• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정신 감정 및 심리 상담 사이트에서도 정보 거래 벌어지고 있다 2019.11.25

영국의 인권 단체, 국제프라이버시, 온라인 트래킹 행위에 대해 조사했더니
정신 건강과 관련된 서비스 제공하는 사이트에서도 심각한 윤리적 해이 나타나

[보안뉴스 문가용 기자] 정신 건강과 관련된 웹사이트들을 다수 분석한 보안 전문가들이 “어마어마한 숫자의 트래커를 발견했다”고 발표했다. 대부분 마케팅을 위한 목적으로 활용되고 있었다. 또한 이런 웹사이트들의 25% 이상이 프로그램화 된 광고 및 실시간 입찰과 관련된 서드파티 요소들을 내포하고 있기도 했다.

[이미지 = iclickart]


이런 결과를 발표한 영국의 비영리 단체인 국제프라이버시(Privacy International)의 기술 전문가인 엘리엇 벤디넬리(Eliot Bendinelli)는 “인터넷의 트래킹 기술 혹은 트래킹 산업이 심각하게 잘못된 길로 가고 있다는 걸 조직 차원에서 인지하고 조사를 시작했다”고 설명한다. 그래서 처음에는 기술 산업, 신용 평가 기관, 광고 차단기 등과 같이 추적과 밀접하게 연관된 분야를 조사하기 시작했다고 한다.

“간단히 결과부터 말하자면, 저희 조직은 트래킹 산업에 연루된 자들이 하는 행위가 법의 테두리를 넘는다고 보고 있습니다. 그래서 지금 법적인 절차를 밟기 위한 준비를 하고 있습니다.” 조직 차원에서 법적 행동을 취하기 위해 준비하는 동안 벤디넬리는 다른 산업의 웹 페이지도 조사하기 시작했다. 그러다가 민감한 내용과 정보를 주고받는 사이트는 어떨까 하는 생각이 들었다고 한다.

“사람들이 일반적으로 안전하다고 생각하는 웹사이트의 실제 모습은 어떤지, 그 안에서 어떤 일이 일어나고 있는지를 온전히 드러내고 싶었습니다. 너무나 안전하다고 여겨 사생활과 밀접한 내용도 거리낌 없이 나누는 그런 공간을 말이죠. 그래서 정신 건강과 관련된 웹사이트들을 분석하기로 결정했습니다.” 벤디넬리의 설명이다.

세계 보건 기구인 WHO는 유럽 인구의 25%가 우울증에 시달리고 있다고 발표한 바 있다. 그리고 이 중 절반 정도가 치료받지 못한 채 방치되고 있다고 한다. “그렇다면 그 치료받지 못하는 수백만 명의 사람들이 어디로 가겠습니까? 온라인 상담을 받죠. 아무리 의사라도 100% 타인인 사람과 솔직히 얘기하기가 꺼려지니, 인터넷이라는 익명성 가득한 공간으로 들어가는 겁니다.”

그래서 조사해봤더니 결과는 참담할 지경이었다. “136개의 우울증 관련 웹사이트들을 분석했습니다. 프랑스, 독일, 영국에서 운영되고 있는 사이트들이었고요. 웹엑스레이(Webxray)라는 도구를 사용해 각 사이트들마다 운영되고 있는 트래커의 수, 드롭되는 쿠키의 수 등을 파악했습니다. 그랬더니 구글의 손이 미치지 않는 곳이 없더군요. 97%가 구글의 트래커를 가지고 있는 것으로 나타났습니다.”

그 외 90%의 웹사이트들에서는 더블클릭(Doubleclick)의 트래커도 발견됐다. 더블클릭은 구글의 자회사로, 온라인 광고주들과 퍼블리셔들이 웹사이트에 광고를 노출시키도록 하는 기능을 가지고 있다. 그 뒤로 페이스북과 아마존의 트래커들이 활개를 치고 있었다. “트래커들의 목적은 오직 하나, 표적 광고였습니다.”

국제프라이버시의 기술 팀이 분석한 웹 페이지들 중 1/4 이상에서 프로그램화 된 광고 및 실시간 입찰과 관련된 서드파티 요소들이 나오기도 했다. 실시간 입찰(RTB)이란 광고 조회수가 실시간으로 집계되고, 그에 대한 금액이 지급되는 것을 말한다. “한 방문자가 웹사이트에 접속했다고 합시다. 그 순간 입찰 요청이 광고 교환소에 전달됩니다. 문제는 이 요청에 위치 정보, 인구학 적 정보, 지리학적 정보, 브라우저 히스토리 등 다양한 정보가 저장되어 있다는 겁니다. 이 정보들은 전부 광고사로 전달되고, 거기서부터 입찰이 진행됩니다. 입찰에 이기는 광고가 그 방문자에게 노출되는 것이죠.”

벤디넬리는 “이 과정에서 지나치게 많은 회사들이 지나치게 많은 정보를 공유하게 된다”고 문제를 지적한다. “많게는 누군가의 민감한 정보가 수백 개 조직들로 퍼져간다는 뜻이 됩니다. 아직도 당신의 개인정보를 여러 사람이 돌려보고, 그 대가로 엉뚱한 사람이 수익을 올리는 일이 자행되고 있는 겁니다.”

더 큰 문제는, 심리학이나 정신 상담과 관련된 결과도 직접 혹은 간접적인 방법으로 이 서드파티 업체들에 공유된다는 것이다. “저희가 분석한 9개 심리 테스트 혹은 우울증 단계별 테스트 사이트들 중 2개가 결과를 사이트에 저장하고 있었습니다. 1개 사이트는 사용자에게 아무런 안내도 되지 않은 엉뚱한 회사로 결과를 전송하고 있었고요. 불법을 넘어서 심각한 도덕적 해이입니다.”

벤디넬리는 그 사실을 사이트 운영자들에게 알렸고, 사이트 운영자들은 조치를 취하기 시작했다. 한 곳은 테스트라는 서비스 자체를 아예 삭제시키기도 했다. “자신들이 뭔가를 잘못하고 있다는 걸 인정한 것이죠. 아마, 어떤 일이 일어나고 있는지 세세하게나 기술적으로는 몰랐을 겁니다.” 벤디넬리는 곧 열릴 블랙햇 유럽(Black Hat Europe)에서 “당신의 정신 건강 자료도 판매되고 있습니까?”라는 제목으로 강연할 예정이다.

3줄 요약
1. 국제프라이버시, 온라인의 트래킹 산업에 대해 조사 실시.
2. 국제프라이버시의 결론은 “트래킹 행위는 불법적이다.”
3. 심지어 일부에서는 우울증 테스트 결과도 거래되고 있었음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>