쿠키리스 시대
내가 만든 ‘쿠키’, 누가 먹었을까
앱을 설치할 때 “쿠키를 허용하시겠습니까?”라는 팝업창 메시지를 종종 보았을 것이다. 쿠키Cookie는 인터넷 사용자가 어떠한 웹사이트를 방문할 경우 웹브라우저를 통해 인터넷 사용자의 컴퓨터나 다른 기기에 설치되는 작은 기록 정보 파일을 말한다.
‘쿠키’라는 단어의 어원은 1994년으로 거슬러 올라간다. 세계 최초의 상용화 웹브라우저인 넷스케이프 개발자 루이 J. 몬툴리Louis J. Montulli가 처음 고안했는데, 유닉스 프로그래머들이 프로그램 수신 후 변경하지 않고 반환하는 데이터의 패킷Packet을 ‘매직 쿠키’라고 부르는 데 착안했다고 한다.
쿠키는 우리가 인터넷을 사용하던 초기부터 꽤 깊숙이 관여해왔다. 내가 검색한 단어, 방문한 사이트와 관련 있는 광고 배너를 봤을 때 깜짝 놀라는 사람이 많았지만, 요즘은 어느 정도 익숙한 사용자 경험이 되었다. 하지만 한편으로는 불안감도 있었다. 내가 동의한 사이트에서 보낸 광고가 맞는지, 수집된 정보는 무엇인지 역으로 파고드는 경우는 드물기 때문이다. 하지만 이러한 불안도 곧 사라질 것으로 보인다. 2020년부터 등장하기 시작한 ‘쿠키리스Cookie-less 시대’가 조만간 본격적으로 열릴 전망이기 때문이다. 쿠키가 어떤 기능을 했기에 이제는 쿠키 없는 시대를 준비해야 하는 것일까?
서드 파티 쿠키, 과한 친절은 의심할 것
웹사이트를 방문하면 해당 사이트에서 로그인 기록에 관한 쿠키를 발행한다. 이걸 ‘퍼스트 파티 쿠키’라 한다.
쿠키는 크게 ‘퍼스트 파티 쿠키1st Party Cookie’와 ‘서드 파티 쿠키3rd Party Cookie’로 나눌 수 있다. 전자는 방문한 웹사이트에서 직접 발행하는 쿠키 파일을 말한다. 예를 들어 사용자가 구글에 접속했을 때 해당 웹사이트가 로그인 기록에 관한 쿠키를 발행하는 건 퍼스트 파티 쿠키다.
로그인 화면에서 ‘로그인 상태 유지’ 같은 옵션을 체크하면, 창을 닫았다가 다시 접속해도 여전히 로그인 상태를 유지하는데, 이는 구글이 발행한 쿠키를 활용한 것이다. 한편 후자는 사용자가 방문한 웹사이트가 아닌 다른 웹사이트에서 발행한 것으로, 보통 광고 서버에서 발행하는 쿠키를 다른 사이트에서 활용하는 경우가 여기에 해당한다.
통상 ‘쿠키를 차단한다’는 주제로 논의할 때는 거의 서드 파티 쿠키를 지칭하는 경우가 대부분이다. 퍼스트 파티 쿠키는 사용자가 방문한 웹사이트에서 사용자를 식별하는 데 활용하기 때문에 이를 차단하는 경우 사용성이 매우 떨어진다. 예를 들어 오랜만에 방문한 사이트라 로그인 정보가 가물거릴 때 저장된 정보가 있다면 별 어려움 없이 로그인이 가능하다. 하지만 이런 퍼스트 파티 쿠키가 없다면 여러 단계의 개인 인증 절차를 거쳐야 하는 번거로움이 따른다.
서드 파티 쿠키는 대부분 온라인 광고에 이용되기 때문에 막거나 지워도 사용자 입장에서는 크게 불편한 경우는 없다. 굳이 찾자면 나와 관련성이 매우 떨어지는 광고를 보는 정도일 것이다. 하지만 바로 이 서드 파티 쿠키가 개인 정보화될 때가 개인 정보 보호가 필요한 시점이다. 이는 개인에 대한 식별성을 높이고 프로파일링 수준을 높이는 서드 파티 쿠키의 차단에 대한 사회적 요구가 높아지는 이유가 된다.
세계 각국에서 개인 정보 보호를 강화하기 위해 규제를 시행하는 가운데
우리나라도 구글, 메타 등 개인정보보호법 위반에 대한 규제를 강화하는 중이다.
쿠키 없는 시대, 내 디지털 환경의 변화
그동안 광고주, 마케터 및 웹사이트 소유자들은 쿠키와 같은 서드 파티 데이터를 활용해 맞춤형 광고 등을 진행해왔다. 알아서 찾아와주는 정보니 사용자 입장에서도 처음에는 반가웠다. 내가 몰랐던 정보를 선별해서 알려준다는 생각에서다. 하지만 디지털 전환에 따라 비트코인, NFT 등 화폐의 유형이 다양해지고, 그만큼 개인 정보 보호 강화에 대한 니즈가 커지면서 개인 정보 보호 관련 법과 정책이 ‘사용자 동의’를 필수 조건으로 하기 시작했다.
이에 따른 글로벌 기업들의 움직임도 분주하다. 애플은 개인 정보 보호 강화를 위한 ‘앱 추적 투명성ATT’ 정책을 시행했다. 앱을 설치하고 사용자 동의를 받은 경우에만 데이터를 수집할 수 있도록 했고, 구글은 웹브라우저 ‘크롬’에서 서드 파티 데이터 사용을 2024년 중단할 방침이다.
애플은 앱 추적 투명성 정책을 통해 사용자 동의를 받은 경우에만 데이터 수집이 가능하도록 조치했다.
그렇다면 과연 쿠키리스 시대가 본격화될 경우 지금의 디지털 환경은 어떻게 변할까? 쿠키리스, 즉 서드 파티 쿠키 사용이 중단되면 전반적으로 개인 정보 보호가 강화되는 것은 분명하다. 하지만 일부 사용자 경험이 퇴보할 가능성도 여전히 남아 있다. 웹 이동 경로에 대한 흔적을 남기지 않아 예전처럼 내 관심사에 맞춘 광고는 사라지고, 쿠키 설정과 허용에 체크하는 빈도는 잦아질 것이며, 모바일 앱의 경우 ‘추적하도록 허용하시겠습니까?’라는 질문이 꼬리표처럼 따라붙을 수 있다. 우리가 주의해야 할 점은 다소 귀찮더라도 ‘허용’과 ‘비허용’을 그때그때 부지런히 체크하는 것이다.
“
모바일 앱의 경우 ‘추적하도록 허용하시겠습니까?’라는 질문이 꼬리표처럼 따라붙을 수 있다.
우리가 주의해야 할 점은 다소 귀찮더라도 ‘허용’과 ‘비허용’을 그때그때 부지런히 체크하는 것이다.
”
개인 정보의 최종 보호자는 소유자 자신
쿠키리스 시대의 핵심은 서드 파티 데이터의 수집과 활용의 종말이다. 이는 인터넷 사용자의 데이터가 퍼스트 파티 또는 제로 파티(고객이 정보 수집에 동의하고 주도적으로 제공하는 데이터) 데이터를 통해 여전히 모일 수 있다는 것을 의미한다. 즉 디지털 환경에서 인터넷을 사용하고 있다면 어떤 방식으로든 남거나 이동될 가능성이 있다. 결국 개인이 올바른 개인 정보 자기 결정권을 행사하고, 스스로의 디지털 보안 환경을 점검하는 작업이 필요하다.
우선 개인 정보 자기 결정권을 제대로 행사하기 위해서는 각 웹사이트가 제공하는 개인 정보 관련 각종 동의를 꼼꼼히 챙겨 보는 노력을 해야 한다. 그리고 디지털상에서 쉽게 유출되는 개인 정보는 로그인 정보, 쿠키, 전자 개인 정보, 스크린숏, 반복 입력하는 정보 패턴을 인식해 자동으로 입력하는 자동 채우기 정보 등으로, 이런 내용은 인터넷 사용 후 곧바로 삭제하는 습관을 들이는 것이 좋다.
물론 위와 같은 반복적 행위는 오히려 보안을 둔감하게 만들 여지가 있다. 누구나 한 번쯤은 이미 깨알 같은 개인 정보 활용에 대한 내용을 자세히 읽어보지 않고 ‘묻지 마 동의’를 한 경험이 있을 것이다.
이제부터라도 개인 정보 보호에 관한 확인은 일일이 다 하지 못하더라도 체크 박스에서 무조건 ‘동의’만 누르는 대신 ‘선택’ 사항은 제외하고 ‘필수’ 사항만 체크한다면 스팸 메시지 수신량을 줄일 수 있다. ‘도난 방지의 기본은 철저한 문단속과 잦은 확인’뿐이라는 것을 기억하자. 어떤 정보를 허용할지는 정보의 주체인 ‘내’가 결정하는 과정에 익숙해질 필요가 있다.
글. 이재영(에스앤피랩 대표)