인터넷 검색을 하다 보면 사고 싶었던 제품이 귀신같이 광고에 뜨고, 스트리밍(Streaming) 서비스에서 영화에 별점 5점을 남기면 곧바로 비슷한 영화로 화면이 가득 찬다. 인터넷 서비스는 어떻게 나를 잘 알았을까? 기업들이 사이트 내 사용자의 활동을 추적하기 위해 *HTTP 쿠키(HyperText Transfer Protocol Cookie)를 이용해왔기 때문이다.

디지털 세계 속 당신의 흔적
HTTP 쿠키(HyperText Transfer Protocol Cookie, 이하 쿠키)는 4KB 내외의 작은 텍스트 파일이다. 김경곤 고려대 정보보호대학원 교수는 “기업에선 보통 홈페이지 이용자를 파악하고, 적절한 정보를 제공하기 위해 쿠키를 수집한다”며 “사용자의 흔적을 쿠키 형태로 저장하는 셈이다”고 설명했다. 일반적으로 쿠키엔 사용자의 아이디나 비밀번호, 검색 기록 등에 대한 정보가 저장된다.
쿠키라는 이름은 중국의 전통 과자인 포춘 쿠키(Fortune Cookie)에서 유래했다. 포춘 쿠키 안에 행운의 메시지를 담은 작은 종이가 들어 있는 것처럼, 쿠키 안엔 사용자에 대한 정보가 담긴다. 일반적인 크기의 포춘 쿠키에 A4 용지를 넣을 수 없듯 쿠키에도 약 4KB보다 많은 정보를 저장할 수 없다. 4KB는 **UTF-8을 기준으로 한글 1,365자를 담을 수 있는 용량이다.
쿠키는 웹 브라우저인 넷스케이프(Netscape)의 프로그램 개발자 루 몬툴리에 의해 창안됐다. 최초의 쿠키는 웹 브라우저에서 사용하기 위해 개발됐기 때문에 쿠키는 웹 쿠키나 브라우저 쿠키라고도 불린다. 오늘날에도 많은 웹사이트와 서버에선 신속한 통신을 위해 쿠키를 사용한다.
쿠키는 웹사이트뿐만 아니라 스마트폰 앱에서도 사용된다. 김 교수는 “앱에서도 서버와 사용자가 통신하므로 쿠키가 사용될 수 있다"며 “개발자는 수집하고자 하는 쿠키를 서버에 정의하는데, 같은 서버라도 앱과 웹에서 수집하는 쿠키가 서로 다를 수 있다”고 설명했다.
쿠키는 자동 로그인 기능에 널리 쓰인다. 이현진(IT공학 17) 학우는 “웹사이트마다 대문자나 특수문자를 요구하는 등 비밀번호의 조건이 다양하다”며 “여러 비밀번호를 굳이 기억하지 않아도 돼 편리하다”고 말했다.
브라우저는 사용자를 대신해 서버와 쿠키 정보를 주고받는다. 김 교수는 “버프스트림(Buffstream)이나 와이어샤크(Wireshark)와 같은 특수한 프로그램을 사용하지 않으면 브라우저와 서버 사이에서 교환되는 정보를 볼 수 없다”고 말했다. 버프스트림과 와이어샤크는 네트워크에서 전송되는 정보를 조회하기 위한 프로그램이다. 브라우저가 서버에 정보를 요청하면, 서버는 쿠키를 만드는 명령을 브라우저에 전달한다. 브라우저는 쿠키를 만든 후 서버에 쿠키를 보내며 다시 한 번 정보를 요청한다. 서버에선 쿠키에 적힌 사용자 정보를 참고해 요청받은 정보를 브라우저에 전송한다.

 

“맞춤형 광고는 어떻게 나를 찾았을까?”
쿠키를 가장 많이 수집하는 국내 웹사이트는 어디일까? 바로 뉴스 사이트다. 지난 2017년 국내 뉴스 사이트들은 평균 98.1개로 가장 많은 수의 쿠키를 수집했다. 이는 두 번째로 많은 쿠키를 수집한 쇼핑 사이트(42.2개)의 두 배 이상이었다(고학수, 구본효, 김종윤.,2017).
국내 언론사는 수익 대부분을 광고에 의존하는데, 이는 뉴스 사이트의 활발한 쿠키 수집으로 이어진다. 지난해 한국언론재단이 발표한 ‘2017년 신문산업 매출액 구성 현황’에선 인터넷 신문의 수입 중 광고 수익(62%)이 가장 큰 비중을 차지했다. 뉴스 사이트엔 배너(Banner) 형식의 맞춤형 광고가 게재되는데, 맞춤형 광고를 전문적으로 제공하는 기업이 인터넷 사용자의 쿠키 정보를 요청한다.
쿠키를 활용한 맞춤형 광고는 더 늘어날 전망이다. 온라인 광고 시장은 매년 성장하는 추세이기 때문이다. 지난 2013년 데스크톱 환경에서 평균 쿠키 개수는 약 21개에 불과했으나, 지난 2017년엔 그 수가 약 58개로 두 배 이상 늘어났다. 모바일(Mobile) 광고 시장은 더욱 가파르게 성장했는데, 같은 기간 모바일 환경에서 평균 쿠키 개수는 약 5개에서 평균 54.1개로 열 배 이상 늘어났다.|
맞춤형 광고엔 주로 서드파티 쿠키(Third Party Cookie)가 사용된다. 서드파티 쿠키는 인터넷 사용자나 그가 접속한 웹사이트가 아닌 또 다른 웹사이트에 공유되는 쿠키를 의미한다. 서드파티 쿠키를 통해 웹사이트에서 이용한 검색 정보가 다른 웹사이트의 맞춤형 광고에 반영될 수 있다.
서드파티 쿠키의 활용은 인터넷 사용자의 개인 정보 침해로 이어질 위험이 있다. 소수의 기업이 맞춤형 광고 서비스 대부분을 소유하고, 이들은 오랜 시간에 걸쳐 인터넷 사용자 정보를 축적한다. 하지만 대부분 인터넷 사용자는 이와 같은 사실을 인지하기 어렵다. 이 학우는 “평소 구글(Google) 검색 창에서 맞춤형 광고를 자주 봤다”면서도 “온라인 맞춤형 광고를 전문적으로 제공하는 회사가 있다는 사실은 강의를 들으며 처음 알게 됐다”고 말했다.
최근 쿠키를 통한 개인 정보의 무분별한 수집 및 활용에 불안을 느끼는 이용자가 늘고 있다. 조윤수(사회심리 19)학우는 “과거 쇼핑몰에서 검색한 정보를 뉴스 사이트에 표시된 광고에서 본 경험이 있다”며 “원하는 정보를 얻을 수 있어 좋았지만, 사생활을 추적 당한 듯한 느낌이 들어서 불쾌했다”고 말했다. 이 학우는 “기업의 입장에선 서비스를 위해 쿠키를 활용할 수 있다고 생각한다”면서도 “인터넷 사용자로선 개인 정보가 지나치게 노출된 느낌이 든다”고 말했다.
개인 정보를 침해를 우려하는 목소리에 지난 2017년 온라인 맞춤형 광고에 대한 가이드라인이 마련됐다. 한국 인터넷진흥원에선 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’을 발표해 ▶온라인 행태정보의 투명한 수집·이용 ▶이용자의 통제권 보장 ▶온라인 행태정보의 안전성 확보 ▶개인 정보 보호 인식 확산 및 개인 정보 유출 피해 구제 강화를 권장했다. 온라인 행태정보는 웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동 정보다.

쿠키를 탐내는 검은손을 막으려면
쿠키는 이용자 정보 탈취에 악용될 수 있다. 쿠키가 외부로 유출되는 경로로는 공용 컴퓨터에서의 쿠키 유출, 스니핑(Sniffing) 공격 등이 있다. 공용 컴퓨터에서의 쿠키 유출의 경우 개인 소유의 기기를 사용하고 보안을 철저히 한다면 대비할 수 있다.
쿠키 정보를 가로채기 위한 악의적인 공격은 인터넷 사용자의 관리만으로는 막기 어렵다. 스니핑 공격은 암호화되지 않은 쿠키를 서버와 인터넷 사용자가 아닌 제삼자가 가로채는 공격이다. 김 교수는 “네트워크엔 양파껍질처럼 여러 층이 있는데, 유·무선 통신이 가장 아래의 층이라면 브라우저는 가장 위의 층에 속한다”며 “아래의 층으로 전송되는 정보는 암호화돼 조회할 수 없지만, 같은 층에서 공유되는 정보는 특수한 프로그램을 이용하면 조회할 수 있다"고 설명했다.
하지만 민감한 개인 정보를 다루는 일부 서비스에선 쿠키가 철저히 암호화된다. 김 교수는 “금융 앱에선 인터넷 사용자 컴퓨터에서 다른 층은 물론 같은 층에 보내는 정보까지 모두 암호로 처리해 제삼자가 해당 정보를 조회하기 어렵다”고 말했다.
쿠키를 통한 정보 수집을 완전히 금지하면 부작용이 따른다. 김 교수는 “서드파티 쿠키는 보안을 위해 추적을 차단하는 게 옳을 수 있다”면서도 “그렇게 되면 수집할 수 있는 이용자의 정보가 줄어들기 때문에 맞춤 서비스의 질은 낮아질 것이다”고 말했다.
인터넷 사용자는 일상생활에서의 적은 노력으로 쿠키의 외부 유출을 예방할 수 있다. 김 교수는 “인터넷 사용자는 의심스러운 앱이나 사이트를 열어서는 안 된다”며 “불법 다운로드 사이트를 비롯한 검증되지 않은 사이트에 접속하는 것도 피해야 한다”고 당부했다. 이외에도 인터넷 사용자가 컴퓨터나 스마트폰에 저장된 쿠키 파일을 지속해서 삭제하면 쿠키 유출을 막을 수 있다.
쿠키 정보 수집 및 활용에 관한 약관 개선도 필요하다. 약관의 길이가 수십 줄부터 수백 줄에 이르고, 그마저도 ‘약관 자세히 보기’ 버튼을 클릭하지 않으면 표시되지 않기 때문이다. 이 학우는 “인터넷 사이트에 가입할 때 대부분 약관을 전부 읽지 않고 동의를 누르지 않느냐”고 반문하며 “쿠키 정보 제공에 관한 내용이 있을 거란 생각만 해봤다”고 말했다. 조 학우는 “쿠키와 관련한 개인정보 보호에 대해 현재 수준 이상으로 안내할 필요가 있다고 생각한다”고 말했다.

하이데거는 ‘기술은 사람의 의지에 따라 유익할 수도 해로울 수도 있는 중립적인 성격을 지닌다’고 말했다. 쿠키를 통해 얻을 수 있는 편의를 편안한 마음으로 누리기 위해선 기술을 유익하게 사용하기 위한 사람들의 의지가 중요하다. 쿠키의 부스러기 한 조각까지도 모두의 편의를 위해 쓰일 미래를 바라본다.

*인터넷에서 서버와 인터넷 사용자 컴퓨터 사이에 정보를 주고받기 위한 통신 규약.
**컴퓨터가 이해할 수 있는 형태로 문자를 변환하기 위한 방식 중 하나.

참고문헌: 구학수, 구본효, 김종윤. (2017). 국내 웹사이트의 이용자 정보수집 및 트래킹 현황에 관한 분석. 법경제학연구, 14(3), 409-465

 

저작권자 © 숙대신보 무단전재 및 재배포 금지