광고 업계와 연결된 쿠키가 다수 나와...28개국 중 25개국이 위반
추적해보니 구글, 유튜브, 더블클릭 나와...집요하고 교묘하게 쿠키 퍼트려
[보안뉴스 문가용 기자] 유럽연합 내 정부 기관들이 GDPR 규정을 어기고 있다는 고발이 나왔다. 공식 정부 기관 웹사이트들 다수가 쿠키를 이용해 방문자들을 추적한다는 내용이다. 184,683개의 페이지를 전수 조사한 결과 89%에서 쿠키가 나왔다. 28개 EU 회원국들 중 쿠키를 사용하는 국가가 25개였다. 쿠키가 하나도 없는 국가는 스페인, 독일, 네덜란드였다.
[이미지 = iclickart]
이러한 실태를 고발한 쿠키봇(Cookiebot) 보고서에 따르면, 민감한 정보를 검색하는 취약 계층들에 대한 추적이 이뤄지고 있어, 이들의 안전이 우려된다고 한다. 안전하리라고 생각한 사이트들에서 오히려 추적 행위가 일어나고 있다는 것. 예를 들어 HIV나 임신, 정신병에 대한 정보를 남몰래 검색하려는 사람들이 흔히 접속하는 정부 기관 사이트들에 어김없이 쿠키가 발견됐다는 뜻이다. 주변 사람 몰래 HIV에 대한 상담을 국가 기관과 해보다가는, 그 소문이 동네방네 퍼지게 된다.
정부 기관 사이트에서 사용되고 있는 쿠키들은 광고 업계와 연결이 되어 있는 것으로 나타났다. 총 112개의 기업들이 131개의 서드파티 도메인들로 이 데이터를 전송하고 있었다. 정부 기관이 광고로 돈을 버는 것도 아닌데 말이다.
정부와 광고 업자들 간에 흑막이 존재하는 걸까? 이 연결 고리에 대해서 쿠키봇은 결론을 내리지 않고 있다. 그러나 이를 보도한 외신들은 “정부 웹사이트 운영자들이 쿠키에 대해 잘 인지하지 못하고 있을 가능성이 높다”고 설명한다. 쿠키봇도 “현대의 웹사이트들은 다량의 서드파티 자바스크립트 기술들을 도입해 여러 가지 기능을 구현하는 게 일반적”이라고 설명하고 있다.
“사이트 내에서 영상이 재생되게 한다거나, 소셜 미디어와 콘텐츠를 공유하거나, 웹 분석을 하려고 할 때, 웹 개발자들은 외부에서 툴들을 가지고 오는 경우가 많습니다. 이 과정에서 쿠키를 가져왔거나, 백도어를 심어 공격자들이 쿠키를 몰래 설치했을 수도 있습니다.”
또 현대 웹 환경에서 일반적으로 나타나는 건, “광고 기술 기업들이 온갖 방법과 기술을 동원해 사용자들을 추적하려고 시도한다”는 것이라고 쿠키봇은 지적한다. “광고 업체들은 쿠키 차단기를 우회하고, 쿠키를 사용하고 있다는 걸 숨기기 위해 온갖 방법을 다 동원합니다. 예를 들어 애플은 2017년 사파리 11을 발표하며, 추적 방지 기술을 도입했습니다. 그런데 2018년 10월 페이스북은 퍼스트파티 쿠키(first-party cookie)인 _fbp를 런칭합니다. 퍼스트파티였기 때문에 서드파티를 제거하는 사파리의 추적 방지 기능이 통하지 않았습니다. 페이스북에 필요한 추적 행위는 고스란히 행해졌는데 말이죠. 이런 식입니다.”
쿠키봇은 “현재 가장 집요하고 광범위하게 사용자들을 추적하는 도메인은 Youtube.com, DoubleClick.net, Google.com”이라고 고발한다. 구글은 과거에 향상된 프라이버시 모드를 유튜브에 적용한 적이 있다. 영상이 재생되지 않으면 쿠키가 전송되지 않도록 한 것이다. 하지만 이런 식의 정책을 세워놓고 구글은 유튜브를 통해 ‘전통적인 쿠키’ 대신 ‘플래시 쿠키’를 퍼트렸다. 말장난을 한 것이다.
쿠키봇은 “유튜브는 yt-remote-device-id라는 이름의 식별자를 웹 브라우저의 로컬 스토리지(Local Storage) 폴더에 저장한다”고 기술했다. “이렇게 함으로써 사용자가 영상을 클릭하든 말든, 재생시키거나 멈추거나 중단하든 말든, 계속해서 추적할 수 있게 됩니다. 재생하지 않으면 추적도 안 한다는 설명과 반대로 말이죠.”
결국 이런 기업들의 집요한 쿠키 사용 욕구 때문에 알게 모르게 현대 웹사이트 다수에 쿠키가 스며들게 된다는 게 쿠키봇 보고서의 핵심 내용이다. 정부 기관들마저 여기에 당할 정도라면, 사실 많은 사이트들도 같은 처지일 것이라고 쿠키봇은 경고한다. 정부 기관 스스로가 운영하는 사이트에서 발견된 위반 사항이라, GDPR에 의거한 처벌이 내려질 것 같지는 않다는 게 일반적인 전망이다.
국제프라이버시(Privacy International)의 수석 기술자인 엘리엇 벤디넬리(Eliot Bendinelli)는 “광고 기술 산업이 오늘날 광범위하게 벌어지고 있는 데이터 남용 및 프라이버시 침해의 주범이자 핵심”이라고 손가락질 한다. “돈을 위해 무차별적으로, 대단히 교묘하고 은밀하게, 사람들의 비밀스런 정보들을 모으고 공유하고 나눠 갖는 게 광고 업계입니다. 국제프라이버시는 7개의 기업들을 GDPR 위반으로 고소한 상태입니다.”
그러면서 벤디넬리는 “이번 쿠키봇 보고서를 통해 기술 기업들의 집요한 개인정보 탐욕과 일반 사이트 운영자들 사이에 만연한 낮은 인식 수준이 드러났다”고 평가한다. “데이터를 노리는 건 해커들만이 아닙니다. 오히려 정상적인 얼굴을 겉으로 드러내고 있는 기업들이 더 무섭죠. 웹사이트 운영자들은 이러한 기업들의 행위에 대해 더 깊이 인지할 필요가 있습니다. 그들은 멈추지 않을 거니까요.”
3줄 요약
1. 유럽연합의 정부 기관들도 GDPR을 어기고 있다! 다수에서 쿠키가 나옴.
2. 그것도 광고 업계와 연관된 쿠키들! 광고 수익도 얻지 못하는데, 왜?
3. 현대 웹 생태계에서 교묘히 쿠키 퍼트리고 있는 광고 업계가 진정한 범인. 정부 담당자들도 몰랐을 것.
[국제부 문가용 기자(globoan@boannews.com)]
추적해보니 구글, 유튜브, 더블클릭 나와...집요하고 교묘하게 쿠키 퍼트려
[보안뉴스 문가용 기자] 유럽연합 내 정부 기관들이 GDPR 규정을 어기고 있다는 고발이 나왔다. 공식 정부 기관 웹사이트들 다수가 쿠키를 이용해 방문자들을 추적한다는 내용이다. 184,683개의 페이지를 전수 조사한 결과 89%에서 쿠키가 나왔다. 28개 EU 회원국들 중 쿠키를 사용하는 국가가 25개였다. 쿠키가 하나도 없는 국가는 스페인, 독일, 네덜란드였다.
[이미지 = iclickart]
이러한 실태를 고발한 쿠키봇(Cookiebot) 보고서에 따르면, 민감한 정보를 검색하는 취약 계층들에 대한 추적이 이뤄지고 있어, 이들의 안전이 우려된다고 한다. 안전하리라고 생각한 사이트들에서 오히려 추적 행위가 일어나고 있다는 것. 예를 들어 HIV나 임신, 정신병에 대한 정보를 남몰래 검색하려는 사람들이 흔히 접속하는 정부 기관 사이트들에 어김없이 쿠키가 발견됐다는 뜻이다. 주변 사람 몰래 HIV에 대한 상담을 국가 기관과 해보다가는, 그 소문이 동네방네 퍼지게 된다.
정부 기관 사이트에서 사용되고 있는 쿠키들은 광고 업계와 연결이 되어 있는 것으로 나타났다. 총 112개의 기업들이 131개의 서드파티 도메인들로 이 데이터를 전송하고 있었다. 정부 기관이 광고로 돈을 버는 것도 아닌데 말이다.
정부와 광고 업자들 간에 흑막이 존재하는 걸까? 이 연결 고리에 대해서 쿠키봇은 결론을 내리지 않고 있다. 그러나 이를 보도한 외신들은 “정부 웹사이트 운영자들이 쿠키에 대해 잘 인지하지 못하고 있을 가능성이 높다”고 설명한다. 쿠키봇도 “현대의 웹사이트들은 다량의 서드파티 자바스크립트 기술들을 도입해 여러 가지 기능을 구현하는 게 일반적”이라고 설명하고 있다.
“사이트 내에서 영상이 재생되게 한다거나, 소셜 미디어와 콘텐츠를 공유하거나, 웹 분석을 하려고 할 때, 웹 개발자들은 외부에서 툴들을 가지고 오는 경우가 많습니다. 이 과정에서 쿠키를 가져왔거나, 백도어를 심어 공격자들이 쿠키를 몰래 설치했을 수도 있습니다.”
또 현대 웹 환경에서 일반적으로 나타나는 건, “광고 기술 기업들이 온갖 방법과 기술을 동원해 사용자들을 추적하려고 시도한다”는 것이라고 쿠키봇은 지적한다. “광고 업체들은 쿠키 차단기를 우회하고, 쿠키를 사용하고 있다는 걸 숨기기 위해 온갖 방법을 다 동원합니다. 예를 들어 애플은 2017년 사파리 11을 발표하며, 추적 방지 기술을 도입했습니다. 그런데 2018년 10월 페이스북은 퍼스트파티 쿠키(first-party cookie)인 _fbp를 런칭합니다. 퍼스트파티였기 때문에 서드파티를 제거하는 사파리의 추적 방지 기능이 통하지 않았습니다. 페이스북에 필요한 추적 행위는 고스란히 행해졌는데 말이죠. 이런 식입니다.”
쿠키봇은 “현재 가장 집요하고 광범위하게 사용자들을 추적하는 도메인은 Youtube.com, DoubleClick.net, Google.com”이라고 고발한다. 구글은 과거에 향상된 프라이버시 모드를 유튜브에 적용한 적이 있다. 영상이 재생되지 않으면 쿠키가 전송되지 않도록 한 것이다. 하지만 이런 식의 정책을 세워놓고 구글은 유튜브를 통해 ‘전통적인 쿠키’ 대신 ‘플래시 쿠키’를 퍼트렸다. 말장난을 한 것이다.
쿠키봇은 “유튜브는 yt-remote-device-id라는 이름의 식별자를 웹 브라우저의 로컬 스토리지(Local Storage) 폴더에 저장한다”고 기술했다. “이렇게 함으로써 사용자가 영상을 클릭하든 말든, 재생시키거나 멈추거나 중단하든 말든, 계속해서 추적할 수 있게 됩니다. 재생하지 않으면 추적도 안 한다는 설명과 반대로 말이죠.”
결국 이런 기업들의 집요한 쿠키 사용 욕구 때문에 알게 모르게 현대 웹사이트 다수에 쿠키가 스며들게 된다는 게 쿠키봇 보고서의 핵심 내용이다. 정부 기관들마저 여기에 당할 정도라면, 사실 많은 사이트들도 같은 처지일 것이라고 쿠키봇은 경고한다. 정부 기관 스스로가 운영하는 사이트에서 발견된 위반 사항이라, GDPR에 의거한 처벌이 내려질 것 같지는 않다는 게 일반적인 전망이다.
국제프라이버시(Privacy International)의 수석 기술자인 엘리엇 벤디넬리(Eliot Bendinelli)는 “광고 기술 산업이 오늘날 광범위하게 벌어지고 있는 데이터 남용 및 프라이버시 침해의 주범이자 핵심”이라고 손가락질 한다. “돈을 위해 무차별적으로, 대단히 교묘하고 은밀하게, 사람들의 비밀스런 정보들을 모으고 공유하고 나눠 갖는 게 광고 업계입니다. 국제프라이버시는 7개의 기업들을 GDPR 위반으로 고소한 상태입니다.”
그러면서 벤디넬리는 “이번 쿠키봇 보고서를 통해 기술 기업들의 집요한 개인정보 탐욕과 일반 사이트 운영자들 사이에 만연한 낮은 인식 수준이 드러났다”고 평가한다. “데이터를 노리는 건 해커들만이 아닙니다. 오히려 정상적인 얼굴을 겉으로 드러내고 있는 기업들이 더 무섭죠. 웹사이트 운영자들은 이러한 기업들의 행위에 대해 더 깊이 인지할 필요가 있습니다. 그들은 멈추지 않을 거니까요.”
3줄 요약
1. 유럽연합의 정부 기관들도 GDPR을 어기고 있다! 다수에서 쿠키가 나옴.
2. 그것도 광고 업계와 연관된 쿠키들! 광고 수익도 얻지 못하는데, 왜?
3. 현대 웹 생태계에서 교묘히 쿠키 퍼트리고 있는 광고 업계가 진정한 범인. 정부 담당자들도 몰랐을 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
