트랙킹 기술과 정보 프라이버시

빅데이터와 사회, 5강

강정수 · 964일전

인터넷에서 당신의 모든 행위는 관찰의 대상이다. 당신이 현재 살펴보고 있는 웹사이트는 무엇이고, 읽고 있는 이메일이 무엇이며, 어떤 동영상을 보고 있는지 등을 알기 위해 다양한 기업이 날로 진화하는 기술로 당신을 추적하고 있다. 이른바 트랙킹(tracking)이라 불리는 기술은 어떻게 작동하고, 어떤 영역에서 실제 트랙킹 기술이 이용되고 있는지, 개별 이용자는 어떻게 트래킹으로부터 보호받을 수 있는지 등을 살펴보자.

월드와이드웹과 함께한 웹 트래킹(web tracking) 역사

어떤 이용자가 특정 웹사이트 또는 웹페이지를 방문하였을 때 이용행위를 기록 및 저장하고 이를 분석하여 이용자에 대한 프로필 정보를 만들고, 이용자 프로필에 맞춰 적절한 광고 상품을 노출하는데 쓰이는 기술을 웹 트래킹(web tracking)이라 부른다. 방문자 중 재방문자의 비율은 어느 수준인지, 재방문자의 행위는 첫 방문자의 그것과 구별되는지 등이 웹사이트 운영자에게 궁금하다. 방문자의 주된 유입 경로는 무엇일까, 검색을 통해서 아니면 이메일 또는 페이스북을 통해서 아니면 즐겨찾기를 이용해서 방문했을까? 특정 뉴스사이트를 한 주 동안 5회 이상 방문한 이용자를 '충성 고객'으로 분류할 수 있을까? 그렇다면 이들에게는 다른 뉴스서비스를 또는 다른 광고를 노출하는 것이 효과적일까? '장바구니'는 정기적으로 업데이트하고 있으나 실제 구매를 하지 않는 이용자 수가 계속해서 증가하고 있다면, 또는 로그인을 하지 않은 상태에서 검색을 이용하는 반복 방문자 수가 늘어나고 있다면, 해당 쇼핑몰 운영자는 어떤 대응책을 강구해야할까? 이러한 질문, 특정 서비스 운영자 입장에 볼 때 정당한 질문에 답을 찾고자 하는 기술인 웹 트래킹은 월드와이드웹 초기부터 이용자와 언제나 함게 했다. 다음, 네이버, 구글 등 이메일 서비스를 제공하는 기업도 예외는 아니다. 이용자의 이메일 내용을 분석하고 이에 맞는 광고 상품을 이메일과 함께 노출하지 않는다면 이른바 '무료(free) 서비스'는 경제적 측면에서 존재할 수 없기 때문이다.

쿠기(Cookie), 트래킹 기술 남용의 시작

이용자 행위 트래킹을 위해 보편적으로 사용되는 기술은 '쿠키(HTTP Cookie)'다. 이용자가 특정 웹사이트를 방문할 경우, 매우 작은 크키의 데이터 또는 파일이 이용자 컴퓨터 또는 스마트폰에 저장된다. 이 데이터 또는 파일은 고유한 식별번호(identification number)를 가지고 있으며, 일반적으로 웹브라우저에 저장된다. 앞서 말한 특정 웹사이트를 재방문할 경우, 쿠기에 담긴 식별번호는 동일 브라우저 여부를 판단하는 근거로 기능한다.

쿠키는, 헨젤과 그레텔이 깊은 숲에서 길을 잃을 것을 두려워해 흘린 쿠키처럼 인터넷 서비스 제공자에게 서비스를 진화시킬 수 있는 이정표로서 기능한다. 고객의 만족도를 정확하게 알아야 서비스를 개선할 수 있는 여지가 생기기 때문이다. 문제는 쿠키 기술의 남용에서 시작된다.

첫 번째는 쿠키를 통해 얻은 정보와 로그인 또는 회원가입 정보를 결합시켜 이용자 프로파일링(client profiling)을 진행하는 일이다. 로그인을 의도적으로 하지 않은 이용자의 익명성 권리를 침해한 경우다. 이용자 프로파일링이 '제3자 쿠기' 관행과 결합하면 쿠키의 긍정적 기능을 넘어 개인정보 침해로 결과할 수 있다.

두 번째 쿠기 남용 가능성은 제3자 쿠기다. 이용자가 특정 웹사이트를 방문할 경우, 해당 웹사이트의 쿠기만 내려받는 것이 아니라 광고 등 타 서비스의 쿠키를 동시에 내려받는다. 이 타 서비스의 쿠기를 제3자 쿠키(third-party cookie)라고 칭한다. 광고 트래킹(ad tracking)을 가정해 보자. 동일한 광고 서버(ad server)가 뉴스사이트 10개, 온라인 소핑몰 5개, 커뮤니트 3개 등에 광고를 노출하면서 별도의 쿠키를 방문자의 웹브라우져에 설치한다. 그리고 총 18개의 사이트를 통해 설치된 쿠키를 통합하여 특정 방문자의 행위를 분석하면 해당 방문자에 대한 보다 정확한 프로파일링이 가능하며, 이에 기초한 보다 효과적인 광고 노출이 가능하다. 광고 사업자가 제3자 쿠키의 유혹을 떨쳐 버리기란 쉬운 일이 아니다. 경제적 관점에서 볼 때 제3자 쿠키를 막을 방법은 없다.

image 컬루전(Collusion), 제3자 쿠키를 트랙킹하여 차단하는 프로그램으로 파이어폭스 및 크롬에서 이용 가능하다

제3자 쿠기의 진화된 형태가 유튜브 동영상 임베드(embed)와 페이스북 '좋아요' 버튼 임베드다. 임베드 방식으로 특정 웹사이트 및 웹페이지에 결합된 동영상의 데이터는 해당 웹사이트가 아닌 유튜브 서버로부터 직접 전송된다. 이 때 유튜브 서버는 쿠키를 함께 보낸다. 페이스북 '좋아요' 버튼도 마찬가지다.

한편 자체 웹사이트 로그인이 아닌 페이스북, 구글+, 트위터 등 SNS 로그인을 요청하는 웹사이트가 크게 증가하고 있다. 이른바 소셜 로그인(social login)이다. 웹사이트 운영자는 관련 SNS으로부터 소셜 로그인 이용자의 소셜 그래프(social graph) 정보를 그 댓가로 받는다. 또한 자체 로그인 서비스 운영 부담을 줄일 수 있는 장점이 있다. 이용자 입장에서도 다양한 서비스를 하나의 로그인으로 이용할 수 있어 소셜 로그인은 빠른 속도로 확장하고 있다. 문제는 그만큼 제3자 쿠키의 가능성이 높아졌다는 점이다.

image 페이스북은 소셜 로그인 시장을 주도하고 있다. 그만큼 페이스북 광고 상품의 효율성은 높아질 수 밖에 없다

위치정보 트랙킹에 이용되는 IP 주소

쿠키와 함께 가장 일반적으로 이용되는 트랙킹 기술은 IP 주소에 기반한다. IP 주소는, 이진법에 기초한 수의 조합으로 네트워크에 열결된 기계에 부여되는 번호다. 예를 들어 네 개의 블럭으로 구성된 IPv4의 IP주소인 54.64.10.72를 가정하자. 이 주소는 특정 웹사이트가 설치되어 있는 아마존 웹서비스(AWS) 서버의 주소다. 마찬가지로 이 웹사이트를 방문하는 PC, 노트북, 스마트폰 등은 방문자의 기계 모두는 IP주소를 가지고 있으며, 앞서 언급한 서버와 이 기계들이 연결될 때 해당 기계의 IP 주소가, 다시 말해 웹사이트와 연결된 기계의 주소 정보가 웹사이트 서버에 전달된다.

물론 IP주소는 고정되지 않고 변할 수 있다. 그리고 동일한 IP주소를 가진 복수의 컴퓨터를 복수의 이용자가 이용할 수 있다. 따라서 앞서 예를 든 웹사이트를 방문하는 이용자의 정확한 위치 정보를 바로바로 파악하는 일은 불가능하다. 그러나 접속하는 기계의 IP주소를 지속적으로 분류할 경우, 정확한 주소는 아니지면 정확한 지역은 어렵지 않게 알 수 있다. 한국에서 접속을 시도하고 있는지 또는 일본에서 접속하고 있는지 알 수 있을 뿐 아니라, 이용자의 현재 위치가 서울인지 대전인지에 대한 분석이 가능하다. 누구나 내려받을 수 있는 데이터 셋인 Geolite City를 이용할 경우, 특정 IP 주소로부터 40km수준의 정확성을 가진 위치 정보를 알 수 있는 가능성은 약 75%에 달한다.

이용자 정보에 기초한 상관관계 분석

쿠키와 IP주소를 통해 확보한 이용자 정보는 해당 웹사이트 운영자에게만 머물러있지 않는다. 자체 분석능력이 부족하거나 자체 분석의 경제성이 떨어질 경우, 수집된 쿠키 정보 등을 외부 분석회사에 위탁한다. 외부 분석회사의 경우 일반적으로 복수의 고객을 가지고 있다. 예를 들어 독일의 IQ Media의 경우 로이터 통신, 10여개의 독일 대표 뉴스사이트를 비롯 비즈니스 SNS 링크드인(LinkedIn)의 쿠키 정보를 분석하고 있다.

image 타깃 광고를 위한 특정 이용자에 대한 분석 사례, 상관관계 분석 범주를 확인할 수 있다
출처: 위키피디아

이렇게 모여서 쌓인 이용자 데이터는 이용자의 취미, 직업, 성별, 나이 등을 추론하는데 이용된다. 특정 행위와 성별사이의 상관관계, 특정 행위와 직업사이의 상관관계 등이 분석 대상이다. 이러한 상관관계 분석의 최종 목표는 높은 광고 효과다. 이른바 [타깃 광고Targeted Advertising]의 출현과 발전은 쿠키 및 IP 주조 정보와 직접적인 연관성을 가지고 있다.

전문 분석업체의 분석 정확성과 이에 기초한 광고 효율성에 대한 체계적인 분석은 아직 존재하지 않는다. 한편 2012년 4월 기준 페이스북은 총 81개 범주에서 개별 이용자를 분류하고 있는 것으로 알려지고 있다. 페이스북 개별 이용자의 이용빈도와 이용강도에 따라 각 범주에는 보다 세부적인 하위 범주 분류가 가능할 것이다.

image 2012년 4월 기준, 페이스북에서 가능한 이용자 분류 범주

이메일 트랙킹

무료 이메일 서비스의 경우 이용자의 이메일에서 특정 키워드를 도출하는 방식으로 트랙킹을 진행하고 있다. 여기서 분명히 할 점은 사람이 직접 이용자의 이메일 내용을 감시하는 것이 아니라 알고리즘에 의해 특정 키워드를 찾아내고 이에 맞는 광고를 기계적으로 노출한다는 점이다. 이메일에 '고양이'라는 단어가 반복될 경우 관련 광고가 게재된다. '이혼'과 '다이어트'가 반복적으로 이메일에 등장할 때 관련 광고가 이용자에게 노출된다. 구글 등 무료 이메일 서비스 사업자는 어떻게 이러한 단어를 도출하고 이에 맞는 광고를 게재하고 있는지, 그리고 그 효과는 어떠한지 등에 대한 정보를 공개하지 않고 있다. 그러나 분명한 점은, '무료' 이메일이란 광고 문구일 뿐이라는 점이다. 이용자는 자신의 데이터를 이메일 서비스 제공자에게 주고 그 대가로 이메일 서비스를 이용하고 있다.

앱 트랙킹

스마트폰에 설치된 전등앱은 스마트폰 위치정보에 대한 접근권을 가질 수 있다. 단일 기업에서 제작한 복수의 앱이 특정 이용자 스마트폰에 설치되어 있다면 해당 이용자의 다양한 정보가 앱을 제공한 기업으로 흘러간다.


출처: xiffy, CC BY-SA

지금까지 살펴본 트래킹 기술의 경제적 목표는 광고 효율성을 높이데 있다. 그러나 스마트폰의 디스플레이 광고효과는 이른바 오터치(fat finger) 등을 제외한다면 매우 낮은 것으로 알려져 있다. 또 다른 예외는 페이스북, 트위터 그리고 이후 인스타그램에서 높은 광고효과(CTR)를 자랑하는 In-Stream 광고다. 페이스북 모바일 광고의 CTR은 약 3%에서 6%에 이르는 것으로 알려져 있다. 매우 높은 광고효과다. SNS 앱을 제외하면 스마트폰에서 광고효과는 매우 낮으며 관련 트래킹 기술은 스마트폰 앱에서는 그 빛이 바랜 상태다. 그러나 앱 트래킹의 효용가치가 입증될 수 있다면, 트래킹의 가능성은 그 어떤 트랙킹 기술의 그것보다 크다. 아마존 등이 앱 트랙킹에 연구를 집중하고 있는 이유다.

트래킹 vs. 정보 프라이버시(information privacy)

트래킹 기술이 합법적인가 아닌가라는 질문에 답변하는 일은 쉽지 않다. 고학수/이상민(2013)의 "국내 인터넷사이트의 개인정보 수집 현황 분석"에 따르면, 쿠키 등 트래킹 기술을 통해 수집된 정보를 개인식별정보(Personally Identificable Information)로 정의하거나, 트래킹 기술을 제한하는 한국 법령은 2014년 현재 존재하지 않는다. 특히 해외 사업자에 의한 트래킹 기술 사용을 규제하거나 제한하려는 시도는 한국사회에 아직 존재하지 않는다. 따라서 사업자 스스로가 다소 추상적인 개인정보보호법을 어떻게 해석하는가에 따라 트래킹 기술의 적용 범위를 스스로 결정하고 있는 것이 현실이다.

예를 들어 현행법은 IP 주소를 개인(과 관련된 )정보로 분류하지 않는다. 때문에 IP 주소는 '개인정보보호법'의 적용을 받지 않는다. 다만 IP 주소는 통신비밀보호법 에서 ‘통신사실확인자료’로 분류되고 있을 뿐이다.

따라서 트래킹 기술의 진화 및 그 적용 범위 확대를 고려한 상황에서 '개인정보보호범' 개정 논의가 필요한 시점이다.

이용자 개인의 선택?

웹브라우저에서 정기적으로 쿠키를 삭제하는 습관을 모든 이용자에게 요구하는 것은 사실상 불가능하다. 개인정보에 민감한 이용자 규모가 작을 뿐 아니라, 번거로운 쿠키 삭제의 필요성과 효과를 이용자 스스로 절감하기란 쉽지 않다. 더욱이 진화하는 스마트폰 트랙킹 기술에 대한 지식을 이용자가 시기적절할게 습득할 가능성도 매우 낮다.

이러한 이용자 상황을 고려했는지는 알 수 없으나, 미국 연방무역위원회(Federal Trade Commission)는 지난 2010년부터 "Do-not-track(DNT: 날 추적하지 마세요)" 제도를 운영하고 있다. DNT는 이용자에게 트랙킹 여부에 대한 선택권을 부여한다. 트랙킹을 거부하는 이용자는 자신의 웹브라우져에 DNT 메시지를 담은 신호를 설치하고, 이 신호를 다양한 쿠키에 담아 사업자 서버에 발송한다. 그러나 이용자가 보내는 DNT 메시지를 존중할 것인지 또는 무시할 것인지는 전적으로 사업자의 선택에 달려있다. 다시말해 DNT 캠페인의 실효성은 매우 의심스러운 상태다.

쿠키에 관심 있는 이용자에게 유용한 정보는 다음과 같다.

  • 자신의 웹브라우저를 통해 어떤 정보가 쿠키를 통해 사업자에게 흘러가는지 알고 싶다면, 파이어폭스 브라우저 확장기능 중 LightBeam을 이용할 것을 추천한다.

  • 광고에서 작동하는 쿠키를 거부하고 싶다면, Adblock Plus, Adblock, Ghostery를 이용할 것을 추천한다. MS의 인터넷 익스플로어는 가능하다면 이용하지 않는 것이 좋다.

  • 웹브라우저 상단에 설치된 네이버 툴, 다음 툴 등을 삭제하자. 이 툴은 자신의 웹브라우저 내용을 해당 기업에 상납하는 기능을 가지고 있다.

당신에 대한 추적은 계속된다

웹브라우저 또는 스마트폰 앱을 통한 이용자에 대한 추적(=트랙킹)은 계속되고 있다. 입법기관은 현 상황에 대한 신뢰할 수 있는 수준의 정보를 가지고 있지 않다. 2014년 현재 관련 외부 용역 연구가 진행 중인 수준이다. 더욱 큰 문제는 국내법으로만 트랙킹 기술에 대한 규제와 제한을 할 수 없다는 점이다. 구글과 페이스북 등 미국 기업에 의한 트랙킹에 대한 투명한 관리를 위해서는 관련 국가 및 국제기구 수준에서의 논의와 합의가 필요하기 때문이다. 트랙킹 기술에 대한 투명한 관리가 지속적으로 필요한 이유는, 개인식별정보에 대한 보호를 넘어 디지털 기술 진화 과정에서 사회 전체의 신뢰성 회복이 절실하다. 아쉽게도 한국의 개인정보보호법은 기술의 발전 수준을 따라가고 있지 못하다.