본문 바로가기

SNS News

개인정보의 중요성.. 쿠키게이트의 결말


개인정보의 중요성.. 쿠키게이트의 결말


 


인터넷의 발달로 최근 개인정보의 중요성에 대한 이야기가 많이 나옵니다. 개인정보의 중요성은 IT기업에서 가장 많이 나오는 뉴스일 것 같은데요. 2012년 2월경 대표적인 두 개의 IT 기업인 애플(Apple)과 구글(Google)이 트랙킹 쿠키 및 인터넷 이용자의 프라이버시를 쟁점으로 한 분쟁이 있었습니다, 최근에 이에 대한 미국 법원의 최종 재판결과가 나왔습니다. 두 회사의 개인정보에 관한 분쟁 경과를 살펴봄으로써 트랙킹 쿠키(Tracking Cookies, 이용자의 방문기록 등을 추적하는 특수한 쿠키로서 일반적인 쿠키와 달리 검색 및 삭제가 어려움)가 개인정보에 미치는 영향을 살펴보려 합니다. 



애플 사파리 웹브라우저와 구글의 분쟁 = 쿠키게이트


애플이 제공하는 사파리(safari) 웹브라우저는 ‘제3자 쿠키 차단(no third party cookies)’ 기능을 기본설정으로 해 출시되고 있습니다. 특히, 이용자가 이 설정을 변경하지 않는 한 이용자가 방문한 사이트에서 제공된 쿠키파일(first party cookies)이 아닌, 이용자가 방문하지 아니한 제3자 사이트가 제공한 쿠키파일(third party cookies)이 이용자의 PC 등에서 발견되어서는 안되는 것입니다. 하지만 사파리 브라우저의 쿠키 차단 설정을 변경하지 않은 사파리 브라우저 이용자의 PC 등에서 구글의 대표적인 광고형태인 Double Click 방법(이용자의 행태를 분석함으로써 이용자의 기호에 맞는 광고를 제공하는 온라인광고 방법 중 대표적인 것)에 의한 제3자 쿠키파일이 깔려 있는 게 발견됐습니다. 이용자가 구글이 운영하는 Double Click 사이트를 방문하지 않았음에도 불구하고 제3자인 Double Click 사이트가 제공한 트랙킹 쿠키파일(Tracking Cookies)이 발견된 것입니다. 이러한 현상에 대해 애플 등은 구글이 자사의 Double Click 광고서비스 제공을 위해 Double Click 사이트가 제3자(third party)가 아닌 것처럼 조작함으로써 애플 사파리의 개인 보호 설정을  유명무실하게 만들었다고 의심했고, 이용자들은 구글의 개인정보 침해 행위에 분노하면서 FTC(Federal Trade Commission)의 조사가 시작됐습니다. 이 분쟁을 미국 언론에서는 ‘쿠키 게이트’라고 불렀습니다.


수개월 동안의 FTC 조사 결과 밝혀진 바로는, 구글은 다음과 같은 2가지 방법으로 이용자가 방문하지 않은 Double Click 사이트를 제3자(third party)가 아닌 것처럼 착각하게 만들었다고 알려졌습니다. 첫번째 방법은 이용자가 Double Click 사와 제휴된 특정 사이트를 방문한 경우 이용자가 Double Click 사이트를 방문한 것처럼 처리하게 함으로서 트랙킹 파일을 설치했다는 것. 두번째는 구글이 ‘document.getElementById(‘drt_form’).submit();’이라는 자바 스크립트가 들어 있는 파일을 사파리 브라우저에 보내면, 사파리 브라우저는 이용자가 Double Click 사이트에 form을 제출한 것처럼 착각함(즉 직접적인 연결이 있는 것으로 착각함)으로써 Double Click의 트랙킹 쿠키를 이용자의 PC 등에 설치했습니다. 이 방법이 특히 개인정보 침해에 대해서 큰 문제가 되었습니다.





FTC의 조사가 착수되고 여론이 악화되자 2012년 8월 구글이 개인정보 침해를 인정하고 FTC와 화해(settlement)했는데, 그 내용은 “22.5백만 달러(한화 약 240억원) 벌금을 지불하고, 사파리 브라우저 이용자 PC 등에 깔려 있는 트랙킹 쿠키를 찾아서 전부 없애기로 했다는 것입니다. 이 벌금은 FTC 역대 최고라고 알려졌지요. 최근에는 법원에 의해서도 위 화해 내용이 승인됐습니다. 즉 컨슈머 워치독이라는 소비자단체는 FTC의 제재가 구글같은 회사를 변화시키기엔 실효성이 없다고 주장하면서 좀 더 높은 수준의 제재를 법원에 요구했지만, 미국의 한 법원은 2012년 11월 16일, “FTC와 구글이 2개월 넘게 세부적인 합의 사항을 고심해왔으며, 벌금액수와 협의 과정 모두 공정하고 적절하며 합리적이었다고 승인한 것입니다. 이로써 쿠키 게이트는 일단락됐다고 할 수 있습니다.이렇게 구글에게 큰 벌금이 내려진 이유는 구글이 지난 2011년 10월 프라이버시 침해를 이유로 FTC으로부터 버즈 명령(Buzz Decree)을 받았음에도 이를 어기고, 또 다시 사파리 브라우저 이용자의 프라이버시를 침해했기 때문입니다.



제2의 '버즈명령'이 안 생기려면..


 구글이 받았던 '버즈 명령'이란 2010년 9월 구글의 소셜네트워킹 툴인 Google Buzz가 Gmail 사용자의 개인정보를 동의 없이 이용하고 공개했다는 이유로 피해자들에게 850만 달러를 배상하고, 2011년 10월 같은 이유로 감독청인 미국 FTC에게 개인정보의 수집목적외 이용 금지, 이용자의 정보통제권 보장 등 광범위한 프라이버시 프로그램 운용의 이행을 약속했습니다, 이 때 작성된 것이 바로 버즈 명령입니다. 이상의 경과를 보고 온라인 행태광고를 위한 트랙킹 쿠키 자체가 위법하다고 생각해서는 안 됩니다. 이 사건은 구글이 트랙킹 쿠키를  어떤 방법으로 이용자의 PC 등에 설치하고 이용자의 행태정보를 수집했다는 점이 문제였던 것이지 트랙킹 쿠키 자체를 문제삼은 것은 아니기 때문입니다. 미국의 경우, 트랙킹 쿠키 자체가 위법하다고 보지 않고 다만 일정한 절차만 따르면 허용된다고 보고 있습니다.  트랙킹 쿠키에 의한 정보 수집은 기본적으로 비식별정보에 대한 수집이므로 우리나라 정보통신망법, 개인정보보호법에 의하더라도 위법하다고 단정할 수 없습니다. 하지만 기업의 정보수집 욕구나 빅데이터 구축 의욕은 자칫 정보주체의 비식별정보에 대한 통제권을 무시할 수 있고, 실제 그러한 예가 바로 구글의 트랙킹 쿠키 사건인 것입니다. 정보통신망법이나 개인정보보호법의 적용범위를 넓혀 비식별정보에 대한 합리적인 규율과 절차 설정이 필요한 때입니다.