민중언론 참세상

인터넷, 개인정보 추적 어디까지 왔나?

WSJ, “50개 기업 홈페이지에 3180개 스파이 프로그램 발견”

메뉴보기: 클릭하세요. V

네이트온의 MAC주소 수집 파동

지난달 하순 네이트온은 메신저 피싱 범죄를 예방한다는 목적으로 모든 이용자의 MAC 주소와 컴퓨터 이름을 강제로 수집을 할 수 있게 약관을 수정한다는 공지를 올려 논란이 된 바 있다.

네이트온 이용자들은 컴퓨터의 주민등록번호와도 같은 랜카드 고유주소인 MAC을 수집할 경우 개인 사생활들이 그대로 노출된다며, 이에 반발하여 집단 탈퇴 러쉬를 이루었다. 그러자 네이트온은 7월 28일 이를 철회한다고 발표했다.

문제는 이것으로 일단락 될 것처럼 보였다. 그런데, 네이트온 이용자들 사이에서는 그 이후에도 불만이 계속되었다.

네이트온이 MAC 수집을 철회한다고 밝힌 날, 네이트온은 새로운 패치파일을 다운로드 받게 했다. 그런데 한 이용자가 이 패치 파일 내부에 MAC 주소 수집 명령어가 존재한다는 사실을 밝혔고, 다시 이것이 문제가 되자 네이트온은 이 명령어를 뺀 패치파일을 다시 올렸다는 것이다.

“4c812db292272995e5416a323e79bd37”...코드의 비밀

이처럼 인터넷에서 특정인들이 인터넷 사용 행적들을 확인할 수 있는 추적 프로그램의 강제설치 문제는 어제오늘의 문제도 아니고 한 두 개의 기업의 문제가 아니다.

월스트리트저널(WSJ)은 지난달 30일 개인의 인터넷 행적을 추적하는 ‘인터넷 스파이 사업’이 사생활 침해를 유발하고 있다고 폭로했다. WSJ는 한 여성의 피해 사례를 소개했다.

테네시 내슈빌에 사는 애슐리 헤이스-비티(26)의 컴퓨터에 작은 파일이 숨어 있었다. 이 파일이 수집한 그녀의 개인 정보는 매우 적은 금액에 매물로 나왔다.

이 파일은 "4c812db292272995e5416a323e79bd37"라는 코드만 적혀 있었다. 이 코드만으로 헤이스-비티는 내슈빌에 사는 26세의 여성이라는 것을 알게 된다. 또한 그녀가 가장 좋아하는 영화는 ‘프린세스 브라이드’이고 TV 드라마 ‘섹스 앤 더 시티’를 좋아한다는 사실을 확인한다. 심지어 그녀가 인터넷에 엔터테인먼트 뉴스를 볼 수 있으며 퀴즈를 좋아하는 것도 알 수 있다.

헤이스-비티는 코드가 보여주는 자기 정보에 대해 “처참할 정도로 맞다”고 평가했다.

헤이스-비티 씨를 감시하고 있던 뉴욕의 마케팅 기술 회사는 로탬 솔류션(Lotame Solutions)이다. 회사는 웹사이트에서 사용자가 작성한 내용 (예를 들어 영화에 대한 의견, 육아, 임신에 대한 관심 등)을 기록하는 "신호"라는 고급 소프트웨어를 사용하고 있다. 로탬은 수집한 개인 정보를 익명으로 프로필화하고 고객을 찾고 있는 기업에 판매하고 있다. 헤이스-비티의 정보는 (다른 영화 애호가 정보와 결합, 1000인분에 1달러)도매되고, (26세 남부에 사는 특정 영화팬들 정보로) 특화되기도 한다.

WSJ, 미국 50개 인터넷 사이트에서 3180개 스파이 프로그램 발견

WSJ은 미국인이 즐겨 보는 웹페이지의 약 4%를 차지하는 미국에서 가장 인기있는 50개 사이트를 조사해, 해당 사이트가 컴퓨터에 다운로드한 추적 파일과 프로그램을 분석했다.

그 결과 상위 50개 사이트에서 설치된 추적 파일의 수는 총 3180개가 되었다. 이 중 3분의1은 즐겨 찾는 사이트의 암호를 기록하고, 인기 있는 품목을 집계하는 것을 목적했다. 하지만 3분의2가 넘는 2224개의 파일은 소비자 프로파일 데이터베이스를 만들기 위해 사용자를 추적하고 있었다. 이 데이터베이스는 판매 되는 경우도 있다고 밝혔다.

가장 많은 추적 프로그램 사이트는 InterActiveCorp(IAC)의 딕셔너리닷컴(Dictionary.com)으로 234개였고, 메신저를 이용하는 엠에스엔닷컴(MSN.com)은 207개, 자사 신문사 홈페이지인 WSJ.com도 60개나 되는 스파이 프로그램들을 가지고 있었다. 조사 대상 중 유일하게 위키피디아(비영리 백과사전)가 깨끗했다.

WSJ는 인터넷에서 가장 빠르게 성장하고 있는 사업 중 하나가 인터넷 스파이 사업으로 판명되었다며 다음과 같은 사실들을 확인했다고 밝혔다.

▲ 미국 상위 50개 웹사이트가 평균 64개의 추적기술을 방문자의 컴퓨터에 설치하고 있다. 대부분의 경우 경고가 발생하지 않는다.

▲ 추적 기술은 이전보다 고기능화 하고 파고들게 되어있다. 지금까지 모니터 활동은 사용자가 방문한 웹사이트 기록 "쿠키"파일이 사용되는 경우가 대부분이었다. 그러나 웹페이지에서 사용자의 행동을 실시간으로 검색하고 액세스 위치, 소득, 쇼핑 기호 심지어 건강까지 순간적으로 산정하는 새로운 도구가 사용되고 있다는 사실이 밝혀졌다. 일부는 사용자가 삭제하려고해도 나중에 비밀리에 부활한다.

▲ 이러한 개인 정보의 프로필은 항상 업데이트되어 1년 반 정도 전에 탄생한, 증권거래소와 유사한 (정보)거래소에서 거래되고 있다.

추적 프로그램들은 웹사이트에 포함된 여러 가지 방법으로 컴퓨터에 다운로드 된다. 대부분 특정 홈페이지를 접속할 때 빠른 접속을 위해 생성되는 ‘쿠키’나 ‘플래시 쿠키’, ‘비콘(beacons)’을 통해 이루어진다. 일단 사이트에 접속하면 그 컴퓨터에 특정번호가 생기고 인터넷 행적들이 정보로 축적된다. ‘비콘’ 경우 컴퓨터에 입력하는 키보드나 마우스 작동을 실시간으로 감시할 수 있다.

추적을 실시하는 회사는 추적 파일을 웹사이트에서 무료로 배포하는 소프트웨어 및 기타 추적 파일 및 광고에 숨길 수 있다. 보통 사용자들이 광고를 볼 때나 관련 패치 등을 받을 때 프로그램이 생성되지만 단순히 사이트에 들어는 것만으로 설치되는 경우도 존재한다. 이것은 방문자 몰래 컴퓨터에 파일을 설치하는 것이다.

맞춤형 광고로 바뀌면서 개인정보 수요 폭발...소셜네트워크로도 확산

새로운 기술의 등장으로 인터넷 경제는 변화하고 있다. 지금까지 광고 회사는 자동차 광고는 자동차 관련 사이트와 같이 특정 웹페이지에 광고를 게재하는 경우가 많았다. 이제 광고 회사는 전체 인터넷 사용자를 추적하고 사용자의 방문으로 맞춤형 광고 메시지를 표시하기 위하여 프리미엄을 지불하게 되었다.

WSJ는 인터넷 사용자와 광고 회사 사이에 100개 이상의 중개자의 존재를 확인했다고 밝혔다. 헤이스-비티의 영화 감상 기록의 데이터는 데이터 거래소의 하나인 블루카이(BlueKai)를 통해서 광고 회사에 제공되었다.

블루카이의 최고 경영자(CEO)인 오마르(Omar Tawakol)씨는 업계의 움직임에 커다란 전환을 보인다고 지적하고 “광고 회사는 웹 페이지에 대한 액세스가 아닌 사용자에게 액세스 권한을 구입하기를 원한다고 생각하고 있다”고 말했다.

또한, 최근까지 소비자 건강과 자산 상황을 대상으로 하는 것은 많은 인터넷 광고 회사에서 금기시되어왔다. 그러나 이제 일부 기업은 소셜네트워크를 이용하여 새로운 정보 수집 방법을 모색하고 있다. Media6Degrees사는 은행들의 경우 사회적 연결을 기반으로 소비자를 평가하기 위한 데이터를 제공받기를 원한다고 밝혔다.

금전적으로 신뢰할 수 있는 사람은 마찬가지로 신뢰할 수 있는 사람과 교제, 못하는 사람은 없는 사람끼리 만난다는 것이 Media6Degrees 시스템의 기본적인 발상이다. 회사의 톰 필립스 CEO는 앞으로 이 기술의 응용이 진행 크게 발전하는 것이라고 말했다.

인터넷 스파이 사업자들은 이러한 정보 수집이 해가 되지 않는다고 주장한다. 그런 회사가 수집하는 정보는 사용자가 개인 이름이 아니라 컴퓨터 고유번호로 식별되는 것으로 기본적으로 익명이라는 것이다. 로탬사의 경우 사용자의 개인 이름을 인식하지 않고, 행동 및 특성만을 파악하고 코드 번호로 확인하고 있다. 그러나 이용자들은 이런 정보가 어떻게 수집되고 팔려 나가고 있는지 모른다.

진보네트워크센터 오병일 활동가는 “한국도 미국과 비슷해 인터넷에서 각종 스파이 프로그램들이 규제나 본인동의없이 자동으로 설치되고 있다”며 “정보통신망법에 개인정보보호 조항이 있지만 유명무실한 경우가 많다”고 지적했다.

그는 우리도 시급히 통합적인 개인정보보호법이 별도로 제정되어야 하고, 상업적인 정보수집기술이 발달하는만큼 개인정보보호에 대한 법적, 제도적, 사회적 의식의 확대가 중요하다고 강조했다.