다고 선언하는 것만으로는 부족하다. 그러나 광고 기업과 출판 기업에 도움이 도리 수 있다는 신호를 어느 정도 보낸다면 충분할 것이다”라고 말했다. 이 외에도 보다폰은 사용자 피드백에도 신중하게 반응한다. 지금까지 보다폰이 받은 피드백은 긍정적인 반응과는 거리가 멀었다. 왈쉬는 사용자의 부정적인 반응이 당연하다고 언급했다. 그는 “보다폰이 트러스트피드 프로젝트를 진행하면서 소비자를 개인 데이터 사용 방식에 무관심한 수동적인 개인으로 보는 등 거만한 태도를 보였다”라고 말했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
‘Supercookies’ Have Privacy Experts Sounding the Alarm
이 기사를 공유합니다
RECOMMENDED