표적 광고 위해 보안 설정마저 우회해 사용자 검색 히스토리 등 가져가
GDPR, 기술력 갖춘 업체들의 프라이버시 침해의 마지막 장벽 될 수 있을까

[보안뉴스 문가용 기자] 영국에서 수백만 명이 집단으로 구글을 고발하고 나섰다. 구글이 아이폰 및 아이패드로부터 사용자들의 개인정보에 몰래 접근했다는 의혹 때문이다. 이들을 대표로 소비자 단체인 위치?(Which?)가 소송을 진행하고 있다.


위치?의 전 책임자인 리차드 로이드(Richard Lloyd)에 의하면 이 소송은 영국인 5백 4십만 명에게 적절한 보상안을 찾아주는 것을 목적으로 하고 있다고 한다. 구글은 2011년 여름부터 2012년 봄까지 아이폰 및 아이패드 사용자들의 사파리 브라우저 디폴트 보안 옵션을 우회해 검색 히스토리를 수집해왔다는 의혹을 받고 있다. 표적 광고를 위해서였다.

이번에 접수된 고발 내용은 다음과 같다.
1) 구글은 애플의 사파리 웹 브라우저의 보안 기능을 조작해 더블클릭(DoubleClick)의 ID 쿠키(ID Cookie)를 기기에 심었다.
2) 어떤 기능이었냐면, ‘양식 제출 규칙(Form Submission Rule)’ 예외 기능이었다. 이는 사용자가 사파리를 통해 버튼을 누르는 등, 웹 상에서 상호작용을 할 수 있게 해주는 것이다.
3) 이 기능을 통해 구글은 사용자가 특정 도메인에 이미 방문한 적이 있다고 브라우저를 속일 수 있었다.
4) 이 특정 도메인은 더블클릭(DoubleClick)의 쿠키가 발송되는 곳이다.
5) 그럼으로써 구글은 다른 웹사이트들을 통하여 ID 쿠키(ID Cookie)를 설정하고 서드파티 쿠키인 것처럼 업데이트 할 수 있었다.
6) 그리고 사용자 추적을 감행했다.

사실 구글의 이러한 행위는 2013년에 영국에서 이미 문제시 된 바 있다. 하지만 구글은 ‘영국의 프라이버시 관련 법과 관련된 법정의 호출에 (미국 회사인) 우리가 응할 필요가 없다’고 답하며 회피했다. 하지만 영국 상소법원은 2015년 영국의 소비자들도 구글을 고소할 권리를 갖고 있다는 판결을 내렸다. 그래서 구글은 당시 자신을 고소한 소비자들과 합의를 봤는데, 정확한 내용은 비밀에 부쳐지고 있다.

이번에 위치?가 새롭게 요구하고 있는 건 피해자 각인에게 300파운드를 보상하라는 것으로, “돈 보다는 이 사건이 프라이버시 보호에 있어서 큰 지표가 되어주기를 바라”는 마음에서 법정싸움을 진행하고 있다고 주장한다.

로이드는 외신인 인포시큐리티 매거진(Infosecurity Magazine)을 통해 “일단 구글이 법을 어긴 것은 사실이라고 본다”고 설명했다. “표적 광고를 위해 했던 구글의 행위로 수백만 명의 사람들이 영향을 받았으며, 법정에서 이걸 강력하게 주장할 예정입니다. 이건 사회적 신뢰에 대한 커다란 배반 행위이며, 구글뿐만 아니라 실리콘 밸리의 거인들에게 강력한 메시지를 전달하고 싶습니다. 우리는 불법 행위에 대해 언제나 싸울 준비가 되어 있다고 말이죠.”

기술 업체 컴패리테크(Comparitech.com)의 보안 분석가인 리 문선(Lee Munson)은 “GDPR의 도입으로 이러한 행위들이 뿌리 뽑힐 수야 없겠지만, 기업들에게 충분한 리스크를 주었으면 좋겠다”고 말한다. “보안 기능과 옵션을 마련해 두어도 기술력으로 우회할 수 있고, 결국 기술을 가진 자가 항상 프라이버시 침해 행위를 할 준비가 되어 있다면 제도적 장치를 마련하는 수밖에 없다”고 설명한 리는 “GDPR 이후로 이런 사건이 터지지 않기를 희망한다”고 말했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>