추적과 개인정보 보호를 동시에 시도하며 비판은 외면하는 구글

구글이 수년간 리타겟팅 광고의 근간이자 온라인 추적의 필수 요소였던 타사 쿠키를 완전히 없애기 위해 온 것은 이미 잘 알려진 사실입니다. 다른 많은 브라우저에서는 이미 타사 쿠키를 개인정보 보호 위협으로 간주하여 차단하고 있지만, Google은 Chrome에서 타사 쿠키를 허용하고 있으며 적어도 2024년까지는 계속 허용할 예정입니다. Chrome이 경쟁사에 비해 뒤처진 이유는 구글이 광고주와 개인정보 보호에 민감한 사용자 모두를 만족시킬 수 있는 타사 쿠키의 대안을 만들고자 했기 때문입니다. 그리고 토픽 API가 바로 그 역할을 할 수 있을 것으로 기대됩니다. 하지만 안타깝게도, 예상했듯, 관심사 기반 광고를 더욱 사적으로 만드는 주요 목표에는 실패했습니다. Google의 기준이 너무 높은 것은 아닙니다. 다양한 개인정보 보호 옹호단체, 브라우저 공급업체 및 기타 업계 관계자들 또한 Google의 접근 방식에 허점을 찾았습니다.

이제 구글이 제안한 API는 또 다른 타격을 입었습니다. 월드와이드웹 컨소시엄의 특별 작업 그룹인 W3C 기술 아키텍처 그룹(TAG)은 API를 검토한 후 토픽스가 사람들의 개인정보를 보호하는 동시에 광고주의 수익 손실을 방지한다는 야심찬 목표를 달성하기에 부족했다는 결론을 내렸습니다. 그렇다면 구글의 개인정보 보호 이니셔티브의 초석인 토픽 API가 비판받는 이유가 무엇일까요?

광고와 데이터 보호: 사실이기에 너무 완벽한가요?

토픽의 핵심 아이디어는 광고주가 관심사 기반 광고로 사용자를 계속 타겟팅할 수 있도록 하는 동시에 원치 않는 추적 및 프로파일링으로부터 사용자를 보호하는 것입니다. 하지만 이 두 마리 토끼를 잡을 수는 없는 것으로 드러났습니다.

TAG에 따르면, 새로운 API는 여전히 브라우저가 사용자의 검색 기록에 대한 정보를 웹사이트와 공유할 수 있도록 허용하기 때문에 웹에서 부적절한 감시가 이루어지는 현 상황을 바꾸지는 못한다고 합니다. 또한 사용자는 해당 사이트가 자신에 대해 알 수 있는 정보를 세밀하게 제어할 수 있는 권한이 없습니다. TAG는 구글이 토픽 API를 중단하기를 원하며 더 이상 진행되지 않기를 바란다고 밝혔습니다.

이로써 TAG는 마찬가지로 인기가 없었던 FLOC에 이어 광고 타겟팅을 재창조하려는 Google의 두 번째 시도인 토픽에 반대하는 광범위한 업계 관계자 목록에 합류하게 되었습니다. 하지만 더 자세히 설명하기 전에 일이 어떻게 이 지경에 이르렀는지 다시 한 번 말씀드리겠습니다.

장기간의 이별

크로스 사이트 추적의 중추였던 타사 쿠키는 꽤 오랫동안 사용되지 않았습니다. 사용자가 방문하는 웹사이트가 브라우저에 심는 작은 데이터 덩어리인 퍼스트 파티 쿠키와 달리, 타사 쿠키는 해당 사이트에 존재하는 광고 및 추적 도메인에 의해 심어집니다. 기본적으로 광고주가 웹에서 사용자를 추적할 수 있게 해주는 기능을 합니다. 개인정보 보호에 중점을 둔 브라우저인 Brave, Safari, Firefox는 수년 동안 기본적으로 타사 쿠키를 차단해 왔습니다. 타사 쿠키를 사용하지 않는 브라우저 목록이 늘어남에 따라 구글은 2020년 1월에 2년 이내에 Chrome에서 타사 쿠키를 단계적으로 폐지하겠다고 발표했습니다. 그 후 2023년 말로 기한을 연장했다가 다시 2024년 말로 연기되었습니다.

기간이 계속해서 연기되었던 이유는 구글이 타사 추적을 차단할 시 많은 광고 지원 웹사이트의 비즈니스 모델이 훼손될 것이며 기기 지문과 같은 은밀한 추적 기술의 사용을 조장할 수 있다고 주장하며 타사 추적 차단을 원하지 않았기 때문입니다. 대신 Google은 광고주와 개인정보 보호에 관심이 있는 사용자 모두에게 적합한 쿠키를 대체할 수 있는 방법을 찾고자 했습니다. 다시 말하면, Google은 추적이 좋은 일인 것처럼 보이기를 원했습니다(실제로는 그렇지 않습니다).

좋지 않은 시작...

처음에 Google은 사이트가 개인정보를 보호하는 방식으로 사용자 행동에 대해 학습할 수 있는 FLoC(Federated Learning of Cohorts,연합 학습 코호트)라는 기술을 홍보했습니다. 지금은 사라진 기술이 어떻게 작동해야 했는지에 대해서 자세히 설명하지는 않겠습니다. 간단히 말해, FLoC가 활성화된 브라우저는 사용자 행동에 대한 정보를 수집하여 서로 다른 사용자를 공통 관심사에 따라 집단으로 그룹화할 수 있습니다. 그러면 브라우저는 웹사이트 및 광고주와 집단 ID를 공유합니다.

이 제안은 개인정보 보호 옹호자 및 브라우저에 잘 받아들여지지 않았습니다. 전자 프론티어 재단(Electronic Frontier Foundation)은 지문 인식이 너무 쉽게 풀리는 등 새로운 문제를 야기하고 검색 기록에 따른 차별을 영구화할 수 있다고 주장했습니다. 구글 크롬을 제외한 모든 주요 브라우저는 이 기술을 채택하지 않았습니다. 구글이 2021년 3월 Chrome에서 FLoC를 테스트하기 시작한 직후, AdGuard 또한 이를 차단하기 시작했습니다.

2022년 1월, 구글은 공식적으로 FloC의 서비스를 중단하고 대체품인 토픽 API를 제안했습니다.

…배드 엔딩을 만든다

토픽 API는 추적과 개인정보 보호의 결합이라는 FloC의 잘못된 점을 바로잡을 것을 약속했습니다. 그러나 이 경우에는 앞의 경우와 마찬가지로 두 가지 반대 의견이 양립할 수 없기에 이루어지지 않았습니다.

새로운 API는 여전히 FloC의 개선사항으로 볼 수 있습니다. 간단히 말해, API는 다음과 같이 작동합니다. 매주 사용자의 온라인 행동을 기반으로 사용자의 기기에서 가장 인기 있는 5개의 토픽이 식별되고, 무작위로 6번째 토픽이 추가됩니다. 토픽을 활성화한 브라우저는 집단 ID 대신 사용자가 관심 있는 세 가지 토픽(지난 3주 동안 각각 하나씩)을 사이트 및 광고주에게 공유합니다. 사이트가 사용자를 식별하지 못하도록 Google은 사이트마다 다른 주제를 수신하도록 제안했습니다. 또한 Google은 민감한 카테고리를 주제에서 제외하겠다고 약속했습니다.

이 제안은 서류상으로는 좋게 보일 수 있지만, 토픽 API와 Google의 개인정보 보호 샌드박스 전반에 대한 심층 분석에서 살펴본 바와 같이 다양한 서비스를 활용하는 대기업의 사용자 식별을 막지는 못할 것입니다. 오히려 구글의 기존 광고 독점을 더욱 공고히 할 뿐입니다.

작년 한 해 동안 많은 업계 관계자들이 구글의 제안에 반대했는데, 그중에는 파이어폭스의 제작사인 Mozilla와 애플의 웹키트도 포함되어 있습니다.

커지는 비판의 목소리

Mozilla의 마틴 톰슨은 지난달 제안된 타사 쿠키 대체에 대해 "개인정보를 의미 있게 보호하기보다는 광고주에게 정보의 유용성을 떨어뜨릴 것"이라고 주장했습니다. 톰슨은 새로운 API가 대형 업계 플레이어에 대한 강한 편견을 만들 것이라고 결론을 내렸으며, 개인정보 보호가 사용자에게 재식별 및 추적이 불가능하다는 확신을 주기에는 충분하지 않다고 지적했습니다.

Safari에서 사용되는 브라우저 엔진인 WebKit 또한 API에 반대하고 있습니다. 웹킷은 토픽 API가 사이트 간 데이터 공유 문제를 해결하지 못하며 광고 트래커와 같은 기존 플레이어에게 유리할 것이라고 지적했습니다. 또한 토픽 API는 문화, 지역, 연령에 따라 달라지고 한 번에 정의할 수 없기 때문에 민감한 관심사를 기반으로 한 타겟팅을 방지할 수 없다고 주장했습니다.

또 다른 개인정보 보호 지향 브라우저인 Brave는 토픽스 API에 대해 구글이 근본적인 개인정보 보호 문제를 해결하지 않고 FloC의 브랜드를 바꾸려는 시도라며 비판의 날을 세웠습니다. 두 시스템 모두 적극적인 허가나 동의 없이 웹 사용자의 개인정보에 대해 노골적으로 적대적인 광고주 및 조직과 사용자에 관한 정보를 공유하도록 설계되어 있습니다.

역추적을 거부하는 구글

FLoC에 대한 지나치게 부정적인 반응으로 구글은 한때 이를 폐기하고 다른 대안을 모색하기도 했습니다. 그러나 이번에는 브라우저 채택이 제한될 수 있다는 위협에도 불구하고 구글은 물러설 의사가 없다는 신호를 보냈습니다. TAG에 대한 답변에서 구글은 토픽 API를 계획대로 구현할 것이라고 밝혔습니다.

TAG에 대한 의견에 감사드리지만, 토픽이 현 상태를 유지한다는 그들의 주장에는 동의하지 않습니다. Google은 타사 쿠키에 비해 개인정보 보호가 크게 개선된 토픽에 전념하고 있으며, 다음과 같은 방향으로 나아가고 있습니다.

결론

토픽 API에 비판의 목소리가 높아지는 것에 대한 구글의 대응이 놀랍지는 않지만, 그럼에도 불구하고 실망스럽습니다. 이 거대 기술 기업은 업계의 승인 부족에도 불구하고 기술 구현에 열중하고 있는 것으로 보입니다. 이는 구글이 시장에서 다른 플레이어를 고려하지 않고 행동할 수 있는 지배적인 위치를 구축한 또 다른 예입니다.

다행히도 AdGuard 사용자에게는 이미 토픽 API를 차단했기 때문에 구글의 새로운 추적 기믹이 큰 문제가 되지 않을 것입니다.