쿠키 없는 시대의 개인정보 보호: ID 브리징이란 무엇이며 이를 우회하는 방법
2020년대 초부터 우리는 감시 추적의 초석이자 타겟 광고의 핵심인 타사 쿠키가 더 이상 존재하지 않는 쿠키 없는 미래를 약속받았습니다. 타사 쿠키를 단계적으로 폐지하려는 Google의 계획이 지연되기는 했지만, 저희는 조만간 타사 쿠키가 완전히 사라지게 될 것이라는 점에 대해 의심의 여지가 없습니다.
왜 그럴까요? 전 세계, 특히 EU의 개인정보 보호 규제 당국은 퍼블리셔에게 사용자로부터 '자유로운' 동의를 얻도록 점점 더 많은 압력을 가하고 있습니다. 최근에는 '필터링되지 않은' 소셜 미디어 앱인 BeReal을 포함한 여러 회사가 동의 팝업을 통해 사용자 추적 동의 유도하는 방식에 대한 개인정보 보호 불만에 직면했습니다. 즉, 동의의 정의가 점점 더 좁아지고 있으며, 사용자와 규제 당국 모두 방해가 되는 팝업에 대한 불만이 커지고 있습니다. 사용자에게 콘텐츠 비용을 지불하거나 거의 모든 데이터 수집에 동의하는 것 중 하나를 선택하도록 하는 '유료 또는 동의' 모델도 규제 당국의 반발을 사고 있습니다. 제3자 쿠키가 아직 죽음의 문턱에 다다르지는 않았을지 모르지만, 곧 사라진 다는 점은 확실합니다.
장기적으로 퍼블리셔는 규제 당국을 만족시키고(동의를 자유롭게 받을 수 있도록 보장) 어두운 패턴을 헤매는 데 지친 사용자들에게 공정하다고 느낄 수 있는 새로운 추적 방법을 채택해야 할 가능성이 높습니다.
해시된 이메일 주소를 사용하여 추적
쿠키의 가장 유력한 대안 중 언급되는 방법 중 하나는 영구 사용자 ID를 통한 식별입니다. 이름 그대로 이 방법은 한 사용자에게 고유한 영구적이거나 오래 지속되는 특성이 하나 또는 그 조합이 있다고 가정합니다. 쿠키는 수명이 제한되어 있고, 한 브라우저에만 적용되며, 언제든지 삭제할 수 있지만(조사에 따르면 58%의 사용자가 정기적으로 쿠키를 삭제하고 40%는 매달 삭제한다고 합니다), 해시된 이메일 주소와 같은 영구 식별자에는 이러한 단점이 없습니다. 또한 쿠키와 달리 이메일 주소는 상대방이 먼저 제공하지 않으면 추적할 수 없습니다. 규제 측면에서 볼 때, 사용자의 동의를 명확히 받으므로 개인정보 관련 문제의 위험을 줄일 수 있어 광고주에게 더 안전합니다. 그렇다면 해싱이란 정확히 무엇일까요?
해싱은 사용자의 이메일 주소를 고정 길이의 문자열(해시)로 변환하는 것으로, 이론적으로는 리버스 엔지니어링이 거의 불가능해야 합니다. 기존 이메일 주소와 달리 해싱된 버전의 이메일은 특정 알고리즘과 비밀 키에 액세스할 수 없는 사람은 읽거나 이해할 수 없습니다. 따라서 이메일 주소가 일반 텍스트로 전달될 때보다 더 안전하고 비공개적입니다.
그러나 해싱은 난독화 계층을 제공하지만, 사용자 데이터를 완전히 익명화하거나 개인정보를 안전하게 보호하는 것은 아닙니다. 해싱은 여전히 여러 플랫폼에서 개인을 식별하는 데 사용할 수 있는 고유한 서명을 생성하기 때문입니다. 미국 연방거래위원회(FTC)는 2024년 성명에서 “해시는 ‘익명’이 아니며 여전히 사용자를 식별하는 데 사용될 수 있다”고 지적했듯이, 해시를 개인 정보 보호를 위한 완벽한 방법으로 간주해서는 안됩니다.
FTC는 해싱이 데이터를 읽기 어렵게 만들지만 특정 개인과 다시 연결될 가능성을 제거하지는 못한다는 점을 여러 차례 지적한 바 있습니다. 이메일 주소를 해시 처리하여 원본 데이터를 숨기더라도 결과 해시는 여전히 고유하고 영구적인 식별자입니다. 대부분의 사람들에게 해시는 무작위 문자열처럼 보일 수 있지만, 특히 동일한 해싱 방법과 데이터가 일관되게 사용되는 경우, 다른 데이터 세트와 일치하거나 앞뒤 전환될 수 있습니다. 과거에 발생한 데이터 유출 사고는 악의적인 공격자들에게 이 문제를 더 쉽게 만들어줍니다. 대규모 유출 사고에서 도난당한 수많은 데이터 세트가 온라인에 떠돌고 있기 때문에 해커는 이러한 기록을 사용하여 해시된 이메일과 배후에 있는 실제 사람을 찾아내거나 일치시켜 민감한 정보와 신원을 노출시킬 수 있습니다.
ID 브리징
사용자 추적에 해시된 이메일 주소를 사용하는 것은 “ID 브리징”에서도 중요한 역할을 할 수 있습니다. ID 브리징이란 해시된 이메일 주소와 같은 영구 식별자를 사용하여 여러 플랫폼 또는 디바이스에서 사용자의 활동을 연결하는 작업을 말합니다.
쿠키의 인기 상승은 곧 다가올 쿠키 사용 중단과 직접적인 관련이 있습니다. 현재 타사 쿠키의 운명은 오리무중이지만, 규제 압력으로 인해 쿠키의 최종 종말이 임박할 것으로 보입니다.
ID 연결에는 결정론적 매칭과 확률적 매칭의 두 가지 주요 방법이 있습니다. 확률적 매칭은 복잡한 알고리즘을 사용하여 IP 주소, 기기 유형, 브라우징 행동과 같은 신호를 분석합니다. 이 방법은 패턴을 기반으로 프로필을 연결할 수 있지만, 직접적인 식별자가 아닌 통계적 추론에 의존하기 때문에 정확도가 떨어집니다. 반면에 해시된 이메일을 기반으로 하는 결정론적 매칭은 보다 정확한 식별 방법을 제공합니다. 이 글에서는 이메일 기반 식별에 초점을 맞추고 있지만, 결정론적 매칭에는 휴대폰 번호나 주요 인구통계학적 정보와 같은 다른 데이터도 사용될 수 있습니다. 결정론적 매칭 기술은 정확도가 높기 때문에(보통 80% 이상)의 정확도) 타겟 광고에 특히 효과적입니다. 그러나 결정적 매칭은 여러 온라인 서비스에서 한 사용자의 고유 데이터를 병합하는 데 높은 효율성을 보이고 특히 사용자가 이러한 추적의 전체 범위를 인지하지 못할 가능성이 높기 때문에 개인정보 보호 문제가 제기될 수 있습니다. 개인정보 보호 관점에서 이 방법이 얼마나 윤리적이거나 허용 가능한지는 별도의 논의가 필요한 문제입니다.
결론적으로, 이 방법은 사용자가 여러 브라우저 또는 디바이스에서 로그인하는 경우 사용자의 활동을 여러 플랫폼에 걸쳐 정확하게 연결할 수 있습니다.
ID 브리징과 관련된 개인 정보 위험으로부터 자신을 보호하기
현재까지는 아니더라도 추적의 미래라고 할 수 있는 이 새로운 추적 방법을 사용하여 여러 플랫폼에서 개인정보가 연결되지 않도록 보호하는 방법에는 여러 가지가 있습니다.
-
가장 간단하면서도 동시에 시간이 많이 걸리는 방법은 이메일 계정을 쇼핑용, 소셜 미디어용, 뉴스레터용으로 사용하는 등 각기 다른 목적을 위해 별도의 이메일 계정을 만드는 것입니다. 예를 들어 받은 편지함을 개인용, 업무용, 온라인 가입용 등 세 개(또는 그 이상)로 구분할 수 있습니다.
-
하지만 더 간단하고 이미 만들어진 솔루션도 있습니다. 그 중 하나는 이메일 별칭 서비스를 사용하는 것입니다. 이메일 별칭 서비스를 사용하면 완전히 새로운 계정을 만들 필요 없이 고유한 이메일 주소를 만들 수 있습니다. 간단히 말해, 별칭은 실제 받은 편지함의 프록시 역할을 하는 전달 이메일 주소입니다. 예를 들어 각 온라인 스토어, 뉴스레터 또는 앱에 대해 별도의 별칭을 사용할 수 있습니다. 특정 뉴스레터를 더 이상 받지 않거나 별칭으로 스팸을 받기 시작하면 별칭을 쉽게 비활성화하거나 삭제할 수 있습니다. 이렇게 해도 이미 해당 별칭을 통해 수신한 이메일에는 영향을 미치지 않습니다. Addy.io, SimpleLogin은 시중에서 가장 인기 있는 별칭 서비스 제공업체 중 하나입니다.
-
또는 임시 메일 계정을 사용할 수도 있습니다. 이는 프로모션에 서명하거나 무료 평가판을 다운로드하거나 온라인 경품 행사에 참여하는 등 일회성 상호 작용에 이상적입니다. 임시 메일 서비스는 고유한 이메일 주소와 함께 임시 받은 편지함을 생성하며, 이 주소는 필요한 기간 동안만 지속됩니다. 실제 받은 편지함으로 이메일을 전달하는 별칭과 달리 임시 메일은 완전히 분리되어 있으며 개인 이메일과 연결되지 않습니다. 임시 메일의 용도가 끝날 시 해당 주소를 삭제하면 해당 주소로 전송된 모든 메일과 함께 임시 메일 받은 편지함도 삭제됩니다. 즉, 메일을 다른 곳에 저장하지 않는 한 모든 서신을 잃게 됩니다. 그러나 짧은 온라인 상호 작용을 위해 더 높은 수준의 익명성과 개인정보 보호를 보장합니다. 게릴라 메일, 10분 메일과 같은 서비스가 이러한 서비스의 예입니다.
AdGuard는 이제 새로운 AdGuard 메일 이메일 관리 도구에서 이러한 솔루션을 제공합니다. 시중의 대부분의 메일 서비스와 달리 AdGuard Mail은 이메일 별칭과 임시 이메일 주소의 기능을 결합하여 편의성과 유연성을 극대화한 원투원 솔루션입니다.
