시크릿(secret)은 영어로 비밀이라는 뜻입니다. 그래서 구글 크롬 브라우저에서 '시크릿' 창을 열면 자신의 신원을 숨기고 익명으로 웹을 사용할 수 있다고 생각하기 쉽습니다.

시카고 대학교의 설문조사에 따르면 많은 사람들이 공지 사항의 작은 글씨를 읽은 후에도 비공개 브라우징 모드가 제공하는 이점을 지나치게 과대평가하는 것으로 나타났습니다. 예를 들어, 응답자의 대다수는 Google 계정에 로그인하더라도 자신의 검색 기록이 Google에 기록되지 않는다고 믿었습니다. 27%는 비공개 모드가 바이러스와 멀웨어로부터 사용자를 보호한다고 잘못 알고 있었습니다.

비공개 모드에 대한 오해를 풀기 위해 가장 많이 사용되는 Chrome의 시크릿 모드에 대해 알아보겠습니다.

시크릿 모드의 작동 방식 및 사용 용도

시크릿 모드가 실제로 어떤 기능을 제공하는지부터 알아봅시다. 간단히 말해, 시크릿 모드는 같은 컴퓨터, 노트북, 휴대폰 또는 기타 기기를 사용하는 다른 사용자로부터 사용자의 온라인 활동 내역을 숨깁니다. 좀 더 기술적으로 설명하자면, 시크릿 모드를 사용하면 검색이나 인터넷 사용 기록이 기기에 로컬로 저장되지 않습니다. 따라서 노트북이나 태블릿을 함께 사용하는 사람에게 비밀로 깜짝 선물을 주고 싶을 때 매우 유용할 수 있습니다. 실제로 사람들이 시크릿 모드를 이런 용도로 사용했다면 아무런 문제가 없었을 것입니다.

하지만 이는 사실과 거리가 멉니다. 2023년 2월 영국에서 실시한 설문조사에 따르면 비공개 브라우징 또는 시크릿 모드를 사용하는 사람 2명 중 1명이 주로 사기꾼이나 범죄자로부터 개인정보를 보호하기 위해 이 모드를 사용하는 것으로 나타났습니다. 광고주 중 40%는 인터넷상에서 추적방지 목적으로 이 기능을 사용한다고 답했습니다.

Chrome의 시크릿 모드는 기본적으로 타사 쿠키(브라우저에서 방문하는 웹사이트가 아닌 다른 웹사이트가 심어 놓은 추적 코드)를 차단하지만, 인터넷 세션 중에 쿠키와 사이트 데이터를 수집하기도 합니다. 이러한 쿠키는 임시 폴더에 저장되며 적어도 모든 시크릿 창을 닫을 때까지 삭제되지 않습니다.

또한, 2020년 시크릿 모드 사용자가 Google을 상대로 제기한 소송에 따르면 Google은 "사용자의 일반 및 비공개 브라우징 데이터를 동일한 로그에 저장"한다고 주장합니다. 그런 다음 이러한 혼합 로그를 사용하여 사용자에게 맞춤 광고를 보여주며, 개별 데이터 포인트가 익명화되어 있더라도 이러한 데이터 포인트가 풀링되면 Google은 성공이 높은 확률로 사용자를 고유하게 식별할 수 있습니다.

시크릿 모드에 대해 Google이 인정한 내용

Chrome의 시크릿 모드 공지 사항에 따르면 사용자의 활동은 방문하는 웹사이트, 고용주 또는 학교, 인터넷 서비스 제공업체의 세 당사자에게 계속 공개됩니다.

즉, 방문하는 웹사이트의 분석 도구는 이 사용자가 웹사이트에서 어떤 행동을 했는지에 대한 데이터를 계속 수집할 수 있습니다. 이 데이터는 익명으로 처리되지만 어느 정도까지만 익명화됩니다.

출처: Google

시크릿 모드가 어떻게 작동하는지 보여드리기 위해 AdGuard 확장 프로그램을 사용하여 CBC 웹 사이트를 방문했습니다.

타사 쿠키는 Chrome의 시크릿 모드에서 기본적으로 차단되어 있으므로 이 테스트에서는 포함되 있지 않았습니다. 하지만 쿠키가 없어도 뒤에서 얼마나 많은 추적이 진행되고 있는지 확인할 수 있습니다. 아래 스크린샷에서 거의 모든 줄은 추적 도구가 사용자의 온라인 신원 정보를 제3자에게 보낼려고 하는 시도를 의미한다고 볼 수 있습니다.

예를 들어, 이러한 요청 중 하나는 실시간 웹사이트 분석 서비스 제공업체인 Chartbeat에 대한 것이었습니다. Chartbeat는 웹사이트가 트래픽, 사용자 참여도 및 기타 중요한 지표를 모니터링할 수 있도록 도와줍니다. 요청 URL에는 추적 픽셀(사용자 활동을 추적하는 데 사용되는 웹 페이지에 포함된 작은 이미지)과 호스트 이름, 페이지 URL, 사용자 ID, 기기 유형, 화면 해상도 등 다양한 매개변수를 데이터로 Chartbeat에게 보내도록 포함되어 있습니다.

웹사이트는 이 데이터를 사용하여 세션 중에 광고를 게재할 수 있습니다.

그리고 시크릿 모드는 회사 또는 학교 네트워크를 사용할 시 IT 부서나 학교 네트워크 관리자로부터 브라우징 활동을 숨기지 않습니다. 즉, 네트워크 관리자가 아닌 경우(예: 커피숍에서 Wi-Fi를 사용하여 웹을 검색하는 경우)에는 시크릿 모드 여부와 상관없이 온라인 활동이 공개되어 있다고 간주해야 합니다.

또한 시크릿 모드는 인터넷 서비스 제공업체(ISP)가 사용자의 IP 주소를 추적하거나 활동 감시를 막을 수 없습니다.

사이트에 로그인하면 시크릿 모드는 어떤 방식으로도 추적기로부터 사용자를 보호하지 못합니다. 구글은 성명에서 "사이트는 사용자가 페이지를 보는 사람이라는 것을 알고 사용자의 행동을 추적할 수 있게 된다"고 말했습니다. 예를 들어, 시크릿 모드에서 YouTube에 로그인하면 활동이 기록되고 이를 기반으로 추천 콘텐츠가 제공됩니다.

이보다 더 심각할 수도 있습니다

구글은 시크릿 모드에 대해 식구나 자녀로부터 검색 기록을 비공개로 유지하는 데 도움이 된다는 사실을 사용자에게 알려주지만, 알려주지 않는 내용도 있습니다. 이미 언급한 바 있는 2020년 집단 소송은 이러한 사항 중 일부를 밝히기 위한 것입니다.

시크릿 모드 창을 열면 표시되는 공지 사항을 기억하십니까? 여기에는 타사 웹사이트, 고용주, 학교가 사용자의 온라인 활동을 볼 수 있다고 언급되어 있습니다. 하지만 공지 사항에 언급되지 않은 중요한 당사자가 하나 더 있는데, 바로 Google 자체입니다.

출처: 소송

소송에 따르면 Google은 사용자가 시크릿 모드에 있을 때에도 사용자의 데이터를 추적하고 수집합니다. 원고는 Google이 다양한 방법을 사용하여 사용자의 동의 없이 검색 데이터를 가로채고 모니터링한다고 주장합니다. 소송은 이것이 어떻게 작동하는지 설명합니다: "사용자가 Google 애널리틱스, 애드 매니저 또는 이와 유사한 Google 서비스를 실행하는 웹사이트를 방문할 때마다 Google의 소프트웨어는 사용자의 브라우저에 별도의 통신을 Google에 보내도록 지시합니다. 이는 사용자가 비공개 브라우징 모드에 있을 때에도 웹사이트 개발자나 사용자 자신도 모르게 발생합니다."

시크릿 모드에 대한 착각

사실, 시크릿 모드는 보안이 없는 곳에 보안이 있는 것처럼 착각을 불러일으킵니다. 시크릿 모드의 적용 범위가 너무 좁아서 차라리 사용하지 않는 것이 더 나을 수도 있습니다. 특정 기간 동안의 검색 기록, 쿠키, 사이트 데이터를 지우고 싶다면 Chrome의 데스크톱 버전에서 추가 도구 → 인터넷 사용 기록 삭제를, 모바일 버전에서는 설정 → 개인정보 및 보안 → 인터넷 사용 기록 삭제를 선택해 삭제할 수 있습니다.

하지만 온라인에서 개인정보와 익명성을 진정으로 보호하고 싶다면 훨씬 더 나은 방법이 있습니다.

그 중 하나는 인터넷 트래픽을 암호화하고 원격 서버를 통해 라우팅하는 서비스인 VPN(가상 사설망)을 사용하는 것입니다. VPN을 이용하면 인터넷 서비스 제공업체, 웹사이트 및 제3자로부터 사용자의 IP 주소와 위치를 숨길 수 있습니다. 많은 VPN 제공 업체가 있지만, 평판이 좋고 노로그 정책과 강력한 암호화를 제공하는 업체를 선택해야 합니다. 일반적으로 VPN은 연결 속도를 크게 저하시키지 않지만, 개인정보 보호 향상을 위해 속도 감소가 나타날 수도 있습니다.

익명으로 웹을 브라우징할 수 있는 무료 소프트웨어인 토르(Tor) 브라우저를 사용하는 것도 온라인에서 비공개로 활동할 수 있는 다른 방법입니다. 토르는 사용자의 신원과 위치를 추적하기 어렵게 만드는 릴레이라고 하는 자원봉사 노드 네트워크를 통해 사용자의 트래픽을 우회하는 방식으로 작동합니다. 하지만 토르는 때때로 매우 느린 속도와 심각한 호환성 문제와 같은 몇 가지 단점들도 있습니다.

광고 차단기를 사용하면 브라우징을 비공개로 유지하는 데 큰 도움이 됩니다. 거의 모든 광고 차단기는 광고뿐만 아니라 트래커도 차단하며, 대부분의 광고가 추적 도구로 사용된다는 것은 말할 필요도 없습니다.

개인정보를 보호하고 데이터를 비공개로 유지할 수 있는 도구가 너무 많은데 굳이 시크릿 모드를 사용할 이유가 없습니다... 물론 중요한 사람을 위한 선물이 아니라면 말입니다.