2021.01.29

온라인 개인정보보호를 위한 최고의 브라우저와 사용자가 할 수 있는 모든 방법

Galen Gruman | Computerworld
브라우저를 사용한다면 온라인에서 수행하는 모든 행위가 추적된다. 하지만 맞서 싸울 수는 있다. 
 
ⓒ Getty Images Bank

“어째든 개인정보보호라는 것은 전혀 없다. 잊어버려라.” 스콧 맥닐리는 1999년 온라인 개인정보보호에 대해 이렇게 말했다. 현재는 사라진 썬마이크로시스템즈의 전 CEO였던 맥닐리는 2015년에 개인정보보호에 대해 재차 언급했다. 맥닐리의 초기 발언이 부정적이고 침울한 어조에도 불구하고 대체로 정확했다는 것이 입증됐다. 

웹사이트와 앱의 쿠키(Cookies), 비콘(beacons), 디지털 서명(digital signatures), 추적기(trackers)와 여타 다른 기술을 통해 광고주, 기업, 정부, 그리고 범죄자들은 사용자가 하는 일, 아는 사람, 매우 친밀한 사람에 대한 매우 상세한 프로필을 작성할 수 있다. 2012년 타겟(Target)이 한 10대 여성의 온라인 활동을 바탕으로 그녀의 부모가 알기 전에 임신했음을 알아낸 이야기는 많이 회자된다. 이것이 오늘날 개인정보보호의 표준이다. 구글과 페이스북은 가장 악명높은 상업용 인터넷 스파이이며, 가장 널리 퍼져있는 인터넷 스파이 가운데 하나지만, 이들은 혼자가 아니다.
  
사용자가 하는 모든 일을 모니터링하는 기술은 점점 더 좋아졌다. 1999년에는 존재하지도 않았던 새로운 모니터링 방법이 많이 등장했다. ▲아마존 알렉사(Amazon Alexa)와 애플 시리(Apple Siri)와 같은 상시 청취 에이전트 ▲스마트폰의 블루투스 비콘 ▲사용하는 모든 기기에서 사용자 활동을 보여주는 기기간 동기화 그리고 ▲페이스북과 같은 소셜 미디어 플랫폼 등이 있다. 특히 페이스북과 같은 소셜 미디어는 사용자와 사용자 인맥에 대한 모든 것을 공유하도록 설계됐기 때문에 수익을 창출할 수 있다. 추적기는 브라우저에서 사용자를 자동으로 감시하는 최신 방법이다. 예를 들어, 필자가 최근 확인했을 때 CNN은 60개의 추적기가 실행 중이었다.
 
애플의 사파리 14 브라우저에는 현재 개인정보가 얼마나 공격받고 있는지를 보여주는 개인정보보호 모니터가 탑재되어 있다. 이 브라우저는 지난 30일 동안 얼마나 많은 추적 시도를 방해했는지, 정확히 어떤 사이트가 사용자를 추적하고 시도했는지, 얼마나 자주 사용자를 추적했는지를 보여주기 때문에 이를 보는 사용자는 상당히 당황스러울 것이다. 필자의 경우, 가장 많이 사용하는 컴퓨터에서 일주일에 평균 125회 정도 추적기를 봤다. 
 
ⓒ IDG


온라인 개인정보보호 이해하기 

온라인 개인정보보호에 대해 언급할 때, 일반적으로 추적되는 내용을 이해하는 것이 중요하다. 대부분의 웹사이트와 서비스는 실제로 자신의 사이트에 있는 사용자를 알지 못하고, 단지 프로필로 변환될 수 있는 많은 특징과 관련된 브라우저일 뿐이다. 마케팅 담당자와 광고주는 특정 유형의 사람들을 찾고 있으며, 이를 위해 프로필을 사용한다. 그들은 해당 사용자가 실제 누구인지 신경쓰지 않는다. 사기를 저지르거나 선거를 조작하려는 범죄자와 범죄 단체도 마찬가지다. 

기업이 사용자 이름, 성별, 나이, 주소, 전화번호, 회사, 직함 등과 같은 개인정보를 원하는 경우, 사용자가 가입하도록 권유한다. 그런 다음 기기가 보유한 모든 데이터를 사용자와 구체적으로 연관시키고 이를 사용해 사용자를 개별적으로 타겟팅할 수 있다. 이는 광고주들이 구매력을 가진 특정 사람에게 다가가기를 원하는 비즈니스 지향 웹사이트에서 흔히 볼 수 있다. 

범죄자도 이런 데이터를 원할 것이며, 바람직하지 않는 고객을 걸러내고자 하는 보험사나 의료기관도 마찬가지다. 수년에 걸쳐 미국 법률은 이렇게 고객을 가려내는 방법을 방지하기 위해 노력해왔지만, 더 창의적인 방법이 등장했다. 무엇보다 미 정부 또한 통제나 보안이라는 명목으로 개인 데이터를 원한다.
 
사용자는 개인 식별이 가능한 경우, 가장 걱정해야 한다. 뿐만 아니라 개인정보보호를 위해 노력하는 브라우저의 광범위한 프로파일링도 우려스럽다. 


브라우저, 개인정보보호의 중심에 있지만 매우 약한 도구 

브라우저는 쿠키를 차단하고, 검색 기록을 삭제하거나, 처음부터 기록하지 않고, 광고 추적을 끄는 선택을 할 수 있는 등 온라인에서 개인정보 보호의 중심에 있었다. 하지만 브라우저는 쉽게 우회할 수 있는 매우 약한 도구다. 예를 들어, 로컬 컴퓨터의 브라우저 기록을 끄는 익명(Incognito) 또는 시크릿 모드는 구글, IT 부서 또는 인터넷 제공업체가 사용자가 방문한 사이트를 인식하는 것을 차단하지 않는다. 컴퓨터에 접근할 수 있는 다른 사용자가 브라우저에서 해당 기록을 보지 못하도록 할 뿐이다. 

브라우저의 ‘추적 중지(Do Not Track)’ 설정은 대부분 무시된다. 그리고 쿠키를 차단한다고 해서 구글, 페이스북 및 기타 사용자가 고유한 기기 식별자를 보고 해당 서비스에 로그인했는지 여부를 확인하고, 공통 로그인을 통해 기기를 연결하는 등의 다른 수단을 통해 사용자 행동을 모니터링하는 것을 중단하지 않는다. 

브라우저는 사용자를 추적하는 인터넷 서비스에 대한 주요 접근 지점이기 때문에 브라우저에서 중앙 집중식 제어를 할 수 있다. 웹사이트가 이를 우회할 수 있는 방법이 있긴 하지만, 사용자는 개인정보 침해를 줄이기 위해 필요한 도구를 사용해야 한다. 

 
주류 데스크톱 브라우저마다 개인정보 설정이 다르다 

개인정보보호를 시작하는 장소는 브라우저 자체다. 일부 브라우저는 다른 것보다 개인정보보호 지향적이다. 많은 IT 부서에서 회사 컴퓨터에 특정 브라우저를 사용하도록 강요하기 때문에 직장에서는 선택의 여지가 없을 수도 있다. 하지만 선택권이 있다면 이를 잘 활용해야 한다. 그리고 자신이 제어하고 있는 컴퓨터를 위해 확실히 알고, 연습해야 한다.
 
다음은 개인정보보호 설정을 최대로 활용한다고 가정할 때, 개인정보보호 지원 순으로 데스크톱 브라우저 순위를 매겼다.
    
  1. 애플 사파리(Apple Safari) 
  2. 마이크로소프트 엣지(Microsoft Edge)
  3. 모질라 파이어폭스(Mozilla Firefox)
  4. 구글 크롬(Google Chrome)
  5. 오페라(Opera, 후술하겠지만, 자체 성능이 설정에 따라 달라진다)

다음 표는 주요 데스크톱 브라우저에서 사용할 수 있는 개인정보 설정을 보여준다. 사파리는 맥에서만 사용할 수 있다. 


데스크톱 브라우저 개인정보 설정하기




어도비 플래시(Adobe Flash)에 대해 참고해야 할 것이 있다. 어도비는 2021년 1월 12일부터 매우 위험하면서도 널리 사용되는 멀티미디어 플레이어를 제거하기 위해 어도비 플래시 플러그인에서 플래시 미디어 재생을 비활성화했다. 대부분의 브라우저는 이제 플래시 지원뿐만 아니라 이에 대한 제어도 제거했다.

그러나 오페라 73은 자체 플래시 플레이어를 사용해 사용자 권한으로 플래시 재생을 계속 허용한다. 마이크로소프트는 사용중인 브라우저(인터넷 익스플로러, 구형 엣지, 또는 크로미움 기반 엣지)를 기반으로 플래시를 폐기하는 매우 복잡한 전략을 갖고 있다. 

많은 IT 부서가 여전히 플래시 동영상(주로 교육용)을 아직은 안전한 HTML5로 대체하지 못하고 있다는 현실 때문이다. 플래시 콘텐츠는 기본적으로 차단되지만, 이 3개의 브라우저는 모두 플래시 플레이어를 지원한다. 


개인정보보호를 위한 브라우저 설정과 모범 사례

브라우저의 개인정보 설정에서 다음과 같이 수행해야 한다.
     
  • 추적 중지 기능을 켠다. 종종 무시되긴 하지만, 이를 존중하는 사이트를 위한 것이다. 
  • 제3자 쿠키를 차단한다. 이 기능을 제공하기 위해 사이트는 합법적으로 자사 쿠키를 사용하지만, 제3자 쿠키는 사용자가 원하지 않는 방식으로 사용자를 추적할 가능성이 있는 다른 주체(주로 광고주)에 속한다. 그렇다고 모든 쿠키를 차단해서는 안 된다. 많은 사이트가 제대로 작동하지 않을 수 있다. 
  • 웹사이트에서 카메라, 위치, 마이크, 콘텐츠 차단기, 자동 재생, 다운로드, 팝업 창 및 알림에 접근할 수 있는 기본 권한을 최소한 확인으로 설정한다. 
  • 추적기를 끈다. 브라우저에서 이를 허용하지 않는 경우, 추적기가 쿠키와 같은 오래된 기술보다 사용자를 모니터링하는 데 선호되는 방법이므로 추적기를 사용하는 것으로 전환한다. 추적기를 차단하면 콘텐츠 차단기를 자주 사용하는 것처럼 웹사이트가 부분적으로만 기능하게 될 가능성이 적다. 

또한 검색할 때, 다음과 같은 예방 조치를 취한다.
    
  • 덕덕고(DuckDuckGo)를 기본 검색 엔진으로 사용한다. 크롬이나 빙(Bing)보다 더 비공개이기 때문이다. 필요한 경우, 언제든지 구글 닷컴(google.com) 또는 빙 닷컴(bing.com)으로 이동할 수 있다. 
  • 브라우저에 지메일(Gmail)을 사용하지 않는다. 지메일 또는 구글 서비스에 로그인하면 다른 구글 서비스에 로그인하지 않았더라도 구글은 다른 모든 구글 서비스에서 사용자 활동을 추적한다. 지메일을 사용해야 하는 경우, 마이크로소프트 아웃룩(Microsoft Outlook) 또는 애플 메일(Apple Mail)과 같은 이메일 앱을 사용한다. 이렇게 하면 구글의 데이터 수집은 이메일로만 제한된다(지메일 및 기타 구글 서비스에만 다른 브라우저를 사용해 구글이 다른 브라우저 활동을 추적하는 것을 더 어렵게 만들 수 있지만, 이를 위해서는 유지하기 어려운 규율이 필요하다. 다른 작업을 시작할 가능성이 있으며, 구글 전용 브라우저이므로 더 많은 개인정보를 침해한다).
  • 구글, 페이스북 또는 다른 소셜 서비스 계정을 사용해 다른 사이트에 로그인해서는 안된다. 대신 자신의 계정을 만든다. 만약 소셜 계정을 편리한 로그인 서비스에 사용하면 소셜 업체는 로그인한 사이트의 개인 데이터에 접근할 수 있다. 
  • 여러 브라우저에서 구글, 마이크로소프트, 페이스북 등의 계정에 로그인하지 않는다. 그렇게 하면 해당 업체는 사용자가 한 일에 대해 완전한 프로파일을 작성하지 못한다. 동기화 목적으로 로그인해야 하는 경우, 개인용 파이어폭스와 비즈니스용 크롬과 같은 다양한 활동에 다른 브라우저를 사용하는 것이 좋다. 여러 구글 계정을 사용한다고 해서 활동을 분리하는 데 도움이 되지 않는다. 구글은 여러 계정이 모두 한 사용자의 것임을 알고 있으며, 사용자의 활동을 결합한다. 


개인정보보호를 강화하는 브라우저 유틸리티 

추가 도구를 사용해 데스크톱 브라우저의 기본 제공 보안 설정을 보완할 수 있다. 

모질라에는 페이스북과 웹사이트에서 사용자를 모니터링하는 다른 사용자로부터 사용자를 보호하는 한 쌍의 파이어폭스 확장이 있다. 페이스북 컨테이너 확장은 페이스북 로그인을 통해 사이트에 로그인할 때와 같이 페이스북 추적이 포함된 접근하는 모든 사이트에 대해 새롭고 격리된 브라우저 탭을 연다. 

이 컨테이너는 페이스북이 다른 탭에서 브라우저 활동을 보지 못하도록 한다. 그리고 다중 계정 컨테이너 확장을 사용하면 각각 별도의 ID를 가질 수 있는 다양한 서비스에 대해 별도의 격리된 탭을 열 수 있으므로 쿠키, 추적기 및 기타 기술이 탭 들의 모든 활동을 파악하기 어려워진다. 

크롬, 엣지, 파이어폭스, 오페라, 사파리용 덕덕고 검색엔진의 프라이버시 에센셜 확장(Privacy Essentials extension) 기능은 개인정보보호 기능을 약간 강화해 추적기를 차단하고 암호화된 버전의 웹사이트를 자동으로 연다(추적기를 차단하는 작업에 대해 크롬은 기본적으로 수행하지 않지만, 다른 브라우저는 수행한다).
  
크롬을 제외한 대부분의 브라우저는 이제 추적 소프트웨어를 차단할 수 있지만, 오랫동안 확립된 개인정보보호 단체인 전자 프론티어 재단(Electronic Frontier Foundation, EFF)의 프라이버시 배저(Privacy Badger)와 같은 추적 방지 확장 기능은 브라우저가 수행하는 작업을 능가할 수 있다. 프라이버시 배저는 파이어폭스, 크롬, 오페라, 엣지에서 사용할 수 있지만, 자체적으로 추적기를 적극 차단하는 사파리에서는 사용할 수 없다. 

특히 EFF에는 사용자가 설정한 설정에서 브라우저를 분석하고 개인정보 수준을 보고하는 팬옵틱클릭(Panopticlick)이라는 매우 유용한 도구가 있다. 

필자는 팬옵틱클릭을 사용해 표준 설정이 브라우저마다 어떻게 다른지 파악했고, 그 결과를 통해 기본 설정에 의존하지 않고, 사용하는 브라우저에서 설정을 조정해야 하는 이유를 알 수 있었다. 팬옵틱클릭은 기본 설정으로 실행되는 주류 데스크톱 브라우저의 경우, 다음과 같은 사실을 밝혔다.
   
  • 크롬과 사파리는 사용자가 원하는 대로 광고와 관련한 개인정보를 보호한다. 
  • 파이어폭스는 광고와 관련된 개인정보도 보호하지만, 추적금지 설정을 준수하는 데 동의하는 광고주도 차단한다.
  • 엣지에는 약한 기본 보호 기능만 있다. 
  • 오페라는 추적 광고와 보이지 않는 추적기를 차단할 때 성능이 저조했으며, 최대 보안 설정을 활성화한 후에도 저조한 성능이 지속됐다. 

결론적으로 브라우저의 기본 설정에 의존해서는 안되며 개인정보보호를 극대화하기 위해서는 설정을 조정해야 한다. 엣지에서 다음과 같은 내용을 확인할 수 있다. 기본 설정에서는 개인정보보호가 약하지만, 설정을 조정하면 상당히 강력하다.

 
광고 차단기, 어떻게 처리해야하나 

콘텐츠 차단기(Content Blockers)와 광고 차단(Ad blockers) 도구는 웹사이트 코드의 전체 세션을 억제해 위젯 및 기타 코드가 작동하는 것을 방지하고 일부 사이트 모듈(일반적으로 광고)이 표시되지 않도록 하며, 위젯에 내장된 추적기를 억제한다. 광고 차단기는 구체적으로 광고를 타겟팅하는 반면, 콘텐츠 차단기는 원하지 않는 자바스크립트나 다른 코드 모듈을 찾는다.
  
이런 차단 도구는 제작자가 원치 않는 동작의 지표라고 생각하는 사이트의 일부를 손상시키기 때문에 해당 사이트의 기능마저 손상시키는 경우가 많다. 어떤 도구냐에 따라 결과는 매우 다양하다. 사이트가 예상대로 실행되지 않는 경우, 사이트를 허용목록에 추가하거나 브라우저에서 해당 사이트에 대한 콘텐츠 차단기를 비활성화한다.
 
필자는 콘텐츠 및 광고 차단기에 대해 오랫동안 회의적이었다. 합법적인 게시자가 사업을 유지하는 데 필요한 수익을 없애는 것뿐만 아니라 많은 이의 비즈니스 모델을 강탈하기 때문이었다. 특히 이런 차단 서비스는 종종 광고를 통과하도록 게시자에게 수수료를 받는다. 게시자가 비용을 지불하지 않으면 광고를 차단한다. 이들은 사용자 개인정보보호를 위하는 것이라고 스스로를 홍보하지만, 비용을 지불한 광고만 보는 것은 사용자의 개인정보보호에 도움이 되지 않는다. 

물론 부도덕적인 게시자는 애당초 사용자가 광고 차단기를 사용하게끔 만든 원인 제공자이므로, 모든 면에서 오물투성이다. 그러나 사파리, 크롬, 파이어폭스와 같은 최신 브라우저는 점점 더 ‘나쁜’ 광고를 차단하고 있다(나쁜 광고라는 정의는 일반적으로 상당히 제한적이다). 파이어폭스는 최근 나쁜 광고를 차단하는 것을 넘어 더 엄격한 콘텐츠 차단 선택지를 제공하는데, 이는 확장 프로그램이 오랫동안 해 온 것과 비슷하다. 사용자가 정말 원하는 것은 추적기 차단인데, 요즘에는 많은 브라우저에서 자체적으로, 또는 추적 방지 확장 프로그램을 통해 처리된다. 


주류 모바일 브라우저의 개인정보, 데스크톱보다는 적게 제공 

모바일 브라우저는 데스크톱의 그것과 동일한 기본 스파이 활동을 수행하더라도 일반적으로 개인정보 설정을 적게 제공한다. 하지만 브라우저 업체가 제공하는 개인정보보호 제어를 사용해야 한다.   

다음은 메인 모바일 브라우저의 개인정보보호 설정을 최대로 사용한다고 가정했을 때 개인정보보호 지원 순서에 따라 순위를 매겨놓은 것이다.
     
  1. 마이크로소프트 엣지
  2. 모질라 파이어폭스
  3. 애플 사파리
  4. 오페라 터치
  5. 구글 크롬 

다음 표에는 2020년 10월 28일 현재 주요 모바일 브라우저에서 사용할 수 있는 개인정보보호 설정이 표시되어 있다(모바일 앱의 경우 버전 번호가 자주 표시되지 않는다). 사파리는 iOS에서만 사용할 수 있다.
 
iOS와 안드로이드 모두 수년 전부터 플래시를 비활성화했으므로, 모바일에서는 플래시 기술에 대해 걱정할 필요가 없다. 또한 위치, 마이크 및 카메라 사용량에 대한 제어는 모바일 운영체제에서 처리하므로 iOS 또는 안드로이드 설정 앱을 사용한다. 일부 앱은 편의를 위해 이런 제어 기능을 직접 제공하기도 한다. 

 


편집증 환자용 브라우저, 브레이브, 에픽, 토르

수년 전부터 광고 차단기가 악의적인 웹사이트를 퇴치하는 대중적인 방법이 됐다. 하지만 편집증 환자들은 더 강력한 사용자 개인정보보호를 원했고, 대안 브라우저들이 등장했다. 

브레이브 브라우저(Brave Browser) 및 에픽 프라이버시 브라우저(Epic Privacy Browser)는 새로운 유형의 브라우저 가운데 가장 잘 알려져 있다. 오래된 개인정보보호 지향 브라우저는 토르 브라우저(Tor Browser)다. 토르 브라우저는 2008년 ‘인터넷 사용자는 검열되지 않는 웹에 대한 비공개 접근 권한을 가져야 한다’는 원칙을 바탕으로 설립된 비영리 단체인 토르 프로젝트(Tor Project)에 의해 개발됐다. 

이런 모든 브라우저는 광고뿐만 아니라 모든 종류의 기능이 작동하는 것을 방지하기 위해 웹사이트의 전체 코드를 제거하는 매우 공격적인 접근 방식을 취한다. 이 브라우저들은 종종 개인정보를 수집할 수 있는 경우를 대비해 웹사이트, 소셜 미디어 플러그인 및 자바스크립트에 등록하거나 로그인하는 기능을 차단하는 경우가 많다.
 
오늘날에는 크롬을 제외한 주류 브라우저에서 강력한 개인정보보호를 받을 수 있으므로 개인정보보호에 특화된 브라우저의 필요성은 매우 적다. 심지어 이 브라우저들의 가장 큰 특징이었던 광고 및 콘텐츠 차단 기능마저 주류 브라우저에서도 지원하고 있다.
 
뿐만 아니라 대안 브라우저인 브레이브는 사용자 개인정보보호가 아니라 게시자로부터 수익을 빼앗기 위해 광고 차단기를 사용하는 것으로 보인다. 브레이브는 자체 광고 네트워크를 보유하고 있으며, 게시자가 구글 애드센스(Google AdSense) 또는 야후 미디어닷컴(Yahoo Media.net)과 같은 경쟁 광고 네트워크 대신 자사의 것을 사용하기를 원한다. 따라서 브레이브 브라우저를 선택한 사용자에게 광고 서비스를 사용하도록 강제한다. 이는 마치 상점에서 사람들이 특정 신용카드로 쇼핑하려면 특정신용카드업체가 공급한 상품만 살 수 있다고 말하는 것과 같다. 

그럼에도 불구하고 광고 차단 외에 이런 대안 브라우저를 고려해야 하는 다음과 같은 이유가 있다. 
  • 브레이브 브라우저는 웹사이트에서 소셜미디어 통합을 억제할 수 있으므로, 페이스북, 트위터, 링크드인, 인스타그램 등의 플러그인을 사용할 수 없다. 소셜 미디어업체는 웹사이트에서 서비스 사용자로부터 엄청난 양의 개인 데이터를 수집한다. 브레이브는 웹사이트의 차단 금지 설정을 존중하지 않으며, 모든 사이트를 마치 광고를 추적하는 것처럼 취급한다. 
  • 에픽 브라우저의 개인정보보호 제어는 파이어폭스와 유사하지만, 내부적으로는 한 가지 다른 기능을 수행한다. 구글 서버로부터 멀리 떨어져 있기 때문에 정보를 수집하기 위해 구글로 이동하지 않는다. 많은 브라우저, 특히 크롬 기반의 크로미움 브라우저는 기본적으로 구글 서버를 사용하므로 구글이 웹 활동에 실제로 얼마나 관여하고 있는지 알지 못한다. 하지만 구글 검색이나 지메일과 같은 서비스를 통해 구글 계정에 로그인한다면, 에픽은 구글이 브라우저에서 사용자를 추적하는 것을 막을 수 없다.
  • 또한 에픽은 인터넷 트래픽을 인터넷 서비스 제공업체의 데이터 수집으로부터 차단하기 위해 프록시 서버를 제공한다. 클라우드플레어(CloudFlare)의 1.1.1.1 서비스는 후술하는 것처럼 모든 브라우저에 대해 유사한 기능을 제공한다(구글 크롬과 마이크로소프트 엣지를 사용하면 원하는 경우 타사 보안 DNS 제공업체를 사용할 수 있지만, 에픽과 같이 자체 제공하지 않는다).
  • 토르 브라우저는 정부와 기업뿐만 아니라 인터넷을 검열하거나 모니터링하는 국가의 사용자들을 대상으로 하는 언론인, 내부 고발자, 활동가들을 위한 필수 도구다. 토르 네트워크를 사용해 이런 감시자나 검열자로부터 사용자와 사용자의 활동을 숨긴다. 또한 매우 사적인 정보 배포를 위해 고도로 인증된 접근이 필요한 어니언(onions)이라는 웹사이트를 게시할 수 있다. 


웹에서 자신을 보호하는 다른 방법, GDRP, CCPA, 그리고 에드초이스

유럽의 GDPR(General Data Protection Regulation)과 미국의 CCPA(California Consumer Privacy Act)와 같은 규정으로 인해 점점 더 많은 웹사이트가 방문자가 각 사이트에서 쿠키 및 기타 추적기의 사용을 제어할 수 있게 됐다. 

많은 다국적 기업은 단순성을 위해 GDPR과 CCPA 관할권 밖의 사용자에게도 동일한 선택을 제공한다. 일반적으로 브라우저에서 쿠키를 차단하는 것은 전혀 사용하지 않는 제안이기 때문에 현실적이지 않은 경우가 많다. 사용자가 웹사이트에 돌아오면 자동으로 로그인하는 것과 같이 사용자가 원하는 방식으로 작동하는 쿠키가 필요한 경우도 있다. 

여기에서 GDPR과 CCPA에서 요구하는 쿠키 제어(cookie controls)를 사용하면 도움이 될 수 있다. 유럽 웹사이트에 들어가면, GDPR 동의 팝업창이 뜨는데 해당 사이트에서 사용하려는 쿠키를 모두 볼 수 있다. 이 가운데 마케팅 쿠키는 주의해야 할 대상이다. 종종 들어본 적이 없는 회사의 쿠키가 수십 개에서 수백 개까지 나열될 것이다. 참고로, 광고 차단기, 콘텐츠 차단기 및 기타 개인정보보호 도구는 역설적으로 다양한 사이트에서 CCPA 또는 GDPR 동의서까지 제거할 수 있다. 
 
ⓒ IDG
 
ⓒ IDG

일부 쿠키는 사이트에서 사이트로 ‘따라 가기’ 때문에 아마존 또는 검색 엔진에서 검색한 내용과 같은 관심사를 바탕으로 어디를 가든 동일한 광고를 표시할 수 있다. 다른 쿠키는 더 나아가 웹 서핑 시 사용자의 행동과 관심사를 추적해 사용자의 프로필을 작성한다.

이런 쿠키의 대부분은 웹사이트가 사용하는 광고 네트워크에서 제공되기 때문에 웹사이트 게시자도 이런 쿠키가 누구로부터 왔는지 알지 못한다. 광고 네트워크는 또한 다른 광고 네트워크와 연결되기 때문에, 특정 사이트에서 누가 사용자를 추적하는지 아무도 알지 못한다. 결론적으로 특정 사이트에 알지못하는 수십, 수백 명의 광고주가 브라우저에 자동으로 쿠키를 설치하려는 상황은 쉽게 맞이할 수 있다. 

사용자는 어느 쿠키를 허용할 것인지 개별적으로 결정하기보다는, 모두 차단한다. 만약 많은 사용자가 그렇게 한다면, 아마도 게시자와 광고 네트워크는 실제로 이런 ’파트너’를 관리하고 사악한 파트너를 제거할 것이다. 애드초이스 링크 또는 쿠키 정책 링크에서와 같이 쿠키에 대한 제어 권한을 찾는다. 그리고 사이트별로 모든 것을 차단하는 것조차 어렵다. 사용자는 방문하는 각 사이트마다 제어 기능을 설정해야 한다. 이런 기능을 제공한다고 가정할 때 광고주의 개인정보보호 설정을 지정하는 방법은 광고 차단기를 사용하는 고압적인 접근 방법 외에는 없다. 
 
ⓒ IDG


브라우저 외부에서 수행할 수 있는 개인정보보호 단계 

만약 정말로 개인정보를 보호하고 싶다면, 인터넷을 사용해서는 안 된다. 물론 불가능할 것이다. 그렇다면 브라우저가 허용하는 범위 외에 무엇을 할 수 있을까?

다음은 웹 기반 및 앱 기반의 다른 인터넷 활동을 위해 취할 수 있는 개인정보보호 단계다. 이런 다른 인터넷 도구는 브라우저 자체보다 더 강력한 스파이이기도 하다. 목표는 공유하는 것을 제한하고 추적자들이 사용자의 활동을 전체적으로 파악하기 어렵게 만드는 것이다.
   
  • 소셜 네트워크를 사용하지 않는다. 만약 사용해야 하는 경우, 가능한 한 적게 공유한다. 개인정보보호 설정을 사용하되 더 이상 추적되지 않는다고 믿어서는 안 된다. 특히 페이스북은 계정이 없고 단순히 페이스북 페이지를 방문하는 경우에도 사용자 데이터를 불미스럽고 무단으로 사용하는 것으로 악명이 높다.
  • 알렉사(Alexa) 또는 시리(Siri)와 같은 음성 어시스턴트를 사용하지 않는다. 이것들은 사용자에 대한 많은 데이터를 수집한다. 애플은 오랫동안 개인정보보호에 중점을 둬 왔으며, 수집한 방대한 데이터를 재판매하지 않은 것으로 보인다. 하지만 최근 버전의 맥OS 및 iOS에서는 사용자 활동을 분석해 권장 사항을 제공하는 시리의 추천 제안(Siri Suggestions)이라는 서비스를 도입했다. 이 서비스는 구글, 페이스북 등이 수년 동안 해온 일이다. 이 데이터는 모두 애플로 전송되며 불편하다. 애플이 일부 국가의 개인정보보호 요청에 수락하는 것을 봤기 때문에 다른 데이터 수집 대기업보다 사용자의 개인정보를 더 존중한다고 해도 위험이 있다. 
  • 구글 어시스턴트, 시리의 추천 제안과 같은 ‘유용한’ 추적 기능을 끈다. 페이스북, 마이크로소프트, 아마존 및 모바일 기기, 웹 서비스 및 컴퓨터의 다른 모든 사용자의 해당 기능을 해제한다. 윈도우 10의 일반 개인정보 설정에서 광고 ID를 해제해야 한다.
  • 꼭 필요하지 않은 앱이나 웹사이트에 대해서는 위치 서비스를 끈다. 윈도우 10 설정 앱의 개인정보보호 패널, 맥OS의 개인정보보호 및 설정 시스템 환경 설정, iOS 설정에서의 위치 서비스 제어, 안드로이드 위치 제어창에서 위치 서비스를 끈다. 
  • 보유한 각 기기에서 다른 개인정보보호 설정을 살펴본다. 가능한 한 활동 및 정보에 대한 접근을 제한한다. 
  • 브라우저나 쇼핑 앱에서 제품을 검색할 때 온라인 스토어에 로그인해서는 안 된다. 구매할 항목을 결정한 경우에만 로그인하면 소매 업체가 사용자의 검색 활동을 추적할 수 없다.
  • 가능한 경우, CCPA 또는 GDPR과 같은 법률을 활용해 단지 쿠키를 관리하는 것이 아니라 데이터를 삭제하거나 사용을 제한한다(한국에서는 데이터 3법을 통해 개인 사용자가 자신의 정보에 대한 결정권과 이동권을 갖는다. 편집자 주). 마찬가지로 구글과 광범위하게 추적하는 기타 서비스에서 정기적으로 데이터를 삭제한다. 
  • VPN(Virtual Private Network) 사용을 고려하되 주의해야 한다. 무료 VPN 서비스는 어떻게든 돈을 벌고 있고, 사용자의 데이터는 그 ‘어떻게든’ 속에 포함된다. 
  • 인터넷 서비스 제공업체가 아닌 웹 트래픽을 전달하는 프록시 DNS 서버인 클라우드플레어 1.1.1.1 서비스를 사용한다. ISP는 종종 검색 트래픽을 수집하고 결과 프로필을 광고주와 기타 상업적 이해 관계자에게 판매한다. 클라우드플레어는 게시자, 공급업체, 정부기관 등의 인터넷 트래픽을 관리하는 사업자이지만, ISP보다 수집한 데이터 사용에 문제가 덜 한 것 같다. 그리고 무료 VPN보다 1.1.1.1이 더 편하다. 하지만 진정한 무료는 없으며, 요금은 실제로 지불된 것이다.  
  • 1.1.1.1을 사용하는 경우, 모든 네트워크 기기가 자동으로 보호되도록 공유기에서 설정한다. 기본 DNS를 1.1.1.1로 설정하고 보조 DNS를 1.0.0.1로 설정하면 된다. 이렇게 하면 모바일 기기에서 기업 VPN을 사용하기 위해 1.1.1.1 의사 VPN을 사용 중지하지 않아도 된다. 데스크톱 컴퓨터에서 1.1.1.1은 의사 VPN을 사용하지 않으므로 회사 VPN과 충돌하지 않는다. 그러나 보호된 공유기를 벗어나 여행 중이거나 이동 중일 때는 컴퓨터와 모바일 기기에도 1.1.1.1을 설정할 수 있다. 시스템에서 운영체제의 네트워크 설정에서 기본 DNS를 1.1.1.1로 구성하고 보조 DNS를 1.0.0.1로 구성한다(설정한 후에는 그대로 둘 수 있다). 모바일 기기의 경우, 앱 스토어에서 1.1.1.1 앱을 설치하고 이동할 때 켠다. 다만 회사 VPN을 사용하려면 앱을 꺼야 한다. 

물론 다른 수단을 통해 여전히 사용자를 추적할 수 있지만, 그렇다고 추적하는 것을 쉽게 만들어 줄 이유는 없다. 완전히 개인정보를 보호할 수는 없지만, 어렵게 만들 수는 있다. editor@itworld.co.kr


2021.01.29

온라인 개인정보보호를 위한 최고의 브라우저와 사용자가 할 수 있는 모든 방법

Galen Gruman | Computerworld
브라우저를 사용한다면 온라인에서 수행하는 모든 행위가 추적된다. 하지만 맞서 싸울 수는 있다. 
 
ⓒ Getty Images Bank

“어째든 개인정보보호라는 것은 전혀 없다. 잊어버려라.” 스콧 맥닐리는 1999년 온라인 개인정보보호에 대해 이렇게 말했다. 현재는 사라진 썬마이크로시스템즈의 전 CEO였던 맥닐리는 2015년에 개인정보보호에 대해 재차 언급했다. 맥닐리의 초기 발언이 부정적이고 침울한 어조에도 불구하고 대체로 정확했다는 것이 입증됐다. 

웹사이트와 앱의 쿠키(Cookies), 비콘(beacons), 디지털 서명(digital signatures), 추적기(trackers)와 여타 다른 기술을 통해 광고주, 기업, 정부, 그리고 범죄자들은 사용자가 하는 일, 아는 사람, 매우 친밀한 사람에 대한 매우 상세한 프로필을 작성할 수 있다. 2012년 타겟(Target)이 한 10대 여성의 온라인 활동을 바탕으로 그녀의 부모가 알기 전에 임신했음을 알아낸 이야기는 많이 회자된다. 이것이 오늘날 개인정보보호의 표준이다. 구글과 페이스북은 가장 악명높은 상업용 인터넷 스파이이며, 가장 널리 퍼져있는 인터넷 스파이 가운데 하나지만, 이들은 혼자가 아니다.
  
사용자가 하는 모든 일을 모니터링하는 기술은 점점 더 좋아졌다. 1999년에는 존재하지도 않았던 새로운 모니터링 방법이 많이 등장했다. ▲아마존 알렉사(Amazon Alexa)와 애플 시리(Apple Siri)와 같은 상시 청취 에이전트 ▲스마트폰의 블루투스 비콘 ▲사용하는 모든 기기에서 사용자 활동을 보여주는 기기간 동기화 그리고 ▲페이스북과 같은 소셜 미디어 플랫폼 등이 있다. 특히 페이스북과 같은 소셜 미디어는 사용자와 사용자 인맥에 대한 모든 것을 공유하도록 설계됐기 때문에 수익을 창출할 수 있다. 추적기는 브라우저에서 사용자를 자동으로 감시하는 최신 방법이다. 예를 들어, 필자가 최근 확인했을 때 CNN은 60개의 추적기가 실행 중이었다.
 
애플의 사파리 14 브라우저에는 현재 개인정보가 얼마나 공격받고 있는지를 보여주는 개인정보보호 모니터가 탑재되어 있다. 이 브라우저는 지난 30일 동안 얼마나 많은 추적 시도를 방해했는지, 정확히 어떤 사이트가 사용자를 추적하고 시도했는지, 얼마나 자주 사용자를 추적했는지를 보여주기 때문에 이를 보는 사용자는 상당히 당황스러울 것이다. 필자의 경우, 가장 많이 사용하는 컴퓨터에서 일주일에 평균 125회 정도 추적기를 봤다. 
 
ⓒ IDG


온라인 개인정보보호 이해하기 

온라인 개인정보보호에 대해 언급할 때, 일반적으로 추적되는 내용을 이해하는 것이 중요하다. 대부분의 웹사이트와 서비스는 실제로 자신의 사이트에 있는 사용자를 알지 못하고, 단지 프로필로 변환될 수 있는 많은 특징과 관련된 브라우저일 뿐이다. 마케팅 담당자와 광고주는 특정 유형의 사람들을 찾고 있으며, 이를 위해 프로필을 사용한다. 그들은 해당 사용자가 실제 누구인지 신경쓰지 않는다. 사기를 저지르거나 선거를 조작하려는 범죄자와 범죄 단체도 마찬가지다. 

기업이 사용자 이름, 성별, 나이, 주소, 전화번호, 회사, 직함 등과 같은 개인정보를 원하는 경우, 사용자가 가입하도록 권유한다. 그런 다음 기기가 보유한 모든 데이터를 사용자와 구체적으로 연관시키고 이를 사용해 사용자를 개별적으로 타겟팅할 수 있다. 이는 광고주들이 구매력을 가진 특정 사람에게 다가가기를 원하는 비즈니스 지향 웹사이트에서 흔히 볼 수 있다. 

범죄자도 이런 데이터를 원할 것이며, 바람직하지 않는 고객을 걸러내고자 하는 보험사나 의료기관도 마찬가지다. 수년에 걸쳐 미국 법률은 이렇게 고객을 가려내는 방법을 방지하기 위해 노력해왔지만, 더 창의적인 방법이 등장했다. 무엇보다 미 정부 또한 통제나 보안이라는 명목으로 개인 데이터를 원한다.
 
사용자는 개인 식별이 가능한 경우, 가장 걱정해야 한다. 뿐만 아니라 개인정보보호를 위해 노력하는 브라우저의 광범위한 프로파일링도 우려스럽다. 


브라우저, 개인정보보호의 중심에 있지만 매우 약한 도구 

브라우저는 쿠키를 차단하고, 검색 기록을 삭제하거나, 처음부터 기록하지 않고, 광고 추적을 끄는 선택을 할 수 있는 등 온라인에서 개인정보 보호의 중심에 있었다. 하지만 브라우저는 쉽게 우회할 수 있는 매우 약한 도구다. 예를 들어, 로컬 컴퓨터의 브라우저 기록을 끄는 익명(Incognito) 또는 시크릿 모드는 구글, IT 부서 또는 인터넷 제공업체가 사용자가 방문한 사이트를 인식하는 것을 차단하지 않는다. 컴퓨터에 접근할 수 있는 다른 사용자가 브라우저에서 해당 기록을 보지 못하도록 할 뿐이다. 

브라우저의 ‘추적 중지(Do Not Track)’ 설정은 대부분 무시된다. 그리고 쿠키를 차단한다고 해서 구글, 페이스북 및 기타 사용자가 고유한 기기 식별자를 보고 해당 서비스에 로그인했는지 여부를 확인하고, 공통 로그인을 통해 기기를 연결하는 등의 다른 수단을 통해 사용자 행동을 모니터링하는 것을 중단하지 않는다. 

브라우저는 사용자를 추적하는 인터넷 서비스에 대한 주요 접근 지점이기 때문에 브라우저에서 중앙 집중식 제어를 할 수 있다. 웹사이트가 이를 우회할 수 있는 방법이 있긴 하지만, 사용자는 개인정보 침해를 줄이기 위해 필요한 도구를 사용해야 한다. 

 
주류 데스크톱 브라우저마다 개인정보 설정이 다르다 

개인정보보호를 시작하는 장소는 브라우저 자체다. 일부 브라우저는 다른 것보다 개인정보보호 지향적이다. 많은 IT 부서에서 회사 컴퓨터에 특정 브라우저를 사용하도록 강요하기 때문에 직장에서는 선택의 여지가 없을 수도 있다. 하지만 선택권이 있다면 이를 잘 활용해야 한다. 그리고 자신이 제어하고 있는 컴퓨터를 위해 확실히 알고, 연습해야 한다.
 
다음은 개인정보보호 설정을 최대로 활용한다고 가정할 때, 개인정보보호 지원 순으로 데스크톱 브라우저 순위를 매겼다.
    
  1. 애플 사파리(Apple Safari) 
  2. 마이크로소프트 엣지(Microsoft Edge)
  3. 모질라 파이어폭스(Mozilla Firefox)
  4. 구글 크롬(Google Chrome)
  5. 오페라(Opera, 후술하겠지만, 자체 성능이 설정에 따라 달라진다)

다음 표는 주요 데스크톱 브라우저에서 사용할 수 있는 개인정보 설정을 보여준다. 사파리는 맥에서만 사용할 수 있다. 


데스크톱 브라우저 개인정보 설정하기




어도비 플래시(Adobe Flash)에 대해 참고해야 할 것이 있다. 어도비는 2021년 1월 12일부터 매우 위험하면서도 널리 사용되는 멀티미디어 플레이어를 제거하기 위해 어도비 플래시 플러그인에서 플래시 미디어 재생을 비활성화했다. 대부분의 브라우저는 이제 플래시 지원뿐만 아니라 이에 대한 제어도 제거했다.

그러나 오페라 73은 자체 플래시 플레이어를 사용해 사용자 권한으로 플래시 재생을 계속 허용한다. 마이크로소프트는 사용중인 브라우저(인터넷 익스플로러, 구형 엣지, 또는 크로미움 기반 엣지)를 기반으로 플래시를 폐기하는 매우 복잡한 전략을 갖고 있다. 

많은 IT 부서가 여전히 플래시 동영상(주로 교육용)을 아직은 안전한 HTML5로 대체하지 못하고 있다는 현실 때문이다. 플래시 콘텐츠는 기본적으로 차단되지만, 이 3개의 브라우저는 모두 플래시 플레이어를 지원한다. 


개인정보보호를 위한 브라우저 설정과 모범 사례

브라우저의 개인정보 설정에서 다음과 같이 수행해야 한다.
     
  • 추적 중지 기능을 켠다. 종종 무시되긴 하지만, 이를 존중하는 사이트를 위한 것이다. 
  • 제3자 쿠키를 차단한다. 이 기능을 제공하기 위해 사이트는 합법적으로 자사 쿠키를 사용하지만, 제3자 쿠키는 사용자가 원하지 않는 방식으로 사용자를 추적할 가능성이 있는 다른 주체(주로 광고주)에 속한다. 그렇다고 모든 쿠키를 차단해서는 안 된다. 많은 사이트가 제대로 작동하지 않을 수 있다. 
  • 웹사이트에서 카메라, 위치, 마이크, 콘텐츠 차단기, 자동 재생, 다운로드, 팝업 창 및 알림에 접근할 수 있는 기본 권한을 최소한 확인으로 설정한다. 
  • 추적기를 끈다. 브라우저에서 이를 허용하지 않는 경우, 추적기가 쿠키와 같은 오래된 기술보다 사용자를 모니터링하는 데 선호되는 방법이므로 추적기를 사용하는 것으로 전환한다. 추적기를 차단하면 콘텐츠 차단기를 자주 사용하는 것처럼 웹사이트가 부분적으로만 기능하게 될 가능성이 적다. 

또한 검색할 때, 다음과 같은 예방 조치를 취한다.
    
  • 덕덕고(DuckDuckGo)를 기본 검색 엔진으로 사용한다. 크롬이나 빙(Bing)보다 더 비공개이기 때문이다. 필요한 경우, 언제든지 구글 닷컴(google.com) 또는 빙 닷컴(bing.com)으로 이동할 수 있다. 
  • 브라우저에 지메일(Gmail)을 사용하지 않는다. 지메일 또는 구글 서비스에 로그인하면 다른 구글 서비스에 로그인하지 않았더라도 구글은 다른 모든 구글 서비스에서 사용자 활동을 추적한다. 지메일을 사용해야 하는 경우, 마이크로소프트 아웃룩(Microsoft Outlook) 또는 애플 메일(Apple Mail)과 같은 이메일 앱을 사용한다. 이렇게 하면 구글의 데이터 수집은 이메일로만 제한된다(지메일 및 기타 구글 서비스에만 다른 브라우저를 사용해 구글이 다른 브라우저 활동을 추적하는 것을 더 어렵게 만들 수 있지만, 이를 위해서는 유지하기 어려운 규율이 필요하다. 다른 작업을 시작할 가능성이 있으며, 구글 전용 브라우저이므로 더 많은 개인정보를 침해한다).
  • 구글, 페이스북 또는 다른 소셜 서비스 계정을 사용해 다른 사이트에 로그인해서는 안된다. 대신 자신의 계정을 만든다. 만약 소셜 계정을 편리한 로그인 서비스에 사용하면 소셜 업체는 로그인한 사이트의 개인 데이터에 접근할 수 있다. 
  • 여러 브라우저에서 구글, 마이크로소프트, 페이스북 등의 계정에 로그인하지 않는다. 그렇게 하면 해당 업체는 사용자가 한 일에 대해 완전한 프로파일을 작성하지 못한다. 동기화 목적으로 로그인해야 하는 경우, 개인용 파이어폭스와 비즈니스용 크롬과 같은 다양한 활동에 다른 브라우저를 사용하는 것이 좋다. 여러 구글 계정을 사용한다고 해서 활동을 분리하는 데 도움이 되지 않는다. 구글은 여러 계정이 모두 한 사용자의 것임을 알고 있으며, 사용자의 활동을 결합한다. 


개인정보보호를 강화하는 브라우저 유틸리티 

추가 도구를 사용해 데스크톱 브라우저의 기본 제공 보안 설정을 보완할 수 있다. 

모질라에는 페이스북과 웹사이트에서 사용자를 모니터링하는 다른 사용자로부터 사용자를 보호하는 한 쌍의 파이어폭스 확장이 있다. 페이스북 컨테이너 확장은 페이스북 로그인을 통해 사이트에 로그인할 때와 같이 페이스북 추적이 포함된 접근하는 모든 사이트에 대해 새롭고 격리된 브라우저 탭을 연다. 

이 컨테이너는 페이스북이 다른 탭에서 브라우저 활동을 보지 못하도록 한다. 그리고 다중 계정 컨테이너 확장을 사용하면 각각 별도의 ID를 가질 수 있는 다양한 서비스에 대해 별도의 격리된 탭을 열 수 있으므로 쿠키, 추적기 및 기타 기술이 탭 들의 모든 활동을 파악하기 어려워진다. 

크롬, 엣지, 파이어폭스, 오페라, 사파리용 덕덕고 검색엔진의 프라이버시 에센셜 확장(Privacy Essentials extension) 기능은 개인정보보호 기능을 약간 강화해 추적기를 차단하고 암호화된 버전의 웹사이트를 자동으로 연다(추적기를 차단하는 작업에 대해 크롬은 기본적으로 수행하지 않지만, 다른 브라우저는 수행한다).
  
크롬을 제외한 대부분의 브라우저는 이제 추적 소프트웨어를 차단할 수 있지만, 오랫동안 확립된 개인정보보호 단체인 전자 프론티어 재단(Electronic Frontier Foundation, EFF)의 프라이버시 배저(Privacy Badger)와 같은 추적 방지 확장 기능은 브라우저가 수행하는 작업을 능가할 수 있다. 프라이버시 배저는 파이어폭스, 크롬, 오페라, 엣지에서 사용할 수 있지만, 자체적으로 추적기를 적극 차단하는 사파리에서는 사용할 수 없다. 

특히 EFF에는 사용자가 설정한 설정에서 브라우저를 분석하고 개인정보 수준을 보고하는 팬옵틱클릭(Panopticlick)이라는 매우 유용한 도구가 있다. 

필자는 팬옵틱클릭을 사용해 표준 설정이 브라우저마다 어떻게 다른지 파악했고, 그 결과를 통해 기본 설정에 의존하지 않고, 사용하는 브라우저에서 설정을 조정해야 하는 이유를 알 수 있었다. 팬옵틱클릭은 기본 설정으로 실행되는 주류 데스크톱 브라우저의 경우, 다음과 같은 사실을 밝혔다.
   
  • 크롬과 사파리는 사용자가 원하는 대로 광고와 관련한 개인정보를 보호한다. 
  • 파이어폭스는 광고와 관련된 개인정보도 보호하지만, 추적금지 설정을 준수하는 데 동의하는 광고주도 차단한다.
  • 엣지에는 약한 기본 보호 기능만 있다. 
  • 오페라는 추적 광고와 보이지 않는 추적기를 차단할 때 성능이 저조했으며, 최대 보안 설정을 활성화한 후에도 저조한 성능이 지속됐다. 

결론적으로 브라우저의 기본 설정에 의존해서는 안되며 개인정보보호를 극대화하기 위해서는 설정을 조정해야 한다. 엣지에서 다음과 같은 내용을 확인할 수 있다. 기본 설정에서는 개인정보보호가 약하지만, 설정을 조정하면 상당히 강력하다.

 
광고 차단기, 어떻게 처리해야하나 

콘텐츠 차단기(Content Blockers)와 광고 차단(Ad blockers) 도구는 웹사이트 코드의 전체 세션을 억제해 위젯 및 기타 코드가 작동하는 것을 방지하고 일부 사이트 모듈(일반적으로 광고)이 표시되지 않도록 하며, 위젯에 내장된 추적기를 억제한다. 광고 차단기는 구체적으로 광고를 타겟팅하는 반면, 콘텐츠 차단기는 원하지 않는 자바스크립트나 다른 코드 모듈을 찾는다.
  
이런 차단 도구는 제작자가 원치 않는 동작의 지표라고 생각하는 사이트의 일부를 손상시키기 때문에 해당 사이트의 기능마저 손상시키는 경우가 많다. 어떤 도구냐에 따라 결과는 매우 다양하다. 사이트가 예상대로 실행되지 않는 경우, 사이트를 허용목록에 추가하거나 브라우저에서 해당 사이트에 대한 콘텐츠 차단기를 비활성화한다.
 
필자는 콘텐츠 및 광고 차단기에 대해 오랫동안 회의적이었다. 합법적인 게시자가 사업을 유지하는 데 필요한 수익을 없애는 것뿐만 아니라 많은 이의 비즈니스 모델을 강탈하기 때문이었다. 특히 이런 차단 서비스는 종종 광고를 통과하도록 게시자에게 수수료를 받는다. 게시자가 비용을 지불하지 않으면 광고를 차단한다. 이들은 사용자 개인정보보호를 위하는 것이라고 스스로를 홍보하지만, 비용을 지불한 광고만 보는 것은 사용자의 개인정보보호에 도움이 되지 않는다. 

물론 부도덕적인 게시자는 애당초 사용자가 광고 차단기를 사용하게끔 만든 원인 제공자이므로, 모든 면에서 오물투성이다. 그러나 사파리, 크롬, 파이어폭스와 같은 최신 브라우저는 점점 더 ‘나쁜’ 광고를 차단하고 있다(나쁜 광고라는 정의는 일반적으로 상당히 제한적이다). 파이어폭스는 최근 나쁜 광고를 차단하는 것을 넘어 더 엄격한 콘텐츠 차단 선택지를 제공하는데, 이는 확장 프로그램이 오랫동안 해 온 것과 비슷하다. 사용자가 정말 원하는 것은 추적기 차단인데, 요즘에는 많은 브라우저에서 자체적으로, 또는 추적 방지 확장 프로그램을 통해 처리된다. 


주류 모바일 브라우저의 개인정보, 데스크톱보다는 적게 제공 

모바일 브라우저는 데스크톱의 그것과 동일한 기본 스파이 활동을 수행하더라도 일반적으로 개인정보 설정을 적게 제공한다. 하지만 브라우저 업체가 제공하는 개인정보보호 제어를 사용해야 한다.   

다음은 메인 모바일 브라우저의 개인정보보호 설정을 최대로 사용한다고 가정했을 때 개인정보보호 지원 순서에 따라 순위를 매겨놓은 것이다.
     
  1. 마이크로소프트 엣지
  2. 모질라 파이어폭스
  3. 애플 사파리
  4. 오페라 터치
  5. 구글 크롬 

다음 표에는 2020년 10월 28일 현재 주요 모바일 브라우저에서 사용할 수 있는 개인정보보호 설정이 표시되어 있다(모바일 앱의 경우 버전 번호가 자주 표시되지 않는다). 사파리는 iOS에서만 사용할 수 있다.
 
iOS와 안드로이드 모두 수년 전부터 플래시를 비활성화했으므로, 모바일에서는 플래시 기술에 대해 걱정할 필요가 없다. 또한 위치, 마이크 및 카메라 사용량에 대한 제어는 모바일 운영체제에서 처리하므로 iOS 또는 안드로이드 설정 앱을 사용한다. 일부 앱은 편의를 위해 이런 제어 기능을 직접 제공하기도 한다. 

 


편집증 환자용 브라우저, 브레이브, 에픽, 토르

수년 전부터 광고 차단기가 악의적인 웹사이트를 퇴치하는 대중적인 방법이 됐다. 하지만 편집증 환자들은 더 강력한 사용자 개인정보보호를 원했고, 대안 브라우저들이 등장했다. 

브레이브 브라우저(Brave Browser) 및 에픽 프라이버시 브라우저(Epic Privacy Browser)는 새로운 유형의 브라우저 가운데 가장 잘 알려져 있다. 오래된 개인정보보호 지향 브라우저는 토르 브라우저(Tor Browser)다. 토르 브라우저는 2008년 ‘인터넷 사용자는 검열되지 않는 웹에 대한 비공개 접근 권한을 가져야 한다’는 원칙을 바탕으로 설립된 비영리 단체인 토르 프로젝트(Tor Project)에 의해 개발됐다. 

이런 모든 브라우저는 광고뿐만 아니라 모든 종류의 기능이 작동하는 것을 방지하기 위해 웹사이트의 전체 코드를 제거하는 매우 공격적인 접근 방식을 취한다. 이 브라우저들은 종종 개인정보를 수집할 수 있는 경우를 대비해 웹사이트, 소셜 미디어 플러그인 및 자바스크립트에 등록하거나 로그인하는 기능을 차단하는 경우가 많다.
 
오늘날에는 크롬을 제외한 주류 브라우저에서 강력한 개인정보보호를 받을 수 있으므로 개인정보보호에 특화된 브라우저의 필요성은 매우 적다. 심지어 이 브라우저들의 가장 큰 특징이었던 광고 및 콘텐츠 차단 기능마저 주류 브라우저에서도 지원하고 있다.
 
뿐만 아니라 대안 브라우저인 브레이브는 사용자 개인정보보호가 아니라 게시자로부터 수익을 빼앗기 위해 광고 차단기를 사용하는 것으로 보인다. 브레이브는 자체 광고 네트워크를 보유하고 있으며, 게시자가 구글 애드센스(Google AdSense) 또는 야후 미디어닷컴(Yahoo Media.net)과 같은 경쟁 광고 네트워크 대신 자사의 것을 사용하기를 원한다. 따라서 브레이브 브라우저를 선택한 사용자에게 광고 서비스를 사용하도록 강제한다. 이는 마치 상점에서 사람들이 특정 신용카드로 쇼핑하려면 특정신용카드업체가 공급한 상품만 살 수 있다고 말하는 것과 같다. 

그럼에도 불구하고 광고 차단 외에 이런 대안 브라우저를 고려해야 하는 다음과 같은 이유가 있다. 
  • 브레이브 브라우저는 웹사이트에서 소셜미디어 통합을 억제할 수 있으므로, 페이스북, 트위터, 링크드인, 인스타그램 등의 플러그인을 사용할 수 없다. 소셜 미디어업체는 웹사이트에서 서비스 사용자로부터 엄청난 양의 개인 데이터를 수집한다. 브레이브는 웹사이트의 차단 금지 설정을 존중하지 않으며, 모든 사이트를 마치 광고를 추적하는 것처럼 취급한다. 
  • 에픽 브라우저의 개인정보보호 제어는 파이어폭스와 유사하지만, 내부적으로는 한 가지 다른 기능을 수행한다. 구글 서버로부터 멀리 떨어져 있기 때문에 정보를 수집하기 위해 구글로 이동하지 않는다. 많은 브라우저, 특히 크롬 기반의 크로미움 브라우저는 기본적으로 구글 서버를 사용하므로 구글이 웹 활동에 실제로 얼마나 관여하고 있는지 알지 못한다. 하지만 구글 검색이나 지메일과 같은 서비스를 통해 구글 계정에 로그인한다면, 에픽은 구글이 브라우저에서 사용자를 추적하는 것을 막을 수 없다.
  • 또한 에픽은 인터넷 트래픽을 인터넷 서비스 제공업체의 데이터 수집으로부터 차단하기 위해 프록시 서버를 제공한다. 클라우드플레어(CloudFlare)의 1.1.1.1 서비스는 후술하는 것처럼 모든 브라우저에 대해 유사한 기능을 제공한다(구글 크롬과 마이크로소프트 엣지를 사용하면 원하는 경우 타사 보안 DNS 제공업체를 사용할 수 있지만, 에픽과 같이 자체 제공하지 않는다).
  • 토르 브라우저는 정부와 기업뿐만 아니라 인터넷을 검열하거나 모니터링하는 국가의 사용자들을 대상으로 하는 언론인, 내부 고발자, 활동가들을 위한 필수 도구다. 토르 네트워크를 사용해 이런 감시자나 검열자로부터 사용자와 사용자의 활동을 숨긴다. 또한 매우 사적인 정보 배포를 위해 고도로 인증된 접근이 필요한 어니언(onions)이라는 웹사이트를 게시할 수 있다. 


웹에서 자신을 보호하는 다른 방법, GDRP, CCPA, 그리고 에드초이스

유럽의 GDPR(General Data Protection Regulation)과 미국의 CCPA(California Consumer Privacy Act)와 같은 규정으로 인해 점점 더 많은 웹사이트가 방문자가 각 사이트에서 쿠키 및 기타 추적기의 사용을 제어할 수 있게 됐다. 

많은 다국적 기업은 단순성을 위해 GDPR과 CCPA 관할권 밖의 사용자에게도 동일한 선택을 제공한다. 일반적으로 브라우저에서 쿠키를 차단하는 것은 전혀 사용하지 않는 제안이기 때문에 현실적이지 않은 경우가 많다. 사용자가 웹사이트에 돌아오면 자동으로 로그인하는 것과 같이 사용자가 원하는 방식으로 작동하는 쿠키가 필요한 경우도 있다. 

여기에서 GDPR과 CCPA에서 요구하는 쿠키 제어(cookie controls)를 사용하면 도움이 될 수 있다. 유럽 웹사이트에 들어가면, GDPR 동의 팝업창이 뜨는데 해당 사이트에서 사용하려는 쿠키를 모두 볼 수 있다. 이 가운데 마케팅 쿠키는 주의해야 할 대상이다. 종종 들어본 적이 없는 회사의 쿠키가 수십 개에서 수백 개까지 나열될 것이다. 참고로, 광고 차단기, 콘텐츠 차단기 및 기타 개인정보보호 도구는 역설적으로 다양한 사이트에서 CCPA 또는 GDPR 동의서까지 제거할 수 있다. 
 
ⓒ IDG
 
ⓒ IDG

일부 쿠키는 사이트에서 사이트로 ‘따라 가기’ 때문에 아마존 또는 검색 엔진에서 검색한 내용과 같은 관심사를 바탕으로 어디를 가든 동일한 광고를 표시할 수 있다. 다른 쿠키는 더 나아가 웹 서핑 시 사용자의 행동과 관심사를 추적해 사용자의 프로필을 작성한다.

이런 쿠키의 대부분은 웹사이트가 사용하는 광고 네트워크에서 제공되기 때문에 웹사이트 게시자도 이런 쿠키가 누구로부터 왔는지 알지 못한다. 광고 네트워크는 또한 다른 광고 네트워크와 연결되기 때문에, 특정 사이트에서 누가 사용자를 추적하는지 아무도 알지 못한다. 결론적으로 특정 사이트에 알지못하는 수십, 수백 명의 광고주가 브라우저에 자동으로 쿠키를 설치하려는 상황은 쉽게 맞이할 수 있다. 

사용자는 어느 쿠키를 허용할 것인지 개별적으로 결정하기보다는, 모두 차단한다. 만약 많은 사용자가 그렇게 한다면, 아마도 게시자와 광고 네트워크는 실제로 이런 ’파트너’를 관리하고 사악한 파트너를 제거할 것이다. 애드초이스 링크 또는 쿠키 정책 링크에서와 같이 쿠키에 대한 제어 권한을 찾는다. 그리고 사이트별로 모든 것을 차단하는 것조차 어렵다. 사용자는 방문하는 각 사이트마다 제어 기능을 설정해야 한다. 이런 기능을 제공한다고 가정할 때 광고주의 개인정보보호 설정을 지정하는 방법은 광고 차단기를 사용하는 고압적인 접근 방법 외에는 없다. 
 
ⓒ IDG


브라우저 외부에서 수행할 수 있는 개인정보보호 단계 

만약 정말로 개인정보를 보호하고 싶다면, 인터넷을 사용해서는 안 된다. 물론 불가능할 것이다. 그렇다면 브라우저가 허용하는 범위 외에 무엇을 할 수 있을까?

다음은 웹 기반 및 앱 기반의 다른 인터넷 활동을 위해 취할 수 있는 개인정보보호 단계다. 이런 다른 인터넷 도구는 브라우저 자체보다 더 강력한 스파이이기도 하다. 목표는 공유하는 것을 제한하고 추적자들이 사용자의 활동을 전체적으로 파악하기 어렵게 만드는 것이다.
   
  • 소셜 네트워크를 사용하지 않는다. 만약 사용해야 하는 경우, 가능한 한 적게 공유한다. 개인정보보호 설정을 사용하되 더 이상 추적되지 않는다고 믿어서는 안 된다. 특히 페이스북은 계정이 없고 단순히 페이스북 페이지를 방문하는 경우에도 사용자 데이터를 불미스럽고 무단으로 사용하는 것으로 악명이 높다.
  • 알렉사(Alexa) 또는 시리(Siri)와 같은 음성 어시스턴트를 사용하지 않는다. 이것들은 사용자에 대한 많은 데이터를 수집한다. 애플은 오랫동안 개인정보보호에 중점을 둬 왔으며, 수집한 방대한 데이터를 재판매하지 않은 것으로 보인다. 하지만 최근 버전의 맥OS 및 iOS에서는 사용자 활동을 분석해 권장 사항을 제공하는 시리의 추천 제안(Siri Suggestions)이라는 서비스를 도입했다. 이 서비스는 구글, 페이스북 등이 수년 동안 해온 일이다. 이 데이터는 모두 애플로 전송되며 불편하다. 애플이 일부 국가의 개인정보보호 요청에 수락하는 것을 봤기 때문에 다른 데이터 수집 대기업보다 사용자의 개인정보를 더 존중한다고 해도 위험이 있다. 
  • 구글 어시스턴트, 시리의 추천 제안과 같은 ‘유용한’ 추적 기능을 끈다. 페이스북, 마이크로소프트, 아마존 및 모바일 기기, 웹 서비스 및 컴퓨터의 다른 모든 사용자의 해당 기능을 해제한다. 윈도우 10의 일반 개인정보 설정에서 광고 ID를 해제해야 한다.
  • 꼭 필요하지 않은 앱이나 웹사이트에 대해서는 위치 서비스를 끈다. 윈도우 10 설정 앱의 개인정보보호 패널, 맥OS의 개인정보보호 및 설정 시스템 환경 설정, iOS 설정에서의 위치 서비스 제어, 안드로이드 위치 제어창에서 위치 서비스를 끈다. 
  • 보유한 각 기기에서 다른 개인정보보호 설정을 살펴본다. 가능한 한 활동 및 정보에 대한 접근을 제한한다. 
  • 브라우저나 쇼핑 앱에서 제품을 검색할 때 온라인 스토어에 로그인해서는 안 된다. 구매할 항목을 결정한 경우에만 로그인하면 소매 업체가 사용자의 검색 활동을 추적할 수 없다.
  • 가능한 경우, CCPA 또는 GDPR과 같은 법률을 활용해 단지 쿠키를 관리하는 것이 아니라 데이터를 삭제하거나 사용을 제한한다(한국에서는 데이터 3법을 통해 개인 사용자가 자신의 정보에 대한 결정권과 이동권을 갖는다. 편집자 주). 마찬가지로 구글과 광범위하게 추적하는 기타 서비스에서 정기적으로 데이터를 삭제한다. 
  • VPN(Virtual Private Network) 사용을 고려하되 주의해야 한다. 무료 VPN 서비스는 어떻게든 돈을 벌고 있고, 사용자의 데이터는 그 ‘어떻게든’ 속에 포함된다. 
  • 인터넷 서비스 제공업체가 아닌 웹 트래픽을 전달하는 프록시 DNS 서버인 클라우드플레어 1.1.1.1 서비스를 사용한다. ISP는 종종 검색 트래픽을 수집하고 결과 프로필을 광고주와 기타 상업적 이해 관계자에게 판매한다. 클라우드플레어는 게시자, 공급업체, 정부기관 등의 인터넷 트래픽을 관리하는 사업자이지만, ISP보다 수집한 데이터 사용에 문제가 덜 한 것 같다. 그리고 무료 VPN보다 1.1.1.1이 더 편하다. 하지만 진정한 무료는 없으며, 요금은 실제로 지불된 것이다.  
  • 1.1.1.1을 사용하는 경우, 모든 네트워크 기기가 자동으로 보호되도록 공유기에서 설정한다. 기본 DNS를 1.1.1.1로 설정하고 보조 DNS를 1.0.0.1로 설정하면 된다. 이렇게 하면 모바일 기기에서 기업 VPN을 사용하기 위해 1.1.1.1 의사 VPN을 사용 중지하지 않아도 된다. 데스크톱 컴퓨터에서 1.1.1.1은 의사 VPN을 사용하지 않으므로 회사 VPN과 충돌하지 않는다. 그러나 보호된 공유기를 벗어나 여행 중이거나 이동 중일 때는 컴퓨터와 모바일 기기에도 1.1.1.1을 설정할 수 있다. 시스템에서 운영체제의 네트워크 설정에서 기본 DNS를 1.1.1.1로 구성하고 보조 DNS를 1.0.0.1로 구성한다(설정한 후에는 그대로 둘 수 있다). 모바일 기기의 경우, 앱 스토어에서 1.1.1.1 앱을 설치하고 이동할 때 켠다. 다만 회사 VPN을 사용하려면 앱을 꺼야 한다. 

물론 다른 수단을 통해 여전히 사용자를 추적할 수 있지만, 그렇다고 추적하는 것을 쉽게 만들어 줄 이유는 없다. 완전히 개인정보를 보호할 수는 없지만, 어렵게 만들 수는 있다. editor@itworld.co.kr


X