Cookie 차단 이상의 프라이버시보호 : 주의해야 할 타사 컨텐츠(Third-Party Content)

 

 

이전 글에서는 일반적인 안정성 확보를 위한 행동 지침 (영어)과 제품의 세부 사항 (XSS Filter 와 안정성 (영어))에 대해 설명했습니다. 프라이버시 확보는 신뢰할 수 있는 컴퓨팅에서 중요한 위치를 차지합니다. 이 글에서는 타사 컨텐츠에 대한 웹에서의 프라이버시를 다룹니다.

 

웹 서핑을 하는 대부분의 사람들이 주소 표시줄에 표시된 URL과 현재 보고 있는 사이트가 같은 것이라고 생각합니다. 그러나 현재 웹 사이트는 많은 다른 웹 사이트에서 내용을 가져옵니다. 정확한 용어를 사용하면, 사용자가 직접 열람하는 사이트 (주소 표시줄에 URL 가 표시되는 사이트)를 퍼스트 파티 (first-party) 사이트, 퍼스트 파티 사이트가 도입한 내용을 제공하는 사이트 (이쪽은 사용자가 선택하지 않았습니다)를 타사 (third-party) 사이트라고 부릅니다.

퍼스트 파티 사이트를 열람할 때, 여러분이 이 사이트를 어떻게 이용하는지에 대한 정보를 수집할 수 있다는 것은 알고 계시리라 생각합니다. 그러나 많은 사용자는 타사 사이트에서도 같은 정보를 수집하는 것이 기술적으로 가능하다는 것은 모르고 있습니다. 어느 사이트가 정보를 수집하는지, 이 정보를 현재 어떻게 이용하고 있는지, 이 정보를 앞으로 어떻게 이용할지에 대해 일반 사용자들은 정확한 지식이 없습니다. 

타사 사이트 식별

현재 웹 사이트의 대부분이 실제로는 다른 여러개의 웹 사이트를 모자이크로 조합하거나 또는 매쉬업 됩니다. 이것은 프라이버시 리포트 (Internet Explorer 7 의 [페이지] 단추 또는 Internet Explorer 6 의 [표시]에서 [웹 페이지 프라이버시 정책] 을 선택합니다)를 실행하면 확인할 수 있습니다.

주소 표시줄에는 현재 표시되는 퍼스트 파티 사이트의 주소가 표시되는데 , 이 대화상자에는 다른 웹 사이트 (타사 사이트 포함)의 주소가 모두 표시됩니다. 브라우저는 현재의 웹 페이지 컨텐츠를 표시하기 위해, 모든 웹 사이트에 액세스합니다.

이와 같이 다른 사이트의 컨텐츠를 유용하게 하는 방법은 최근의 웹에서는 유익하고 강력한 일반적 방법입니다. 이러한 방법은 웹의 근간을 이루는 개념으로, 높이 평가되는 기능 (레스토랑 웹 사이트에 인터랙티브 지도를 찾거나  뉴스의 문서 내에 "공유하는" 라는 링크를 묻는)을 가능하게 합니다.

타사 사이트와 프라이버시

다른 웹 사이트에서 정보를 찾는 것은 동시에 프라이버시 유지에 영향을 줍니다. 이 문제의 좋은 예는 대부분의 사람들이 전자 메일에서 경험하고 있습니다. 많은 전자 메일 시스템은 불확실한 발신자가 보낸 전자 메일을 받을 때, 특수한 방법으로 이미지를 차단하여 (영어) , 다음과 같은 메시지를 표시합니다.

메시지 본문에는 일반적으로, 이미지가 보이지 않는 것을 나타내는 붉은× 마크와 「이미지를 다운로드 하려면 여기를 오른쪽 클릭해 주세요. 프라이버시 보호하기 위해, 메시지 내의 이미지는 자동적으로는 다운로드 되지 않습니다」라는 텍스트가 표시됩니다.

왜 전자 메일 시스템은 이러한 외부 이미지를 차단할까요?  이 송신자는 외부 이미지에 수신자 고유 정보 (예를 들면, 외부 이미지 파일 이름이나 주소에 수신자 주소를 포함하는 등)를 프로그래밍 할지도 모릅니다. 송신자는 특정 이미지가 다운로드 되었을 경우, 전자 메일이 도착한 것과 유효한 전자 메일 계정이 이 메일을 열었다는 것을 알게 됩니다. 이미지 파일을 다운로드하지 않으면, 수신자 정보가 확인되지 않아서, 불확실한 송신자로부터 프라이버시가 보호됩니다. 경우에 따라서는 임의로 보내지는 메일로부터  보호 받을 수  있습니다. 

일반적으로, 컴퓨터가 웹 사이트에 요청하는 모든 웹 컨텐츠는 그 사이트에 통지됩니다. 이 기본적인 기술은 다른 퍼스트 파티 사이트에서 만나도 같을 타사제품의 컨텐츠를 포함한 사이트이면, 타사에 의한 방문자 추적을 가능하게 합니다. 여러 개의 웹 사이트가 같은 타사의 웹 사이트에서의 컨텐츠 (사진이나 문서의 전달 등)를 게재했을 경우, 이 타사 사이트는 어느 웹 사이트에서 어느 방문자가 열람했는지를 확인할 수 있습니다.

예를 들면, Site1.com 와 Site2.com 라는 전혀 관계가 없는 사이트가 MySyndicatedPhotos.com 에서 전달하는 이미지를 게재했다고 합니다. 어떤 사용자가 Site1.com, Site2.com  두 곳을 모두 열람했을 경우, 사용자 브라우저는 이러한 사이트에 포함되는 이미지를 취득하기 위해, MySyndicatedPhotos.com 를 호출합니다. MySyndicatedPhotos.com 는 같은 컴퓨터가 두 다른 사이트를 방문했다는 것을 (여러 가지 방법으로) 확인할 수 있습니다.

같은 타사 사이트의 컨텐츠를 표시하는 사이트를 방문하는 사용자가 있으면, 타사 사이트는 그 컨텐츠를 포함한 웹 사이트를 어떻게 사용자가 이동하는지 활동 소개를 확인할 수 있는 입장에 있습니다.

Cookie는 확실히 도움이 되는 기술이며, "Cookie 를 이용한 추적 (트래킹 Cookie)" (영어) 에 관련된 걱정과 혼란이 오랜 세월에 걸쳐 계속 되어 있지만, 사실 어떤 컨텐츠도 타사 사이트는 트래킹 Cookie와 같이 기능시킬 수 있습니다. 그 컨텐츠가 의도하는 내용 (사진, 문서, 로고, 특정 용도의 분석 이미지, 텍스트, 스크립트)과 추적에 이용될 가능성과는 기술적인 관련성은 없습니다. 모든 Cookie 를 차단해도 다른 컨텐츠가 사용자 행동을 분석할 수 있는 것에 주의해야 합니다. 타사의 컨텐츠는 그 선악과 관계 없이 이러한 방법으로 이용하는 것이 기술적으로 가능합니다.

무엇이 일어나고 있는지, 기술적으로 무엇이 가능한가 그리고 그 외의 의문

문제를 명쾌하게 하기 위해, 여러 다른 사이트에 컨텐츠를 제공하는 웹 사이트는 무엇이 가능한지에 대해 다루고 있지만, 다른 사이트에 컨텐츠를 제공하는 모든 사이트가 실제로 이와 같은 것은 아닙니다. 타사 사이트에 제공된 이용 가능한 정보를 어떻게 이용하고 있는지를 확인하는 것에는 몇가지 측면에서 매우 어렵습니다. 타사 사이트는 활동 내용을 안내하기 위해, 명확하게, 적절히, 눈에 띄도록 제시된 프라이버시 정책을 게재할 수 있습니다. 그러나 그 내용처럼 행동하지 않을지도 모릅니다. 정책에 위반하거나, 수집한 데이터가 들어간 노트 PC를 분실하거나 맬웨어에 감염되거나 수집한 정보를 공개하는 종업원을 고용하고 있을지도 모릅니다. 수집한 데이터를 제공하는 것을 조건으로 개업 자금을 조달했을지도 모릅니다.

이 글은 사용자를 추적하기 위한 고도의 기술이나 고도의 기술을 가지는 사용자가 흥미를 가진 추적에 대한 대응책에 대해는 언급하지 않습니다. 여기에서는 퍼스트 파티 사이트가 방문자의 개체 식별을 위해서 수집한 정보가 타사 사이트에도  이동한다는 기술적인 일반론을 주제로 합니다. (앞의 전자 메일의 경우나 여기 (영어)에서 논함) .예를 들어, 웹 페이지 프라이버시 정책의 대화상자에서 보이는 웹주소가 대부분의 경우 긴 개체 식별자(dentifiers)를 포함합니다.  이러한 안건을 논의하는데 적합한 장소가 있습니다. 예를 들면, 새로운 리치 디자인인 사이트의 웹 표준의 개발에 관한 IRC  최근 화제 (영어)  가 그렇습니다. 이것은 매우  길지만, Cookie 를 송신하거나 하지 않아도 추적된 사람들의 이야기 (영어) 나 Cookie 없이도 웹 상에서의 활동을 추적할 수 있는 누군가… USER AGENT 의 문자열, IP 주소, 화면 크기, Java Script 나 HTTP 의 액세스 설정에서 쉽게 사람들의 "지문" 을 채취할 수 있어 간단한 분석용 스크립트를 이용하여 AOL 가 유출시킨 "익명" 검색 정보에서 찾을 수 있습니다 .

웹 브라우징은 타사 사이트가 없어도, 익명성은 없고, 완전하게 비공개도 아닙니다. 예를 들면, 인터넷 접속을 (집, 호텔, 찻집, 학교, 직장) 제공하는 공급자는 컴퓨터가 어디에 접속했는지를 관찰할 수 있습니다. 일반적으로, 공급자는 사용 조건을 제시하기 위해, 사용자는 명확한 주의를 받은 다음, 조건을 수락했는지, 거부하는지를 선택할 수 있습니다. 컴퓨터에서 동작하는 모든 소프트웨어는 이 컴퓨터가 어느 사이트를 방문했는지를 확인할 수 있습니다. 이 기술은 사용자의 브라우징 저널을 복사하여 웹 사이트에 업로딩하여 다른 컴퓨터에서도 이용할 수 있도록 하는 도구 막대나 브라우저 저널 기능의 기본이 됩니다. 반복하지만, 사용 조건과 프라이버시 정책은 사용자에서 지금 있는 중요한 도구입니다. 웹 사이트는 방문자 정보를 확인할 수 있습니다(예를 들면, 대체 위치 (영어)) .또 사용 조건을 클릭하거나 선택하여 웹 사이트에 직접 정보를 전달합니다.

타사 사이트의 신용성

웹 브라우징에 익명성이 없고, 이러한 구조로 움직인다면, 무엇이 신용에 관한 문제일까요? 많은 사람들에서, 신용은 보안에서 시작됩니다. 어떤 사이트를 방문하면 잠재적으로 다른 웹 사이트의 악의가 있는 컨텐츠에 노출되는 보안적인 위험은 명백합니다. 신뢰할 수 있을 것 같은 컨텐츠로 구성된 것처럼 보이는 사이트를 방문해도 현실에서는 다른 사이트의 내용이 포함되어 있는 일이 있습니다. 이러한 예를 웹에서 찾는 것은 어렵지 않습니다. 일부 유력 사이트 (예 1 (영어) ,예 2 (영어) ,예 3 (영어))의 방문자에게도 발생하고 있습니다.

이와 같이 신용은 프라이버시도 포함합니다. 프라이버시에 관해서는 사용자 선택과 어떤 정보를 제공할지 컨트롤이 관련합니다. 현시점에서는 브라우징 활동 상태에 대한 정보를 웹 사이트가 수집하는 것을 사용자가 컨트롤할 수 없습니다. 그 결과, 방문한 사이트와 관계가 명시되어 있지 않은 사이트가 브라우징 경향을 분석하기 위한 모습을 사용자는 눈치채지 못합니다.

Internet Explorer (와 신뢰할 수 있는 컴퓨팅에 관련하는 Microsoft 의 모두)를 위해서 안내하는 지침에서는 이용자가 컨트롤 해야 합니다. 일반 이용자는 브라우저의 보안 및 보호 기능을 기대하며, 동시에 프라이버시 보호에 대해서도 높은 기대를 갖고 있습니다. 여기서 말하는 컨트롤과는 이용자에게 명확한 주의가 주어지는 것으로, 어떠한 사이트가 어떠한 사용 조건아래에서 정보를 공개할지 아는 것입니다. 컨트롤과는 동시에 사용자가 누구에게 어떤 정보를 공개하는지를 선택할 수 있는 것을 의미합니다. 정보 누설을 막는 것은 컨텐츠 차단을 의미하지만, 컨텐츠 차단은 페이지의 외형이나 기능에 영향을 미칠 가능성이 있습니다.

또한 책임에 대한 현안이 있습니다. 어느 쪽에도 같은 타사 사이트의 컨텐츠를 포함한 다른 사이트를 방문했을 때, 사용자 정보를 수집하는 것에 대하여, 누가 이것을 설명하고 누가 책임을 지는 것입니까? 오늘날의 웹에서는 그것이 완전히 명확하지 않습니다.

타사의 컨텐츠에 관련된 프라이버시와 신용 문제는 복잡하고 중요한 문제입니다. 이 블로그에서  논의되었듯이 신뢰할 수 있는 브라우징은 많은 근면한 도전과 다른 많은 노력 (상호 운용성의 확보 등)을 포함하여 협조와 절충을 요청합니다. 웹에서의 프라이버시는 단순한 cookie 의 차단에 머물지 않고 보다 많은 일과 관련합니다. 이것을 깨달을 수 있으면, 사용자는 프라이버시를 관리할 수 있게 되겠지요. 이후 다른 글에서 사용자가 자신의 정보를 관리하는 도움이 되는 Internet Explorer 8 의 기능에 대해 설명합니다.

Dean Hachamovitch
General Manager

* 이 글은 Internet Explorer 개발 팀 블로그 (영어)의 번역 문서입니다. 이 글에 포함된 정보는 Internet Explorer 개발 팀 블로그 (영어)가 생성된 시점의 내용으로, 제품의 사양이나 기능이 보장되는 것은 아닙니다. 이 글에 포함된 정보의 이용은 사용 조건을 참조해 주세요. 그리고, 이 글의 게재 시점에서 Internet Explorer 개발 팀 블로그 (영어)의 내용이 변경될 수 도 있습니다. 최신 정보는 Internet Explorer 개발 팀 블로그 (영어)를 참조하십시오. 

영문 원본 :Privacy Beyond Blocking Cookies: Bringing Awareness to Third-Party Content

업데이트 일: 2008 년 8 월 25 일