[Vol.11] Global Privacy Control에 관하여 – 쿠키 배너 시대의 종말?

 In KISA Report

Global Privacy Control에 관하여 – 쿠키 배너 시대의 종말?

이진규 (lee.david@navercorp.com)

네이버주식회사 개인정보보호책임자 (이사)

들어가며

지난 10월 말, Firefox Browser를 제공하는 Mozilla Corporation은 자사 블로그에 “Implementing Global Privacy Control”이라는 제목의 글을 게시했다. 이 글에서 Mozilla는 Firefox Browser에 Global Privacy Control(이하, GPC)을 적용하는 실험을 위한 초기 절차에 돌입한다는 점을 명확히 밝혔다. 상세한 설명과는 거리가 있지만, Mozilla는 “캘리포니아 소비자 프라이버시 법(CCPA)과 캘리포니아 프라이버시 권리 법(CPRA) 및 기타 다른 법 관할권의 법제에 따라 소비자의 프라이버시 권리를 존중하도록 웹사이트에게 알려주는 메커니즘”이라고 GPC를 설명했다.

Mozilla가 GPC를 적용한다고 밝힌 최초의 브라우저 제공 기업은 아니다. 또한, GPC가 세상에 존재하지 않았던 완전히 새로운 기술을 적용한 메커니즘도 아니다. 오히려, 기술적 관점에서는 지나치게 단순한 측면이 있어, 이것이 얼마나 큰 효과를 가져올 수 있을지 의문이 들 수도 있는 메커니즘에 가깝다. 그러나, Mozilla의 Firefox Browser는 소위 ‘메이저 브라우저(major browser)’로서 GPC 적용을 공식적으로 밝힌 최초의 브라우저라서 그 파장이 작지는 않을 것으로 예상된다. Mozilla측은 “많은 웹사이트가 ‘쿠키 동의 배너(cookie consent banner)’를 제시하여, 이용자가 방문하는 개별 사이트에서 트래킹 및 데이터 판매를 이용자 스스로 옵트 아웃(opt-out)하도록 한다. 차이점(*주: 쿠키 동의 배너와 비교하여 GPC가 갖는 차별점)은 이용자가 방문하는 모든 개별 사이트마다 일일이 옵트 아웃할 필요가 없다는 것인데, 우리는 이것이 보다 좋은 해결책이라고 생각한다.”라며 GPC 적용에 대한 입장을 밝히기도 했다.(1)


[그림 1] GPC를 지원하는 주요 브라우저 및 확장기능 (출처: GPC)
 

그런데, Mozilla가 소개한 것과 같이 매우 폭 넓은 법 관할권의 법제 요구사항에 따라 소비자의 프라이버시 권리를 존중하도록 웹사이트에게 정보주체의 의사를 전달할 수 있는 보편적 메커니즘이 GPC라면 전 세계 웹 환경에 매우 큰 영향을 미칠 것이 분명한데, 아직 이에 대한 구체적 논의가 국내에서 거의 진행되고 않고 있는 것으로 보인다.

이에, 정책적 적용 가능성의 탐색 관점에서 GPC의 개념 및 의의, 작동 방식, 법적 영향 등을 간략히 살펴보기로 한다.

GPC의 개념

GPC는 2020년 4월, World Wide Web Consortium(W3C)의 Privacy Community Group(Privacy CG)에 처음 소개되었다. 이후, 미국 캘리포니아에서 캘리포니아 소비자 프라이버시 법(CCPA)에서 요구하는 ‘개인정보 판매 거부(opt-put)’을 실행하기 위한 대안으로 제시되어 CCPA Regulations에 정식 법적 효력을 갖는 방식으로 반영된 후, 이용자 권리 보장을 자동화하기 한 국제적 논의와 맞물려 유명세를 탔다.

GPC란 인터넷 이용자가 기업에게 이용자의 프라이버시 선택(privacy preferences)을 알려주도록 고안된 ‘제안된 상세(proposed specification)’를 의미하는데, 이를테면 자신의 개인정보가 판매되거나 공유되는 것을 원하거나, 원하지 않는다는 의사를 전달할 수 있는 기제이다. 여기에서 ‘제안된 상세’라고 표현한 것은, 아직 GPC 프로토콜이 표준으로 확정된 것은 아니기 때문이다. GPC는 이용자가 사용하는 브라우저나 모바일 기기의 설정 내지 확장기능으로 구성되어 있으며 웹사이트가 그러한 상세를 지원한다는 것을 나타낼 수 있는 방식으로도 사용될 수 있다. 즉, GPC는 (1) 클라이언트(기기, 브라우저 등) 입장에서는 정보주체인 이용자의 프라이버시 설정을 표현하고 전달하는 메커니즘인 동시에, (2) 퍼블리셔(웹사이트) 입장에서는 전달된 GPC signal(신호)을 존중하는지 여부를 나타낼 수 있는 방식이다.

아래 그림에서 보는 바와 같이, 이용자는 GPC를 지원하는 브라우저(또는, 브라우저에 설치된 확장기능(extension))를 이용하여 자신의 프라이버시 선택을 브라우저에 등록한다. 이용자는 자신의 선택이 등록된 브라우저를 이용하여 웹 브라우징을 하며, 브라우저는 설정된 이용자의 선택을 웹사이트에 GPC Signal로 전송한다. 방문하는 웹사이트 가운데, GPC를 지원하는 웹사이트가 있다면, 해당 웹사이트는 이용자의 프라이버시 선택에 따라 이용자의 권리를 지원하는 조치(예: 개인정보 판매/공유 중단)를 취하게 된다. 이용자는 자신의 프라이버시 선택을 선택하기만 하면 되며, 그 후의 과정은 브라우저(또는 브라우저 확장기능)와 웹사이트(GPC 지원) 사이에 자동으로 진행된다.

그림입니다.

원본 그림의 이름: clip_image002.png

원본 그림의 크기: 가로 1484pixel, 세로 321pixel
[그림 2] GPC가 작동하는 방식 개요

세계적으로 유명한 ‘프라이버시 검색엔진 및 브라우저’ 기업인 DuckDuckGo는 자사 브라우저 뿐만 아니라 확장기능에서 GPC를 적극적으로 지원하고 있다. DuckDuckGo 확장기능이 GPC를 지원하는 방식은 아래 그림과 같다.

그림입니다.

원본 그림의 이름: clip_image004.png

원본 그림의 크기: 가로 441pixel, 세로 666pixel
[그림 3] DuckDuckGo Chrome 확장기능이 GPC를 지원하는 화면 (출처: DuckDuckGo)

GPC 동작 방식

GPC를 지원하는 브라우저나 브라우저 확장기능은 이용자의 프라이버시 선택을 웹사이트에 정확하게 전달해야 하는데, 이는 HTTP 요청을 통해 진행된다. 이를 위해 HTTP 헤더 필드에 Sec-GPC를 포함해야 한다. 만약 이용자의 GPC 선택이 활성화되어 있지 않는다면 Sec-GPC 헤더는 생성되지 않는다.

아래 예시 화면에서 보는 것과 같이, 브라우저는 HTTP 요청에 Sec-GPC 필드를 헤더에 생성하게 되는데, 만약 이용자가 GPC를 On으로 하여 자신의 프라이버시 선택을 활성화하는 경우, Sec-GPC 필드의 값(value)은 “1”이 된다. 따라서, 아래의 경우 이용자가 브라우저 (또는 확장기능)에서 GPC를 On으로 설정한 것임을 알 수 있다.

그림입니다.

원본 그림의 이름: clip_image005.png

원본 그림의 크기: 가로 491pixel, 세로 176pixel
[그림 4] GPC 요청을 포함한 HTTP 헤더 (출처: GPC 상세(2))

GPC를 지원하는 웹사이트는 JSON 객체로 표현되어야만 하는데, 이는 gpc(true or false) 및 lastUpdate(date)로 표현된다. 전자는 해당 웹사이트가 GPC를 지원하는지 여부를 표시하는 것이며, 후자는 GPC 지원을 선언한 시점을 의미한다. 특히, 후자의 경우 선언 이후 발생하는 GPC 표준의 변경에 있어, 웹사이트가 GPC 신호의 법적 의미를 해석하는데 안정성을 부여하는 기능을 한다. 즉, 선언 이후에 GPC 표준 변경으로 인해 발생하는 법적 상황에 있어 해석의 기준점을 제공하는 역할을 하는 것이다.

그림입니다.

원본 그림의 이름: clip_image006.png

원본 그림의 크기: 가로 568pixel, 세로 327pixel
[그림 5] GPC를 지원하는 웹사이트의 선언 (출처: GPC 상세)

이와 같은 상세를 통해 정해진 규칙에 따라 웹사이트는 GPC signal을 이용자 브라우저(또는 확장기능)로부터 전달받는 경우, 법제가 요구하는 정보주체의 권리를 자동으로 보장하는 활동을 수행하게 된다.

이와 유사한 방식인 “Do-Not-Track”이 지난 2009년 최초로 제안되었고, 실제 2011년에는 Safari와 Firefox Browser가 이를 지원하였으나 절대 다수의 웹사이트가 Do-Not-Track 신호를 지원하지 않아서 좌초된 바 있다. Internet Explorer를 비롯한 메이저 브라우저들이 각자의 고유한 트래커 차단 기능을 내장한 채로 버전 업이 되었고, 결국 Do-Not-Track은 현실에서 중단된 것과 마찬가지인 유명무실해진 상태로 현재에 이르고 있다.(3)

GPC의 법적 효과

GPC signal을 전달받는 웹사이트가 그와 관련한 정보주체의 프라이버시 권리를 항시 보장하는 것이 법적으로 강제되지는 않는다. 그러나, GPC signal을 전송하는 이용자의 위치, 적용 가능한 법의 범주, 신호를 주고받는 이용자와 사업자 간의 계약 등 관계로 인해 GPC signal에 법적 효과가 부여되는 경우도 있다.

가장 대표적인 것이, 캘리포니아 소비자 프라이버시 법(CCPA)에 의한 경우이다. CCPA Regulations – § 999.315. Requests to Opt-Out (c)는 “사업체가 소비자의 개인정보를 온라인에서 수집하는 경우, 사업체는 브라우저 플러그인, 프라이버시 세팅, 기기 세팅, 기타 다른 메커니즘을 통해 이용자가 활성화 한 global privacy control을 해당 브라우저나 기기, 또는 소비자가 관련 민법 규정(Civil Code section 1798.120)에 따라 개인정보 판매에 대해 유효하게 제출한 옵트아웃 선택을 전달한 것으로 취급해야 한다.”라고 하여 GPC signal을 이용자 개인정보 판매에 대한 적법한 옵트아웃 방식으로 명시하고 있다.(4)

만약, GPC signal이 기존에 소비자가 설정한 프라이버시 설정과 충돌하는 경우, 사업체는 GPC signal을 존중하되 그러한 충돌 사실을 소비자에게 알리고 소비자로 하여금 해당 사업제에 특정한 개인정보 설정을 확인하도록 하는 등의 조치를 취해야 한다(§999.315(c)(2)).

기타, GDPR에서 GPC가 정보주체의 개인정보 통제권 확보를 위한 조치로 인정될 여지도 있다. GDPR은 “자연인은 자신의 개인정보에 관하여 통제권을 확보해야 한다.”라고 설명하는데(Recital 7), 이에 따라 정보주체의 동의(Article 6) 및 특정한 상황에 있어 개인정보 처리에 반대할 권리(Article 21)를 GPC로 지원할 수 있다는 의견도 제시된다. 아직 법적으로 확립된 메커니즘은 아니지만, 법 집행 당국의 협의를 통해 GPC가 GDPR 체계 하에서 유효한 법적 장치로 기능할 수 있는 가능성이 있음을 보여주는 대목이다.

관계 당국이 충분한 협의를 통해 합의에 도달하는 경우 e-Privacy Directive 및 GDPR에 의해 유럽 기반 웹사이트에 적용된 쿠키 동의 배너를 GPC로 대체할 수 있는 가능성도 열려 있기도 하다. 개별 웹사이트마다 쿠키 동의를 표현하는 것보다 브라우저(또는 기기) 레벨에서 동의 의사를 일관되게 표현하는 것이 보다 이용자 친화적인 동시에 직관적 방식이므로, 이에 대한 본격적 논의가 필요한 것으로 보인다. 실제로, 영국은 브렉시트(Brexit) 이후 쿠키 동의 방식에 대해 유럽연합과 다른 입장을 견지하면서 본격적인 개선에 나설 것임을 밝히기도 했다. 영국은 기존의 쿠키 동의 배너를 대체할 수 있는 방식으로 GPC를 하나의 대안으로 고려하고 있는 것으로 알려져 있다.(5)

나가며

GPC는 브라우저나 기기 레벨에서 이용자의 프라이버시 선택을 웹사이트에 편리하게 전달하고, 별 다른 추가 조치 없이 웹사이트로 하여금 법제가 요구하는 바에 따라 이용자의 권리를 보장할 수 있도록 하는 매우 편리한 장치로서 작은 규모의 개발로 적용 가능한 편의성, 이용자가 쉽게 이해할 수 있는 직관성, 브라우저나 기기 레벨에서 대규모로 적용할 수 있는 확장성 및 보편성 등의 성격을 가지고 있어 프라이버시 권리 보장 메커니즘으로 각광받고 있다.

현재는 캘리포니아 소비자 프라이버시 법(CCPA)에서 소비자의 개인정보 판매 옵트 아웃 기제로서 그 법적 효과를 인정받고 있지만, GDPR에서의 ‘반대할 권리(right to object)’를 현실화 할 수 있는 방식으로도 주목받고 있다. 또한, 영국은 GPC를 이용자의 사용경험을 크게 저하하는 쿠키 동의 배너를 제거할 수 있는 방법으로 고려하고 있으며, 세계적으로 이의 실현에 필요한 동의를 얻고자 노력하고 있다. 특히, 우리나라 개인정보보호위원회는 유럽연합의 규제를 거의 답습하다시피 하여 쿠키 동의 배너에 관한 규제도 도입하는 것을 검토 중인 것으로 알려져 있는데, GPC와 같은 창의적이고 효과적인 방식이 확산되고 있다는 점을 충분히 고려할 필요가 있다.

이용자의 권리 행사가 제약되거나, 충분히 보장되지 않는다는 주장이 반복되는 현실에서 GPC와 같이 확장성 있는 메커니즘이 정책적으로 적극 고려될 필요가 있다. 정책만으로 모든 것이 해결되진 않는다. 현실적으로 적용 가능한 기술과 맞닿아 있는 정책만이 현실에서 제대로 된 효과를 거둘 수 있을 것이다. 그렇다고, 모든 것을 기술 만능주의적 관점에서 접근하는 것도 경계해야 한다. 개인정보 처리방침에 천편일률적으로 적용된 P3P(Platform for Privacy Preferences)가 왜 실패했는지를 반면교사 삼을 필요도 있다. 결국은 정보주체의 관점에서 사용성 있는 usable privacy만이 성공할 수 있다는 점을 항시 염두에 두어야 한다.

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/IS_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원, KISA Report]라고 출처를 밝혀주시기 바랍니다.

   [ + ]

1. ZDNet, “Mozilla Firefox joins browsers implementing Global Privacy Control”, Oct. 30, 2021, URL: https://www.zdnet.com/article/mozilla-firefox-joins-browsers-implementing-global-privacy-control/
2. Global Privacy Control, “Global Privacy Control, Unofficial Draft 11 October 2021”, last visited on Nov. 19, 2021, URL: https://globalprivacycontrol.github.io/gpc-spec/
3. Electronic Frontier Foundation, “Do Not Track”, last visited on Nov. 10, 2021, URL: https://www.eff.org/issues/do-not-track
4. 원문은 다음과 같다. § 999.315. Requests to Opt-Out. (c) If a business collects personal information from consumers online, the business shall treat user-enabled global privacy controls, such as a browser plug-in or privacy setting, device setting, or other mechanism, that communicate or signal the consumer’s choice to opt-out of the sale of their personal information as a valid request submitted pursuant to Civil Code section 1798.120 for that browser or device, or, if known, for the consumer. (1) Any privacy control developed in accordance with these regulations shall clearly communicate or signal that a consumer intends to opt-out of the sale of personal information. (2) If a global privacy control conflicts with a consumer’s existing business-specific privacy setting or their participation in a business’s financial incentive program, the business shall respect the global privacy control but may notify the consumer of the conflict and give the consumer the choice to confirm the business-specific privacy setting or participation in the financial incentive program.
5. 이와 관련한 보다 자세한 정보는 다음 기사를 통해 확인할 수 있다. – (1) BBC News, “Data protection ‘shake-up’ takes aim at cookie pop-ups”, Aug. 26, 2021, URL: https://www.bbc.com/news/technology-58340333
(2) palqee, “ICO’s call to tackle ‘cookie fatigue’ through browser-level controls unleashes public criticism but is a serious issue”, Sep. 13, 2021, URL: https://www.palqee.com/blog/2021/ico-call-cookie-criticism/
Recent Posts
Contact Us

언제든지 편하게 연락주세요.

Not readable? Change text. captcha txt