AdGuard 다이제스트: 쿠키, 구글, 아마존, 트위터 위반 및 보증 없는 감시
Chrome은 타사 쿠키에 작별 인사를 할 수 없으며, Twitter는 침해 사고, 유럽 국가는 Google이 학교에 안전하지 않다고 간주하고, 스마트 초인종은 경찰과 데이터를 공유합니다(영장 필요 없음), 영국은 기술 회사가 전화를 스캔하기를 원하는 반면, 미국 휴대 전화 위치 데이터를 비축합니다.
네트워크 운영자, 쿠키가 없는 새로운 사용자 추적 방법 테스트
유럽의 주요 통신 제공업체인 Vodafone과 Deutsche Telekom은 잠재적으로 타사 쿠키를 대체할 수 있는 새로운 추적 도구를 테스트하고 있습니다. 이전 추적 방법은 장치에 웹사이트 인쇄물을 저장하는 데 의존하지만 TrustPid라는 새로운 도구를 사용하면 서비스 공급자가 모든 데이터를 저장할 수 있습니다. TrustPid를 통해 이동통신사는 IP 주소를 기반으로 사용자에게 '의사 익명 토큰'을 할당합니다. 제3자 쿠키의 단계적 폐지로 인해 사용자 데이터가 부족한 웹사이트 운영자가 방문자에 대해 더 알고 싶은 경우 이 식별자를 불러와서 광고를 개인화할 수 있습니다.
TrustPid는 메커니즘이 ‘개인정보 보호 친화적’이라고 주장하지만 이미 ‘슈퍼 쿠키’로 알려진 논란의 추적 코드와 비교되고 있습니다. 차단할 수 있는 일반 쿠키와 달리 '슈퍼 쿠키'는 기기에 저장되지 않기 때문에 할 수 없습니다. Verizon은 2016년 미국에서 동의 없이 사용자의 브라우저 요청에 '수퍼쿠키'를 심어 벌금을 부과했습니다. Vodafone은 TrustPid가 '슈퍼쿠키'가 아니며 GDPR을 준수한다고 말합니다.
회사는 사용자 개인 정보 보호라는 미명 하에 타사 쿠키 차단과 관련된 제한을 우회하려고 합니다. 제3자 쿠키의 종말이 임박함에 따라 기업은 사용자 데이터를 수집하는 새로운 방법을 제시함으로써 손실된 광고 수익을 만회하려고 노력하고 있습니다. 기업들은 새로운 추적 기술을 가장 먼저 채택하여 광고 시장의 한 부분을 차지하기 위해 경쟁합니다. 아이러니하게도 그들은 광고 돈을 추구하는 것을 사용자에게 이익이되는 것으로 묘사합니다.
덴마크 및 네덜란드, 학교에서 Google 서비스 사용 제한
새 학기가 다가오면서 덴마크에서는 구글 헌팅 시즌이 시작되었습니다. 덴마크 데이터 보호 기관은 학교에서 개인 데이터를 처리하기 위해 Chromebook과 Google Workspace를 사용하는 것을 금지했습니다. 금지령은 한 지방 자치 단체에 적용되지만 다른 지방 자치 단체는 이를 따르는 것이 좋습니다. 이 기관은 기술 대기업이 개인 데이터를 처리하는 방식이 유럽 데이터 보호법(GDPR)과 양립할 수 없다고 판결했습니다. 구글이 미국 등 제3국에 필요한 수준의 보안 없이 데이터를 전송할 수 있다는 점을 특히 문제 삼았습니다.
네덜란드 교육부는 학교에 Google의 Chrome 웹 브라우저와 Chrome OS를 사용할 때 데이터를 보호하기 위한 추가 조치를 취할 것을 촉구했습니다. 현재 상태에서 두 서비스는 GDPR을 준수하지 않으며 Google이 업데이트된 버전을 출시할 예정인 2023년 8월 이전에 그렇게 될 것으로 예상됩니다. 현재로서는 Chrome을 계속 사용하려는 학교는 일부 학습자에게 불편을 주는 규칙을 준수해야 합니다. 예를 들어, 학교는 웹사이트에 대한 자동 번역을 비활성화하고, 맞춤법 검사를 끄고, 광고 개인화를 끄고, 데이터가 유럽에 저장되어 있는지 확인해야 합니다. 또한 학교들은 구글의 검색 엔진 사용을 중단하고 DuckDuckGo와 같은 개인 정보 지향적인 옵션을 선택하도록 권장됩니다.
540만 개의 트위터 계정 정보 판매 예정
540만 트위터 계정의 전화번호와 이메일 주소가 포함된 데이터베이스가 3만 달러에 팔렸습니다. 이 데이터는 2021년 12월에 스크랩되었으며 이후 패치된 취약점을 통해 얻은 것으로 알려졌습니다. 데이터에는 계정 소유자에 대한 공개 정보(닉네임 및 프로필 설명)와 전화번호 및/또는 이메일 주소가 포함됩니다.
이 침해는 트위터 사용자, 특히 공인에게 큰 위협이 됩니다. 앞으로 유명인과 관련된 소셜 미디어 크립토 사기를 더 많이 볼 수 있을 것 같습니다. 또한 공격자는 사용자의 이메일을 알려진 데이터베이스와 일치시켜 정치인, 활동가, 유명인을 파헤치고 협박할 수 있습니다. 포르노 사이트나 불법 시장과 같이 의심스럽거나 금지된 콘텐츠가 있는 웹사이트를 포함하여 많은 웹사이트에 등록하기 위해 동일한 이메일을 사용하는 사람들이 특히 취약합니다. 이와 같은 위반으로 데이터가 손상되는 것을 방지하려면 SNS 전용 이메일을 사용하는 것이 좋습니다.
정교한 보안 인프라를 갖춘 대기업은 버그와 유출로부터 보호받는 것처럼 보이지만 사실은 그렇지 않습니다. 해당 대기업이 귀하의 데이터에 액세스하도록 허용할 때 이를 잊지 마십시오.
Chrome, 타사 쿠키의 단계적 폐지 지연
Google이 타사 쿠키 사용을 중지할 수 없는 것 같습니다. 회사는 적어도 2024년 하반기까지 이 사용자 감시 기술을 단계적으로 중단하지 않을 것이라고 발표했습니다.
Safari와 Firefox는 기본적으로 타사 쿠키를 차단하고 있지만 Google은 원래 Privacy Sandbox 이니셔티브의 일환으로 2022년까지 타사 쿠키에 대한 지원을 종료할 계획이었습니다. 그 기한은 처음에는 2023년으로 연기되었고 지금은 2024년으로 연기되었습니다.
올해 초 Google은 개인정보 보호 샌드박스 이니셔티브를 발표했는데, 그 목표는 개인정보 보호에 민감한 사용자의 이익과 광고주의 이익을 조화시키는 것이었습니다. 개인정보 보호 샌드박스에 따르면 타사 쿠키는 토픽이라는 기술로 대체되어야 합니다. 그러나 토픽은 Google의 광고 독점을 공고히 하여 거대 기술 기업이 여전히 개별 사용자를 식별할 수 있도록 합니다. 여기에서 샌드박스에 대해 자세히 알아볼 수 있습니다.
Google 및 Amazon, 경찰이 초인종 및 캠 데이터에 액세스하도록 허용
스마트 비디오 초인종과 가정용 보안 카메라를 판매하는 Google 소유의 Nest와 Amazon 소유의 Ring은 비상 시 사용자의 동의나 영장 없이 경찰이 개인 비디오 데이터에 액세스할 수 있도록 허용할 수 있음을 확인했습니다. Ring은 올해 지금까지 11건의 그러한 요청을 수락했으며 그 중 일부는 납치, 자해 및 살인 미수와 관련되어 있다고 밝혔습니다. Nest는 그러한 요청을 승인할 권리가 있지만 아직 승인하지 않았다고 발표했습니다.
Ring이 법 집행 기관에 사용자 데이터를 제공한 후 고객에게 알리는지는 불분명합니다. Nest는 법으로 금지되지 않는 한 긴급 요청을 사용자에게 알릴 것이라고 말했습니다.
Amazon과 Google의 조치는 경찰의 학대로 이어질 수 있습니다. 법적 감독 없이 기업은 해당 사건이 긴급 상황인지 여부를 결정할 수 있는 독점적인 권한이 부여되며 사용자는 이러한 기업에 데이터를 신뢰하기 전에 다시 한 번 생각하는 것이 좋습니다.
스마트 홈 시스템에 내장된 백도어를 통해 기술 회사는 마음대로 사용자 데이터에 액세스할 수 있습니다. 그러나 사용자는 반드시 필요한 것은 아니지만 이 기능에 대한 비용을 지불해야 합니다. 유일한 대안은 이러한 제품을 구매하지 않는 것입니다.
영국, 기술 대기업에 아동 성학대용 휴대폰 스캔 촉구
영국의 사이버 보안 책임자들은 기술 회사들이 클라이언트 측에서 휴대폰을 스캔하기 위한 소프트웨어를 구축할 것을 요구했습니다. 영국 인터넷 안전법이 통과되면 이 소프트웨어가 필요합니다. 이 법은 온라인 플랫폼이 아동 성적인 자료 및 테러에 대한 사용자 콘텐츠를 스캔하도록 요구합니다.
이 아이디어는 작년에 CSAM의 감지 기능을 도입하려는 Apple의 입찰과 유사합니다. 전문가 커뮤니티의 심한 비판에 직면하여 Apple은 종단 간 암호화를 손상시킬 수 있는 기능 구현을 연기했습니다. 올해 초 유럽 위원회는 기술 회사가 CSAM 자료에 대한 메시지를 스캔하고 메시지에서 ‘그루밍’을 감지하도록 요구하는 법률을 제안했습니다.
영국은 개인 정보 보호와 어린이 보호 사이에서 타협점을 찾고자 하지만 종단 간 암호화가 손상되면 되돌릴 수 없습니다. 유럽연합에서는 처음, 이제는 영국에서는 아동 보호를 구실로 사용자의 개인정보가 위험에 처해 있습니다. 이 조치의 실효성은 의문시되지만 사용자 개인정보의 피해는 회복할 수 없고 오래 지속됩니다.
데이터 브로커, 미국 정부에 위치 정보 판매
미국 시민 자유 연합(ACLU)이 입수한 문서에 따르면 미국 정부는 사법 감독을 피해 두 브로커로부터 전화 위치 데이터를 대량으로 구매하고 있습니다. 이민 및 국경 보안을 다루는 미국 기관은 2017년부터 2019년까지 벤텔과 바벨 스트리트에서 방대한 양의 데이터를 구입했습니다. 일례로 미국 관세국경보호청(CBP)은 3일 동안 휴대폰에서 133,654개의 위치 정보를 수집했습니다.
ACLU는 이러한 관행을 ‘스마트폰 앱에서 조용히 추출된’ 데이터에 의존하는 부당한 추적으로 보고 있습니다.
앱 개발자는 타사 SDK(소프트웨어 개발 키트)를 앱에 탑재하여 사용자의 위치를 추적할 수 있습니다. 따라서 개발자는 자체 솔루션을 찾는 데 필요한 비용과 시간을 절약할 수 있습니다. 그러나 일부 SDK는 사용자 데이터를 제3자에게 전송하여 판매할 수 있습니다. 이전에 저희는 낙태 클리닉 고객의 위치 데이터를 판매하는 SafeGraph라는 SDK 공급업체에 대해 썼습니다. 개인정보를 보호하는 한 가지 방법은 앱에 필요한 권한만 부여하는 것입니다.