프라이버시 운동가 알렉스 한프(Alexander Hanff)가 유튜브의 새로운 광고 차단 감지 시스템이 유럽 법률을 위반했다고 주장했다. 한프는 유럽연합 집행위원회에 유튜브를 고발했다.
2023년 11월 6일(현지 시각), 독일 해적당(Pirate Party) 소속 국회의원인 패트릭 브라이어(Patrick Breyer) 의원은 한프의 유튜브 고발 사항을 다루면서 개인정보 보호 및 전자통신 지침(ePrivacy Directive) 제5조 3항의 ‘기기에 저장된 정보 보호’ 규정이 다루는 정보가 사용자의 기기가 숨기거나 차단한 특정 페이지 요소도 포함하는지, 혹은 광고 차단 소프트웨어가 유튜브와 같은 서비스를 제공하기 위해 절대적으로 필요한지 법적 지위를 공식적으로 의문을 제기했다.
유튜브는 2023년, 유럽 사용자를 대상으로 광고 차단 감지 시스템을 배포하여 이제는 일부 유럽 사용자가 광고 차단 프로그램을 실행할 때 유튜브 콘텐츠를 볼 수 없도록 한다. 유럽연합 개인정보 보호 및 전자통신 지침은 온라인 서비스 제공 기업이 구독자나 사용자 기기에 저장된 구독자나 사용자 기기에 저장된 정보 접근 시 명확한 허가 요청을 해야 한다는 규정을 명시했다. 유럽연합 데이터 보호 위원회(European Data Protection Board) 전문 자문 위원이기도 한 한프는 유튜브가 자바스크립트 기반 광고 차단 감지 스크립트를 사용하여 사용자의 브라우저에서 생성한 특정 HTML 페이지 요소를 보는 관행이 법률 요구사항에 해당하므로 유튜브가 법률을 위반했다고 보았다.
한프는 아일랜드 데이터 보호 위원회(DPC)에 제출한 고발 사항을 통해 데이터 보호 위원회가 “유튜브의 법률 위반 사항에 따른 조처를 시행하고, 유튜브의 광고 차단 프로그램 감지 시스템 불법 배포 관행 중단을 요구해야 한다”라고 주장했다.
조만간 공개될 유럽연합위원회 개인정보 보호 및 전자통신 지침 개정 초안 작성을 도운 한프는 유튜브가 자바스크립트를 이용하는 관행이 유럽연합 시민의 프라이버시를 위반했다고 지적한다.
한프는 “유튜브가 배포한 스크립트는 사용자가 기기에서 실행하는 소프트웨어와 사용자의 브라우저가 개인 활동과 관련하여 보여주는 사항을 감지한다. 문제가 되는 부분이다. 불법 행위이다”라며, “유럽연합 시민은 유럽 기본권 헌장(European Charter of Fundamental Rights) 제7조에 따라 프라이버시 권한을 보장받는다. 또, 제8조에 따라 데이터 보호 권리라는 기본권도 보장받는다”라고 거듭 주장했다.
유튜브는 2023년 5월 자로 광고 차단 프로그램 반대 계획을 시행했다. 그리고 한 달 뒤에는 광고 차단 감지 시스템 배포 시범 단계를 진행 중이라고 발표했다. 유럽 사용자는 2023년 10월 중순부터 광고 차단 감지 시스템 메시지를 보기 시작했다. 유럽 내 모든 사용자가 광고 차단 감지 시스템의 영향을 받은 것은 아니다. 유튜브 계정에 로그인했을 때만 광고 차단 감지 시스템을 볼 수 있다.
유튜브가 광고 차단 프로그램이나 광고 차단 기능을 일부 기능으로 제공하는 다른 프라이버시 툴을 감지할 때는 사용자에게 “광고 차단 프로그램은 유튜브 서비스 약관 위반 사항이다”, “유튜브에서는 광고 차단 프로그램을 사용할 수 없다”와 같은 경고 메시지를 띄운다. 광고 차단 프로그램 관련 경고 메시지는 사용자의 영상 콘텐츠 실행 전체 금지나 차단 전 볼 수 있는 콘텐츠 수를 제한하는 형태를 포함한 여러 방식으로 등장한다.
광고 차단 프로그램 종료를 요청하는 팝업 메시지가 등장하는 것은 인터넷에서 이례적인 일이라고 보기는 어렵다. 그런데 광고 차단 프로그램 실행을 경고하는 것이 법률 위반 사항에 해당할까?
[사진=Unsplash]
와이어드가 인지한 유튜브 광고 차단 감지 시스템 버전 모두 클라이언트 브라우저에서 실행하는 자바스크립트 프로그램을 사용한다. 그러나 유튜브는 프라이버시 침해를 하지 않는 서버 측면의 방식을 이용해 영상 콘텐츠에 포함된 광고가 실행되었는지 확인한다고 주장한다.
한프의 고발 내용에 따르면, 유튜브 클라이언트 측 감지 코드가 개인정보 보호 및 전자통신 지침 2002/58/EC의 제5조 3항에 명시된 ‘구독자나 사용자 기기에 저장된 정보 접근’ 대상에 해당한다. 한프의 주장이 인정된다면, 사용자는 유튜브가 접근하고자 하는 정보와 관련하여 포괄적으로 명확한 정보와 유튜브가 접근하려는 정보 사용 대상을 안내받고, 정보 접근 과정 거부 권한도 받아야 한다.
많은 사용자가 웹사이트가 사용자나 사용자의 브라우저와 관련된 필수가 아닌 정보를 수집하고자 할 때 등장하는 쿠키 수집 동의 형태에 익숙할 것이다. 현재 명확한 정보 수집 알림이나 유튜브가 사용자 기기나 네트워크 연결 시 광고 차단 툴 사용 여부를 파악할 데이터를 확보할 때 게재하는 정보 모두 존재하지 않는다.
유튜브 커뮤니케이션 관계자 크리스토퍼 로턴(Christopher Lawton)은 와이어드와의 인터뷰에서 “광고는 전 세계 크리에이터의 다양한 생태계와 전 세계 사용자 수십억 명이 유튜브에서 가장 좋아하는 콘텐츠에 접근하도록 지원하는 수단이다. 광고 차단 프로그램 실행은 유튜브 서비스 약관 위반 사항에 해당한다”라고 전했다.
2022년 1월 5일 자로 개정된 유튜브 서비스 약관은 광고 차단 툴이나 광고 차단 감지 시스템 시행 관련 사항 모두 명시하지 않았다. 다만, 서비스 우회나 비활성화, 기만행위, 기타 서비스 방해 행위에 해당하는 사용자 활동을 금지한다는 허가 및 제한 사항 조항이 광고 차단 프로그램 사용 금지를 다룬다고 볼 수 있다.
그러나 네덜란드 마스트리히트대학교 프라이버시 법률 및 사이버 보안, 데이터 관리 석사 출신인 한프는 “유럽연합 서비스 보호법에 따라 계약 시 유럽 시민의 기본권과 자유를 침해하는 조항을 불법으로 강행해서는 안 된다”라는 견해를 피력했다. 쿠키 동의 형태가 개인정보 침해 수준이 심한 이유로 기기에서 다른 약관과 조건을 동반하여 접근할 수 없기 때문이라고 덧붙였다.
브라이어 의원도 와이어드와의 인터뷰에서 한프와 같은 의견을 제시하며, “광고 차단 프로그램은 온라인 생활과 온라인 피해 불법 추적 관행에 맞서 사용자를 보호한다. 유튜브의 서비스 약관과 조건은 유럽연합 법률 위반 사항에 해당할 확률이 높다. 유튜브는 사용자를 감시하지 않는 광고만 제공하고, 광고 차단 감지 시스템 배포를 중단해야 한다”라고 말했다.
유튜브가 광고 매출을 올리고자 한다는 사실은 확실하다. 서버 대역폭 자체는 광고 서비스 매출로 연결되는 비용을 부담하지 않는다. 2022년, 광고 제거 유튜브 뮤직 및 유튜브 프리미엄 구독자 수가 8,000만 명을 돌파했다. 유튜브는 2023년 3분기 광고 매출 79억 5,000만 달러를 기록했다고 발표했다.
월 구독료 13.99달러(국내 구독료 월 1만 450원)인 유튜브 프리미엄의 가장 큰 혜택은 광고 없는 영상 콘텐츠 재생과 음원 스트리밍이다. 광고 차단 프로그램을 이용해 유튜브 프리미엄 구독 서비스의 가장 큰 혜택을 누릴 수 있다면, 구독 서비스 가입 혜택은 적다.
유튜브는 콘텐츠 크리에이터에게 콘텐츠 제작 노력을 합리화할 수 있는 수준의 수익을 올리도록 지원해야 한다. 사용자가 광고를 우회하면서 유튜브 프리미엄 구독료를 부담하지 않는다면, 사용자가 보는 영상은 조회 수 대비 충분한 소득을 기록할 수 없다. 광고가 등장하는 즉시 ‘광고 건너뛰기’ 버튼을 누르더라도 마찬가지이다.
유튜브는 유튜브 파트너 프로그램(YouTube Partner Program)에 가입하지 않거나 합의 조건에 따라 영상 제작 매출을 기록하지 않는 크리에이터의 영상에도 광고를 제공할 권리가 있다. 그러나 크리에이터와 광고 매출은 한 푼도 나누지 않는다.
광고 차단 프로그램을 지지하는 이들의 주장은 대역폭 소비 수준 감축부터 심리적 피해를 일으키는 광고까지 다양하다. (예를 들어, 유튜브는 음주, 식단 조절, 온라인 카지노 광고는 제공하지 않는다.) 그러나 광고 차단 프로그램을 찬성하는 이들에게 가장 매력적인 주장은 온라인 보안 문제이다. 다수 보안 전문가는 온라인 광고가 사이버 보안 측면의 핵심 위협 벡터라고 본다. 그리고 유튜브 광고는 과거, 암호화폐 채굴 멀웨어와 스캠, 포르노 콘텐츠 링크 등을 유포한 사례가 있다는 점을 지적한다.
대다수 광고 차단 브라우저 확장 프로그램은 요청된 페이지 내 특정 파일 경로와 파일명(광고 차단 이지리스트(Easylist)를 예시로 언급할 수 있다.)으로 나타난다. 그리고 브라우저에서 생성하는 페이지 버전에서 광고를 제거한다.
예를 들어, 페이지 내 광고에 삽입된 광고 자동화 서비스인 클레버 애드(Clever Ads)가 생성한 스크립트 명칭이기도 한 자바스크립트 프로그램 clever_ads.js는 광고 차단 프로그램이 확인한 뒤 제거하여 어떤 콘텐츠든 정상적으로 실행하도록 한다. 유튜브에서는 광고 API가 광고 차단 프로그램을 대체하는 JSON 파일로 돌아온다.
사용자의 광고 차단 프로그램 실행 여부를 감지하는 방식은 여러 가지이다. 대부분 생성 페이지를 확인하는 다른 자바스크립트 프로그램을 광고 콘텐츠 제거 증거로 사용하는 과정을 포함한다. 주로 광고 게재 스크립트에 자바스크립트 변수나 광고 실행 여부를 확인하는 HTML 요소도 삽입하는 방식으로 광고 차단 프로그램을 감지한다.
그러나 광고 차단 방지 스크립트를 필터 리스트에 추가하듯이 유튜브도 광고 차단 프로그램을 막을 스크립트 업데이트 버전을 배포한다. 따라서 ‘Is YouTube Anti-Adblock Fixed’라는 웹사이트에 명시된 바와 같이 광고 차단 탐지 경쟁이 펼쳐지는 상황이다. ‘Is YouTube Anti-Adblock Fixed’는 유블록 오리진 브라우저 플러그인이 유튜브 광고 차단 감지 프로그램을 제대로 우회하거나 플러그인이 차단한 스크립트 ID 목록의 광고 차단 프로그램 방지 스크립트 ID와의 비교를 우회하는가 확인한다.
궁극적으로 유럽연합은 임의의 웹사이트에서 사용자 허가 없이 사용자 정보를 검색하는 행위를 허용하지 않는다. 대다수 사용자가 동의하는 바이다. 구글도 QUERY_ALL_PACKAGES 허가를 이용해 안드로이드 앱 개발자의 사용자 정보 검색을 금지하며, 사용자가 설치한 앱을 ‘개인의 민감한 정보’라고 설명한다.
아일랜드 데이터 보호 위원회가 마주한 질문은 유튜브 광고 차단 감지 스크립트가 프라이버시 침해에 해당할 정도로 사용자 활동 침해 수준이 심각한가 판단하는 것이다. 자바스크립트 다운로드 및 실행이 쿠키 다운로드 및 저장과 같은 행위에 해당하는가?
유튜브는 광고 차단 감지 시스템 실행이 민감한 정보 수집 행위가 아니라고 주장하려 하며, 단순히 광고가 실행되지 않았다는 점만 확인하려 할 뿐이라는 주장을 펼치려 한다. 유튜브가 서버 측면 광고 차단 감지 시스템을 사용하거나 테스트한 적이 있는지 묻자 로턴은 사용자 기기가 아닌 유튜브 내부에서 현재 광고 차단 감지 시스템을 실행 중이라고 답변했다. 로턴의 답변은 웹사이트의 자바스크립트 감지 활동을 브라우저에서 기능 실행 목적으로 운영한다는 점에서 와이어드가 직접 조사한 사항이나 광고 차단 프로그램 개발자의 주장과는 일치하지 않는 답변이다.
로턴은 “유튜브는 아일랜드 데이터 보호 위원회의 모든 질문이나 요청 사항에 전면 협조할 것이다”라고 전했다.
아일랜드 데이터 보호 위원회는 와이어드의 문의에 답변하지 않았다. 그러나 한프는 아일랜드 데이터 보호 위원회가 유튜브의 광고 차단 감지 시스템 문제를 조사 중이라는 답변을 받았다고 전했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202311/5148_6686_5742.jpg)
뉴스레터 신청