[마부작침] 내가 흘린 인터넷 쿠키의 나비효과는?

안혜민 기자 입력 2022. 10. 1. 09:06 수정 2022. 10. 1. 12:15
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.


독자 여러분은 인터넷에 개인 기록이 남는 것에 대해 어떻게 생각하시나요? 인터넷을 하다 보면 내가 어떤 사이트에 방문했는지, 또 어떤 단어를 검색했는지 브라우저에 기록이 남을 수밖에 없잖아요. 인터넷에 개인 정보가 남는 게 싫은 사람들은 가령 브라우저의 시크릿 모드를 사용한다거나 주기적으로 방문 기록과 검색 기록을 지우기도 하던데, 독자 여러분은 어떤 스타일인지 궁금합니다. 오늘 마부뉴스에서 다룰 주제는 개인 기록이 담겨 있는 인터넷 쿠키입니다. 인터넷을 사용하다 보면 필수적으로 나올 수밖에 없는 쿠키. 우리가 흘린 쿠키의 날갯짓이 얼마나 큰 태풍이 될 수 있는 건지 데이터로 정리해봤습니다. 오늘 마부뉴스가 독자 여러분에게 던지는 질문은 바로 이겁니다.

내가 흘린 인터넷 쿠키의 나비효과는?
 

인터넷 쿠키가 정확히 뭐야?


일단 쿠키를 설명하려면 우리가 사용하는 인터넷, 웹에 대한 역사를 간단히 살펴볼 필요가 있어요. 우리가 사용하는 웹은 HTTP라는 규칙 위에서 이뤄지고 있습니다. HyperTexTProtocol의 약자인 HTTP는 웹 상에서 어떻게 정보를 교환할지를 정해 놓은 일종의 가이드라인입니다. 우리가 사용하는 인터넷 주소가 http://로 시작하는 게 바로 HTTP 약속을 사용해서 정보를 교환하겠다는 표시라는 사실!

HTTP에서 정의된 쿠키는 웹 서버가 브라우저에 저장할 수 있는 작은 텍스트 파일을 의미해요. 여기에는 자잘한 정보들이 담기는데, 이런 식이죠. 내가 어떤 페이지에 로그인을 했는지, 혹은 쇼핑몰에서 장바구니에 담아둔 상품이 뭔지, 또 내가 특정 페이지를 이미 가 봤는지… 뭐 이런 간단한 정보가 들어있는 겁니다.

이렇게 미리 저장된 쿠키를 불러오면 우리는 더 편하게 인터넷을 이용할 수 있어요. 한 번 로그인을 하고 창을 끄더라도 로그인 상태가 유지된다거나, 이미 방문한 링크는 보라색 하이퍼링크로 표시해준다거나, 장바구니에 담아둔 상품이 그대로 남아있다는 식으로 말이죠. 이렇게 내가 인터넷을 이용한 정보가 담긴 쿠키를 퍼스트파티 쿠키(first-party cookie)라고 부릅니다.


하지만 시간이 흘러 인터넷이 점차 고도화되면서 웹페이지도 복잡해졌어요. 그러다 보니 한 페이지 안에 여러 도메인이 포함되기 시작했죠. 뉴스 페이지에 들어가면 뉴스 기사만 있는 게 아니라 댓글 항목도 있고, 광고도 있는 것처럼 말이에요. 포털의 도메인과 광고의 도메인은 서로 다르지만 하나의 뉴스 페이지 안에 함께 들어가 있습니다. 이렇게 내가 접속한 웹 서버 이외의 다른 도메인의 웹 서버가 저장하는 쿠키를 서드파티 쿠키(third-party cookie)라고 합니다.

문제는 서드파티 쿠키는 퍼스트파티 쿠키와는 다르게 사용자의 정보를 수집하는 용도로 활용되고 있다는 겁니다. 이렇게 모아진 정보를 어디에 활용하냐고요? 바로 광고입니다. 서드파티 쿠키는 독자 여러분이 어떤 유형의 사람인지, 또 어떤 걸 좋아하는지 트래킹 할 수 있기 때문에 여러분에게 딱 맞는 광고를 쏴주는 데에 활용할 수 있거든요. 인터넷 플랫폼 기업들은 서드파티 쿠키에 눈독 들이는 이유가 바로 여기에 있어요.
 

무심코 흘린 쿠키의 나비효과


그렇다면 도대체 얼마나 많은 쿠키가 수집되고 있는 건지 마부뉴스가 한 번 직접 분석해봤습니다. 마부뉴스 제작진이 이번 레터를 만들기 위해 들렀던 주요 사이트를 대상으로 서드파티 쿠키를 분석했습니다. 밑에 쇼핑몰과 SNS는 점심시간에 들어간 거니까 '월급 루팡' 의심은 안 하셔도 됩니다 :)
 
일단 유튜브와 구글을 켜 놓는 건 기본
쿠키에 관련된 기사를 찾기 위해 네이버네이버 뉴스
품격 있는 회사 생활을 위한 여유 하나, 네이버 스포츠 탭
다음 포털도 열어두고, 외신 기사를 찾기 위해 뉴욕타임스도 서칭
주제가 주제이니 한국인터넷진흥원 사이트도 들어감

간단한 아이쇼핑용 SSG.com과 쿠팡
SNS도 들어가 봐야지~ facebookinstagram 탭 열기
이것저것 시간 때우기 용으로 나무위키

유튜브, 구글, 네이버, 네이버 뉴스, 네이버 스포츠, 다음, 뉴욕타임스, 한국인터넷진흥원, SSG, 쿠팡, facebook, instagram, 나무위키까지 총 13개의 사이트를 구글 크롬 탭에 띄어두고 lightbeam.js를 통해 서드파티 쿠키를 분석했습니다. 분석 결과는 아래 그림과 같습니다.


네트워크 그래프에서 기업 로고는 퍼스트파티, 주황색 점은 서드파티로 이해하면 됩니다. 상당히 복잡하게 얽혀있는 게 보이죠? 네트워크에서 발견된 서브파티 도메인은 모두 237개. 이들이 수집하고 있는 쿠키의 개수는 93개였어요. 이 중 이용자 트래킹을 목적으로 한 쿠키가 42개로 거의 절반에 가까웠고, 그다음이 광고였습니다. 광고 쿠키는 모두 25개로 전체의 26.9%를 차지했죠. 트래킹과 광고를 합치면 전체 서드파티 쿠키의 72.0%를 차지할 정도로 압도적인 비율을 보이고 있어요.

네트워크 그래프를 보면 서로 다른 사이트더라도 서드파티 도메인으로 연결되어 있는 경우를 볼 수 있습니다. SSG.com과 쿠팡을 보면 이해가 될 거예요. 이렇게 점으로 연결되어 있으면 SSG.com에서 쿠팡 페이지로 넘어가더라도 두 페이지에 연결된 서드파티의 영향으로 광고가 이어져서 노출될 수 있는 거죠. 참고로 쿠팡에 붙어있는 서드파티 도메인이 41개, SSG가 56개인데, 두 페이지 사이에 겹치는 서드파티가 무려 27개입니다. 겹치는 녀석들을 분석해보면 criteo, smaato 같은 디지털 광고회사 도메인들이 다수이고요.

13개의 사이트만 봐도 이 정도인데, 우리나라 웹 사이트 전체를 본다면 어떨까요? 2017년에 서울대 연구팀에서 국내 인터넷 사용자가 가장 많이 방문하는 사이트 91곳을 대상으로 쿠키를 분석한 자료가 있어서 가져와 봤습니다. 2017년 데스크톱 환경에서 수집되는 쿠키는 평균 57.8개, 모바일은 54.1개였습니다. 이게 어느 정도의 규모인 건지 파악하기 위해 2013년 조사 결과와 비교해볼게요. 2013년에 데스크톱 환경에서 수집된 쿠키는 평균 20.9개였습니다. 4년 사이 2배 이상 늘어난 거죠. 모바일은 그 증가세가 훨씬 빠릅니다. 2013년 모바일에서 수집된 쿠키는 4.7개에 불과했는데 2017년엔 11.5배 증가! 도대체 왜 이렇게 쿠키 수집이 늘어난 걸까요?
 

광고시장과 함께 커가는 쿠키


쿠키가 늘어난 이유, 바로 온라인 광고 시장의 성장 때문입니다. 우리나라 광고 시장의 흐름을 알 수 있는 한국방송광고진흥공사의 2015년부터 2022년(추정치) 데이터를 가져와봤어요. 2015년에 온라인 광고 비용은 총 3조 4,278만 1,400만 원으로 총 광고비 중 29.1%에 불과했습니다. 이때는 전체 광고 중에 방송 광고가 1등이었죠.

그런데 2020년 온라인 광고가 전체 광고시장의 53%를 차지하면서 처음으로 50%를 돌파합니다. 2022년엔 잠정치이지만 역대 처음으로 온라인 광고의 규모가 10조를 넘겨 전체의 59.3%를 차지할 것으로 예측될 정도로 그 성장세가 심상치 않아요. 온라인 광고의 시장이 커지면서 맞춤형 광고 규모도 커졌고, 더 정교한 광고를 만들어내기에 쿠키만 한 정보가 없었던 거죠.


이렇게 커진 시장으로 이득을 보는 건 인터넷 플랫폼 기업들입니다. 네트워크 그래프에서도 언급했지만 쿠키 정보를 수집하는 주요 주체는 인터넷 플랫폼 기업이거든요. 서드파티 도메인들을 보면 google과 facebook 등 대형 플랫폼 기업의 이름을 쉽게 찾을 수 있습니다. 대형 플랫폼 기업들은 광고를 더 이용자 맞춤형으로 만들기 위해 이용자들의 쿠키를 수집하고, 그렇게 만들어진 광고로 먹고살고 있습니다.

위의 그래프는 구글의 모기업인 알파벳의 2022년 2분기(4~6월)의 보고서 자료로 만든 그래프입니다. 2분기 알파벳의 매출은 696억 8,500만 달러인데, 이 중 광고로 벌어들인 게 562억 8,800만 달러입니다. 전체 알파벳의 매출의 80.8%가 광고에서 나오고 있죠. 해외 기업만 그런 건 아니야. 우리나라 대표 IT 기업인 네이버도 마찬가지입니다. 2022년 반기보고서를 살펴보면 검색, 디스플레이 광고 영업 분야인 서치플랫폼 서비스로 벌어들인 수익이 1조 7,553억 7,900만 원인데 전체 수익의 45.1%를 차지하고 있다는 사실. 여기에 커머스 광고까지 포함하면 비율은 훨씬 더 커질 거고요.
 

쿠키가 더 큰 폭풍이 되기 전에


우리들의 개인 정보를 먹고 자라는 쿠키, 그 쿠키를 먹고 자라는 광고 시장, 그 광고 시장을 먹고 커가는 IT 기업들. 쿠키가 더 큰 나비효과를 불러일으키기 전에 각 국 정부들은 IT 기업들을 규제하고 있습니다. 당장 2주 전인 9월 14일, 우리나라 개인정보위원회가 구글에 629억 원, 메타에게 308억 원 규모의 과징금을 부과했어요. 이용자의 동의 없이 쿠키를 활용해 개인 정보를 수집해온 것에 대해 철퇴를 가한 거죠. 구글과 메타는 즉각 반발했고, 소송을 검토 중입니다.

우리나라만 그런 건 아니에요. 올해 초 프랑스가 우리나라와 같은 이유로 구글과 페이스북에 과태료를 부과했거든요. 구글 1억 5,000만 유로, 페이스북 6,000만 유로로 총 액 2억이 넘는 어마어마한 규모입니다. 특히 구글에 부과된 과징금은 프랑스 국가정보자유위원회가 부과한 과징금 중 역대 최고 금액입니다. 두 기업은 프랑스에서도 소송을 검토하고 있어요.


프랑스를 포함해 유럽에서는 개인 정보에 대해서 엄격한 규정을 두고 있어요. 혹시 GDPR이라고 들어봤나요? GDPR은 2016년 유럽 의회가 채택한 <General Data Protection Regulation>이라는 법안인데, 이 조항에 따라 유럽의 모든 회사들은 유럽 시민의 개인 정보와 사생활 정보를 보호하는 게 의무화됐어요. 유럽의 회사뿐만 아니라 유럽에서 장사할 기업이라면 모두 GDPR의 깐깐한 규정을 통과해야 하죠. 이 법안의 목표는 간단합니다. “개인의 데이터는 개인이 통제할 수 있도록 개인의 권리를 강화한다”는 것이죠. 목표를 이루기 위해선 데이터를 다루는 기업들이 이전보다 훨씬 더 개인 정보를 책임 있게 관리해야 합니다.

EU의 GDPR에서는 인터넷 쿠키도 개인 정보로 다루고 있습니다. 쿠키 데이터만으로는 개인을 식별할 수 없지만 쿠키를 조합하거나 다른 정보까지 참고하면 충분히 개인 식별이 가능하기 때문에 개인 정보로 포함시킨 거죠. 기업들은 웹사이트에서 쿠키를 이용하려면 사용자의 허락을 받아야 하고, 어떻게 사용할 건지 설명을 해야 합니다. 그래서 등장한 게 바로 쿠키 정책 배너입니다. 최근 사이트에서 쿠키 정책을 설명하고 동의를 구하는 배너가 뜨는 이유가 여기에 있습니다.

 
Q. 쿠키 배너, 달아 두기만 하면 문제없는 걸까?

개인 정보 보호를 위해 활동하는 단체, noyb(none of your business)는 쿠키 배너 속 사용자를 숨기는 디자인, 일명 다크 패턴을 찾아내고, 이를 고치게끔 하는 일을 하고 있습니다. 다크 패턴의 예를 들어보면, 배너 첫 페이지에 거부 버튼을 의도적으로 배치해두지 않는다거나, 허용 버튼만 초록색으로 칠해서 사람들이 허용 버튼을 클릭하도록 유도하는 식이죠. 이런 디자인의 쿠키 배너들은 사용자에게 동의/비동의라는 두 가지 선택지를 공정하게 제시하고 있다고 보기는 어렵습니다.

noyb가 500개 이상의 쿠키 배너들을 들여다봤더니, 대부분이 GDPR을 위반하고 있었어요. 이중 81%는 첫 페이지에 거부 버튼을 두지 않았는데, 연구 결과에 따르면 첫 화면에 거부 버튼이 있는 배너보다 그렇지 않은 배너들이 사용자의 동의를 22~23% 높게 받아낸다고 합니다. 그 외에도 73%의 배너들에서는 기만적인 색상과 대비를 활용해서 허용 버튼을 클릭하도록 유도하고 있고, 90%는 동의를 쉽게 철회할 수 있는 방법을 제공하지 않고 있었죠. 독자 여러분도 앞으로 마주하는 쿠키 배너들의 디자인을 눈 여겨보길 바랄게요.
 

내 개인 정보는 내가 결정한다


쿠키를 무분별하게 수집해가면서 개인 정보 유출 이슈가 터지고, 법적 규제가 속속 등장하자 플랫폼 기업들도 대책들을 내놓고 있습니다. 특히 구글은 앞으로 크롬에서 서드파티 쿠키를 사용하지 않겠다는 폭탄선언을 했죠. 사파리와 파이어폭스 같은 다른 웹 브라우저는 이미 서드파티 쿠키를 차단하고 있었기 때문에 앞으로 개인 트래킹의 공포에서 조금은 벗어날 수 있게 됐습니다.

하.지.만. 그렇다고 완전히 안전한 건 아닙니다. 크롬 브라우저에서는 서드파티 쿠키 대신 자신들이 만든 새로운 기술을 지원할 방침입니다. 그러다 보니 구글의 서드파티 쿠키 규제가 어찌 보면 서드파티 업체들의 광고 사업에만 타격을 가할 뿐이지 구글이 확보하는 퍼스트파티 쿠키의 개인 정보는 여전히 존재하고, 광고 시장의 불균형만 더 심화시킬 거라는 지적도 나오고 있는 상황이죠.


내 개인 정보는 정보주체인 내가 스스로 결정해야 한다는 개인정보자기결정권. 우리나라 헌법에는 적혀있지 않지만 이미 2005년에 당시 헌재가 '헌법에는 명시되지 않은 기본권'이라고 판결한 바 있습니다. 앞으로 데이터를 다루는 기업이 많아지면 개인 정보 보호에 대한 필요성은 더 커질 겁니다. 그 과정에서 우리들은 자기결정권을 쥐고 목소리를 내야 하겠죠.

개인 정보를 지키기 위한 시민단체들의 노력도 점점 보이고 있습니다. 법무부가 AI 식별 시스템 개발을 위해서 내국인, 외국인의 안면 데이터 1억 7,000만 건을 24개의 민간 기업에 제공했던 일이 있습니다. 최근 시민단체에서 정보 주체의 동의 없이 민간기업에게 개인 정보를 제공한 건 위헌이라고 헌법 소원을 청구했죠. 결과가 어떻게 나올지 모르겠지만 개인정보자기결정권에 대해 우리들의 목소리를 조금씩 높여가는 과정이라고 볼 수 있을 겁니다.

오늘 마부뉴스가 준비한 레터는 여기까지입니다. 오늘은 인터넷 쿠키로 어떻게 개인 정보가 빠져나가는지 데이터로 정리해봤습니다. 오늘 마부뉴스가 독자 여러분에게 던지는 질문은 맞춤형 광고에 대한 생각입니다. 독자 여러분은 맞춤형 광고가 편리하다고 생각하나요, 아니면 불쾌하다고 생각하나요? 내가 딱 필요한 물건이 광고로 계속 떴던 경험이 있다면 마부뉴스에게 알려주세요! 오늘도 긴 글 읽어줘서 고맙습니다 :) (*본 기사는 마부작침 뉴스레터를 편집한 기사입니다.)


마부작침 뉴스레터 구독하기 ​→ https://page.stibee.com/subscriptions/56136
 : 안혜민    디자인 : 안준석    인턴 : 김도연, 주해람

안혜민 기자hyeminan@sbs.co.kr

Copyright © Copyright ⓒ SBS. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?