왜 모든 웹사이트가 쿠키를 허용하라고 할까?

이 문서는 다음 기사를 번역한 문서입니다. 뒤로 갈수록 그냥 파파고 돌린 거라 부자연스러울 수 있습니다. 아니면 그게 더 자연스러울 수도...

Why every website wants you to accept its cookies

쿠키 알림은 온라인 프라이버시를 보호하는 듯 보이는데, 정말 그럴까?

지난 18개월 안에 핸드폰이나 컴퓨터에서 새로운 웹사이트를 방문했다면, 아마 "이 페이지는 쿠키를 사용하여 당신을 추적할 것이며, 수락을 요청합니다" 하는 식의 알림을 받았을 겁니다. 웹사이트는 당신에게 "쿠키 정책"을 (솔직히 말하자면, 아무도 읽지 않을) 보여줄 것이며, 아마 웹사이트가 당신을 트랙킹하여 —정반대로 행동하는 것처럼 느껴질지라도— 사용자 경험을 "향상"시킨다고 말할 것입니다.

쿠키는 웹사이트가 당신의 기기에 보내는 작은 파일들입니다. 웹사이트는 당신을 모니터링 하고, —장바구니에 있는 상품 리스트나 로그인 정보 같은— 특정 정보를 기록합니다. 모든 인터넷 상의 이런 팝업 쿠키 알림은 악의적이지 않고, 당신의 온라인 프라이버시에 대한 투명성을 보여주기 위한 것입니다.

그러나 결국에는, 많은 걸 하진 않습니다: 대부분의 사람들은 그냥 장황하게 "예"를 누르고 넘어갑니다. 가끔 당신이 쿠키 추적을 거절한다면, 웹사이트가 동작하지 않기도 합니다. 그러나 대체로는 그냥 사용할 수 있습니다. 이 알림들은 우리가 무시하는 짜증나는 팝업 광고와 별반 다르지 않습니다.

쿠키 알림은 개인정보에 대해 더많은 권한을 주는 것처럼 보이지만, 우리는 그냥 "예"를 누르고 넘어간다.

또한, 이런 쿠키 정보 공개는 인터넷의 현재 진행형 추세이며, 데이터에 접근하고 되팔 수 있으며, 심하게는, 인터넷과 현실에서 우리를 추적할 수 있다는 점에서 온라인 프라이버시에 대한 근본적인 몰락이다. .

이런 알림의 확산은 유럽의 두 가지 규제에 의해 촉발되었다: 2018년 5월 유럽 연합에서 제정된  일반 데이터 보호 규칙(GDPR)과 2002년 통과되고 2009년 강화된 전자 개인 정보 보호 지침. 이 법안들과 이로 인해 유발된 쿠키 알림은, 좋은 의도를 가지고 있지만 역효과가 났다.

"이것들은 전혀 효과가 없다고 할 수 있어요", 개인 정보 공유 플랫폼 digi.me의 CEO, 셰인 그린이 한 말이다. "우리모두 팝업이 여기저기 깔린 1999년으로 돌아갔고, 그때보다 더 짜증이 납니다."

왜 이게, 왜 지금, 짧게 설명하자면

보충 설명하자면, 쿠키는 당신의 온라인 활동에 대해 기록된 정보이고, 당신의 방문 기록을 추적한다. 당신이 일기예보 사이트에 가서 당신 지역 날씨를 확인하기 위해 우편 번호를 입력했다고 해보자; 다음 번에 같은 사이트에 접속한다면, 그 사이트는 당신의 우편 번호를 기억하고 있을 것이다. 쿠키 때문에. 이것은 당신이 방문한 사이트가 직접 제공한 쿠키이고, 광고자가 당신이 무엇에 흥미가 있는지 확인하고, 광고를 제공하기 위해 설치한 제 3자 제공 쿠키도 있다. —당신이 원래 방문한 사이트를 떠났을 때도. (이것이 당신을 따라다니는 인터넷 광고의 원리이다.)

쿠키 알림의 시작은, 주로 유럽 연합 밖에서 일어난, 여러 사건들의 결과이다. 그러나 시야를 넓혀보면, 이 알림은 현재 진행 중인 디지털 개인 정보 보호에 대한 토론을 역설한다. '사용자에게 데이터 수집 여부를 묻는 게 나은지'나 누가 데이터를 소유해야 하고 보호할 책임이 있는지에 대한 것 같은.

2018년 5월, 유럽에서 GDPR이 발효되었다. 아마 그때즈음 메일함이 개인 정보 보호 정책 이메일로 가득 찼던 걸 기억할 것이다. 이 개인 정보 보호 정책은 사용자가 자신의 데이터가 기업에 수집되고 있고, 이에 대해 동의하는지 확실히 알 수 있도록 고안되었다. 기업이 어떤 정보를 수집하고 왜 수집하는지 투명하게 명시하도록 되어 있으며, 개인은 그들의 모든 개인 정보, 제어권, 사용 권한 및 삭제 권한에 접근할 권리를 가진다.

GDPR이 발효된 이후, 많은 웹사이트가 쿠키 알림을 집어넣기 시작했다. 그러나 GDPR은 실제로 쿠키에 대해 단 한 번만 언급했다. GDPR은 사용자를 특정할 수 있는 쿠키의 한도에 대해서만 얘기했다.

그러나 쿠키를 제한하는 건 GDPR만이 아니다. 전자 개인 정보 보호 지침 또한 쿠키에 대해 다룬다. 이 지침은 때때로 "쿠키 법"으로 불리며 쿠키 추적, 비밀성, 모니터링에 대한 가이드라인을 규정했다. 현재, 유럽은 이 지침을 대신할 전자 개인 정보 보호 규정을 도입하려 하고 있으며, 유럽 연합 전체에 적용될 것이다. 현재, GDPR과 전자 개인 정보 보호 지침은 쿠키 규제에 대한 지배권을 공유하고 있으나, 법안이 통과되던 말던, 쿠키 알림은 수그러들 기미가 보이지 않는다.

"GDPR은 신발 한 짝이고, 다른 한 짝은 전자 개인 정보 보호 규정입니다." 표현의 자유와 개인 정보 보호 증진을 위한 프로젝트인 New America’s Ranking Digital Rights의 연구 감독관 에이미 브롤리테가 말했다.

사과하기보다 안전한 게 낫기 때문에 대부분의 웹사이트가 쿠키 알림을 띄운다.

GDPR이 효력을 가지면서, 유럽 뿐만이 아니라 전세계 기업이 이 법안을 따르기 위해 고생했고, 개인 정보 지침 변경을 알리기 시작했다. 쿠키 팝업도 그 일환이다.

"모두가 사과하기 보다는 더 안전하기를 택했습니다. 효과가 거의 없다는 걸 알면서도 그냥 배너를 띄우면서요." Center for Democracy & Technology의 전직 Privacy & Data Project 정책 고문인 조셉 제러미가 말했다.

기술 기업과 웹사이트 소유주가 사용자 데이터로 무엇을 하는지, 어떻게 추적하는지 더 투명하게 관리하는 건 분명 좋은 일이다. 그리고 GDPR과 무거운 벌금은 몇몇 기업의 위반 통지 관행을 없앴다. 그린은 GDPR 이후에 "어처구니 없는 데이터 공유와 남용이 유럽은 물론 전세계적으로 줄어들었다"고 말했다.

그러나 쿠키에 관해서라면, 이 팝업 알림은 많은 일을 하지 않는다. 인터넷과 거대한 웹사이트들은 이런 사이트가 사용자 데이터에 쉽게 접근할 방법을 구축했고, 기본적으로 그들은 무엇이든 원하는 일을 할 수 있다.

그리고, 솔직히 털어놓자면, 우리는 이런 행동을 부추기고 있다. 대부분의 유저가 팝업을 치우기 위해 "수락"을 누르고 제 갈 길을 간다. 그들은 자신이 무엇에 동의하는지 거의 알아보지 않는다. 관련 연구는 대부분의 인터넷 사용자가 이용 약관이나 개인 정보 보호 정책을 읽지 않음을 보여준다. 아마 쿠키 정책 또한 읽지 않을 것이다. 그것들은 매우 길고, 보편적인 사람이 이해할 수 있을만큼 쉽게 쓰이지 않았다.

심지어는 쿠키 알림이 유럽 법률을 준수하는 지에 대한 합의조차 없다. 지난 5월, 네덜란드의 데이터 보호 기관은 이러한 공시가 웹사이트의 입장료로 작용하기 때문에 GDPR에 부합하지 않는다고 언급했다.

브루일렛은 "강제 조치나 규제 당국이 실제 지침서를 발행해 '우리가 원하는 것과 사람들이 읽으리라 예상되는 것'에 대해 말할 때까지, 이런 엄청난 UX를 경험하게 될 것"이라고 말했다.

더나은 해결 방법이 있을까? 아마 누구도 동의하지 못하겠지만.

한편으로, 사용자는 웹사이트를 이용할 때 그게 어떤 의미인지, 어떤 기업이 그들을 추적하는지 알아야한다. 반면에, 사용자가 뭐에 동의하는지 제대로 모르는 상태일 때, 다른 실행 가능한 옵션은 주지 않은 채, 체크하도록 요청하는 행위는 최상의 해결 방안이 아닌 것 같다. 이는 생산적인 방법이 아니며, 사용자 경험만 악화한다. 이는, 다시 한 번, 인터넷 상의 프라이버시와 데이터 수집에 대한 더 근본적인 단점만 반영한다.

그러면 더 나은 대답은 무엇일까? 그린은 신호를 웹사이트가 좋은 사생활 보호 관행을 따르고 있다는 신호를 사용자에게 보낼 수 있는, 승인이나 등급 시스템을 제안했다. 물론, 우리는 그 기준들, 즉 공공 부문, 민간 부문, 혹은 어떤 조합을 누가 결정하고, 그 기준이 무엇이 되야 할 지 결정해야 할 것이다. 당연히, 합의점을 찾긴 어려울 것이다.

제롬은 인터랙티브 광고국 즉, 인터랙티브 광고를 연구하고 EU 규정을 준수하기 위한 표준과 모범 사례를 개발하는 산업 무역 단체인 IAB가 제시한 투명성과 동의 체계를 지적했다. "그것이 반드시 해결책은 아니지만... 우리는 여기에서 어떤 종류의 표준화가 필요하다."라고 그는 말했다.

프라이버시를 중시하는 웹 브라우저인 브레이브의 정책 및 업계 관계 책임자인 조니 라이언은 IAB의 프레임워크가 실제로 해롭다고 생각한다고 말했다. "여러분은 기본적으로 그들이 당신의 허락을 요구할 때 그들이 보여주는 것을 귀담아듣고 있고, 그 외에도, 그들은 당신이 아니라고 말하는 것을 허락하지 않고 있습니다,"라고 그는 말했다.

라이언은 GDPR이 기술산업과 규제당국 사이에 "치킨게임"을 초래했다고 생각한다고 말했는데, 여기서 기업들은 의미 있는 조치를 취하지 않거나 종종 법을 준수하지 않고 최소한의 조치만을 취하려고 애쓰고 있다. "GDPR은 종이 한 장으로 매우 좋다. 거의 완벽하다. 하지만 그것은 시행되지 않았다."라고 그는 말했다.

유럽에서 일어나고 있는 일 외에도, 미국에는 온라인 프라이버시 운동과 쿠키에 관한 데이터 수집 방식을 언젠가 바꿀 수 있는 몇몇 잠재적 법률이 있다. 예를 들어, Rep. 로 칸나(D-CA)는 디지털 시대의 이용자 보호 목록인 인터넷 권리장전을 제안했고, 상원 민주당 의원들은 GDPR과 유사한 방식으로 디지털 프라이버시 권리와 보호를 확대하려는 소비자 온라인 프라이버시 권리장전법(COPRA)을 도입했다.

공화당이 상원을 장악하고 있고 의회를 통과하는 일이 거의 없기 때문에, 이러한 생각들 중 어느 하나가 언제 법률이 될지는 확실하지 않다. 그러나 주 차원에서는 프라이버시 권리를 보호하고 소비자 데이터 보호를 개선하기 위한 법률인 캘리포니아 소비자 개인정보보호법(CCPA)이 1월 1일부터 시행된다.

하지만, 현재로서는, 다른 많은 것을 성취하지 않고 온라인 검색을 더 어렵게 만드는 이러한 쿠키 팝업들에 사로잡혀 있다. 우리에 대해 추적되고 있는 것을 보기 위해 클릭할 수 있을까? 물론이지. 그리고 우리가 쿠키를 거절해도 몇몇 웹사이트는 여전히 작동할까? 아마 그럴 겁니다 하지만 우리 대부분은 계속해서 그렇다고 말할 것이다.

제롬은 "우리는 오랫동안 현수막에 시달릴 것"이라고 말했다.