보안

구글이 우리에 대해 알고 있는 것 2편

Robert L. Mitchell | Computerworld 2009.05.14

행동광고 방법의 변화

 

구글이 사용자 정보에 대한 정책을 바꾸어 이를 보다 효율적인 타깃 광고에 이용하려고 결정한 사실에 대해 사람들은 우려하고 있다.

 

최근까지도 구글은 검색 주제나 지메일 메시지의 키워드 등에서 비롯한 “문맥 타깃팅(contextual targeting)”에 기반을 두고 광고를 했다. 민감한 주제에 대한 광고를 하고자 하는 사람들에 대한 대책으로 구글에서는 인종, 종교, 성적 취향, 건강, 정치 단체, 노조 단체, 기타 민감한 금융 분야에 관한 주제를 제외한다.

 

AP7023.JPG

문맥 타깃팅 광고의 예: 구글은 지메일 메시지 안에 있는 문맥정보를 이용해서

오른쪽의 박스에서 볼 수 있는 것 처럼 타깃광고를 실시한다.

 

AP0DFB.JPG

위의 경우에는 이메일 안에 들어가 있는 단어가 타깃 광고를 하기엔 너무 민감하기 때문에

오른쪽 박스에는 문맥타깃이 되어있지 않은 광고가 보여진다.

 

구글은 사용자에 관한 심도있는 프로파일을 모두 종합하여 분석된 사용자의 부류(유저 프로파일)와 웹 상에서의 활동 히스토리에 기초하여 고도로 전문화된 광고를 할 수 있다. 후자의 경우는 행동 광고(behavioral advertising)라고 알려진 광고기법으로 논란이 되고 있는 기법이다. 최근까지도 구글은 이런 기법을 사용하지 않았다.

 

그렇지만 3월 11일에 제품 관리 부회장인 수잔 보이치키(Susan Wojcicki)는 구글의 공식 블로그에서 구글이 이 방향으로 나아갈 것임을 공식화하였다. “관심 기반의 광고(interest-based advertising)”의 시작과 더불어 구글은 문맥 뿐만 아니라 사용자가 전에 보았던 웹 페이지에도 기초한 타깃 광고를 시작하게 되는 것이다.

 

웹 페이지 히스토리는 쿠키 ID와 연관된 로그에서 알아낸다. 그렇지만 ID는 고유한 사용자뿐만 아니라 고유한 브라우저과도 연결되므로 자신의 배우자나 컴퓨터를 공유하는 다른 사람이 보았던 웹 페이지에 기초한 광고를 보게 될 수도 있다. 광고업자들은 구글이 개인정보 보호라는 이유로 여러분에게 제공하지 않는 로그 정보에 기반을 둔 사용자 타깃 광고를 할 수 있을 것이다.

 

고셈마줌더(Ghosemajumder)는 이런 상황이 완벽하지 않다는 것을 인정한다. 그는 “어떤 경우에는 투명성이 보장되기도 하지만 그렇지 못한 경우도 있다”라면서 “구글은 투명성을 제고할 수 있는 방법을 더 많이 구축하고 문제를 해결하려고 노력 중이다”라고 말했다.

 

사생활보호 옹호론자는 관심에 기반한 광고가 구글이 보유한 사용자 정보에 따른 고도로 전문화된 타깃 광고의 시발점이 될 것으로 우려하고 있다. 노던 캘리포니아 ACLU의 기술과 시민의 자유에 대한 정책 책임자인 니콜 오저(Nicole Ozer)는 “구글은 사용자들에 관한 모든 정보를 계속 수집하여 축적하고 있으며, 구글이 과거에 이 데이터를 사용하지 않을 것이라고 말했기 때문에 이는 중대한 문제이다”라고 말했다.

 

그렇지만 프라이버시 옹호론자는 구글이 제대로 하는 것도 있다고 말한다. 온라인 프라이버시 센터(Privacy Center)를 개설하고 자사의 서비스 중 일부에 대해 추가적인 제어권을 제공하는 것 등이 그것이다.

 

행동 광고로 이행하려는 움직임을 보이는 것은 구글만이 아니다. 이런 기법을 시도하는 다른 수많은 회사들처럼 구글도 이 움직임에 동참하고 있다. 인터넷 광고 협회(Internet Advertising Bureau)의 공공정책 담당 부사장 마이크 제니스(Mike Zaneis)는 고도로 타깃팅화된 광고가 혐오스러울 수 있음을 인정했다. 그렇지만 그는 “혐오스럽다는 이유가 직접적으로 소비자에게 해를 끼치는 것은 아니다”라고 말했다.

 

사용자가 이 기법을 사용하는 서비스를 사용하는 한 이런 기법이 바뀔 것 같지는 않다. 그렇지만 그는 무작위적인 “스팸 광고”보다는 전문적으로 타깃이 맞춰진 광고가 사용자의 관심을 끌 것이기 때문에 사용자가 이와 같은 서비스를 거부할 것 같지 않을 것이라고 주장했다.

 

구글이 사용자의 콘텐츠를 안전하게 관리할 수 있는 지에 대한 우려는 계속 제기되어 왔었다. 구글에서는 구글 독스(Google Docs)의 사용자 문서가 이를 볼 권한이 없는 사용자들 간에서 공유할 수 있게 되는 사고와 같은 작은 사고가 이제까지 몇 차례 있었다. 그렇지만 사용자의 1%미만이 피해를 입은 이런 사고는 2006년에 65만 명의 검색 로그 데이터가 유출된 구글의 경쟁사인 AOL과 같은 보안 사고와 비교하면 아무것도 아니었다.

 

고셈마줌더는 사용자 데이터의 프라이버시가 엄격하게 관리되고 있다면서 “우리는 제 3자가 사용자의 사적 데이터에 접근하지 못하도록 하기 위해 온갖 종류의 수단을 다 갖추고 있다. 또한 사용자가 구글 서비스를 이용하면서 자신이 속해있지 않은 팀의 데이터에 접근하지 못하도록 보장하는 내부적인 제어방법도 갖추고 있다”라고 설명했다.

 

익명화의 정도

 

여론에 따라 구글은 다른 것도 양보하였다.

 

구글은 서버 로그 데이터를 지우지 않지만 일정기간이 지나면 이 데이터를 익명 처리하여 해당 로그가 특정 쿠키 ID나 IP 주소와 연관되지 않도록 하는 것에 동의했다. 2007년에 18개월이 지난 서버 로그에 저장된 사용자의 IP 주소와 기타 데이터들을 익명화하기로 처음 동의한 것에 이어 지난 9월에는 쿠키를 제외한 모든 데이터에 대해 18개월을 9개월로 줄이기로 했다고 공표했다. 쿠키는 여전히 18개월 후에 익명화하기로 하였다. 고셈마줌더는 “구글의 모든 서비스는 이런 익명화 정책을 준수한다”라고 말했다.

 

비평론자들은 구글이 각 개인을 인식할 수 없도록 데이터를 익명화하는 방법이 충분하지 않다고 비난한다. 예를 들어 구글은 32비트로 이루어진 IP 주소의 마지막 8비트를 0으로 바꾼다. 이런 방법을 사용하면 사용자 환경이 특정 지역 내의 256개 컴퓨터 그룹 중 하나로 좁혀지게 된다. 자체적으로 블록 단위의 IP 주소를 갖는 회사 역시 어떤 활동이 개인과 연관되지는 않는다 하더라고 조직과는 쉽게 연관될 것이기 때문에 이런 방법에 대해 우려를 표명하고 있다. 익명화된 데이터조차 다른 데이터와 결합되었을 경우 개인을 식별할 수 있게 된다고 프라이버시 옹호론자는 말한다.

 

경쟁사들은 이런 기회를 알아차리고 앞서 설명한 비평과 유사한 비평에 맞서면서 구글보다 앞서나가려고 노력하고 있다. 마이크로소프트에서는 IP 주소를 익명화하는 대신 이 데이터를 18개월 후에 삭제하고 업계에서 모든 검색 로그를 6개월 후에 익명화하자고 제안해 왔다. 야후는 검색 쿼리와 기타 로그 데이터를 3개월이 지난 후 익명화하고, 아이엑스퀵(lxquick) 검색 엔진은 IP 주소를 전혀 저장하지 않는다.

 

사생활 보호 옹호론자가 가장 우려하는 것은 구글이 보유한 사용자 데이터가 잘못된 곳으로 흘러갈 수 있다는 것이다. 뱅크스톤에 따르면 이 데이터들이 “무슨 일을 하는지 알고 싶어하는 정부 심사관과 변호사 등과 같은 사람들을 위한 원 스톱 쇼핑”을 제공하는 민감하고 자세한 데이터의 보고이다.

 

사생활 보호 관련 법규는 이와 관련된 정보 등을 특별히 보호하지 못하고 있다. 구글의 정책을 포함한 대부분의 정책은 회사측에서 법정 명령이나 소환장을 통해 사용자의 데이터가 요청되었음을 알려주어야 함을 명백하게 보장하지 않는다. 뱅크스톤은 “회사에 저장된 데이터나 회사측에서 수집한 사용자 정보와 관련된 법적 보호 상황은 아주 불분명하다”라고 말했다.

 

업계에서는 정부에서조차 온라인 데이터에 적용되지 않는다고 논쟁이 되고 있는 22년 된 사생활 보호 법규인 1986년의 전자통신 사생활 보호법(Electronic Communications Privacy Act of 1986)을 여전히 따르고 있다. 뱅크스톤은 “구글은 계속 이 법규가 사용자의 검색 로그를 어떻게 보호하고 보호하는지 여부에 대한 특정한 위치에 대해 언급하고 있다”라고 말했다.

 

사생활 보호 단체는 구글이 변호사나 법 집행관에게 정보 공개 요청을 얼마나 받았는지와 이런 요청에 대해 구글이 어떻게 대응했는지에 대해 밝히라고 요구하고 있지만 구글은 경쟁사와 마찬가지로 이 정보를 공개하지 않고 있다.

 

구글은 이와 관련되어 아직 준비가 되지 않은 이유에 대해 자세하게 밝히기를 거부했지만 법률 부자문역인 니콜 웡(Nicole Wong)에 따르면 구글은 “엄밀하고 적절하게, 또한 법에 따라” 법적 요청에 응했다고 한다.

 

적어도 가장 논란이 된 한 경우에서 구글은 가입자의 프라이버시를 보호하기 위한 강력한 방책을 강구했었다. 비아컴(Viacom)이 구글의 유튜브 가입자 기록을 보기 위해 소환장을 발부했을 때 구글은 이에 맞서 개인 사용자를 추적할 수 없는 익명화된 데이터만 넘겼었다.

 

그렇지만 사생활 보호론자들은 이보다 주목을 받지 못한 경우에서 개인 기록에 대한 수천 건의 요청에 대해 구글이 어떻게 대응했는지에 대해 알고 싶어한다. 구글의 반응은 “우리의 가장 중요한 원칙은 사용자에게 알리고자 한다는 것입니다”이라고 제품 법률고문인 마이크 양은 말한다.

 

ACLU의 오저는 구글이 데이터를 수집하는 양을 줄이고 데이터를 저장하는 기간도 단축해야 한다고 생각한다. 이는 노던 캘리포니아 ACLU가 펴낸 웹 2.0 회사를 위한 44페이지짜리 프라이버시와 비즈니스 입문서에서 제안한 사항 중 하나이다.

 

사생활 보호 단체는 입법자가 경제를 중시하기 때문에 가까운 시일 내에 법이 변할 것 같지는 않다고 말한다. 그렇지만 입법자와 규제론자들은 구글이 앞장서서 본보기를 보이도록 압력을 가하고 있다. 딕슨는 “그토록 많은 데이터를 가진 회사라면 사생활 보호 분야에서 혁신적이고 진취적이며 프로가 될 책임이 있다”라고 주장했다.

 

무료로 사용하는 웹 기반의 소프트웨어와 서비스를 사용하는 대가로 사용자는 개인 정보의 일정 부분을 포기하는 격이다. 플리셔는 “사람들은 어떤 정보가 수집되고 있고 이것이 어떻게 쓰일 것인지에 대해 알아야 하고 공유될 정보를 선택하고 누가 이에 접근할 수 있는지를 제어할 수 있어야 한다”라고 말했다.

 

그렇지만 개인정보를 지키려는 사용자의 욕구와 사용자의 데이터를 유연성 있게 사용하려는 구글의 필요성에 따라 양측의 압력은 계속될 것 같다. 뱅크스톤은 “구글의 비즈니스는 사용자로부터 수집한 정보로부터 수익을 창출하는 것이다. 모든 일은 주면 받는 것이 있는 법”라고 말했다.

 

결국 업데이트된 사생활 보호 법규와 사용자의 선택은 무엇이 허용되고 무엇이 허용되지 않는지를 규정하는 것이 될 것이다. 양은 “구글의 비즈니스 모델은 순전히 사용자의 신용에 의존하고 있습니다”라고 말했다. 구글이 해결해야 하는 문제 중 하나는 혁신을 이루는 비즈니스의 능력을 심하게 훼손하지 않으면서 사용자의 신용을 구축해야 한다는 것이다.

 

뱅크스톤은 구글이 이제까지 신용 구축은 꽤 잘해왔다고 평가했다. 그는 단지 구글이 서비스를 보다 투명하게 만들고 사용자에게 더 많은 제어권을 주길 원하는 것이다. 그는 “구글이 혁신 작업을 멈추는 것을 원하는 것이 아니다. 단지 사용자 데이터가 안전하도록 법 체계가 갖춰졌으면 한다”라고 말했다. robert_mitchell@computerworld.com

[1편 보기]

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.