‘시크릿모드 소송’ 합의한 구글, 수십억 건 데이터 삭제한다
이용자 '합리적 기대' 저버린 구글, 결국 '시크릿모드'소송에 합의 쿠키 없이도 비밀리 추적 가능, 맞춤 광고에 활용 하기도 보안 있다 착각 조장하는 시크릿모드, 차라리 사용 않는 것도 방법
1일(현지시간) 로이터통신 등에 따르면 구글은 크롬 ‘시크릿모드’에서 수십억 건에 이르는 수집된 데이터를 일괄 삭제하겠다는 합의를 이날 캘리포니아 오클랜드 연방법원에 제출하며 총 50억~78억 달러(약 6조8,000억원~10조6,000억원)로 전망되던 배상금 폭탄은 피하게 됐다. 다만 개별 이용자가 시크릿모드에서 구글이 수집한 개인정보에 대해 손해배상 소송을 제기할 여지는 남아 있다. 이미 50여 명은 개별 소송을 제기한 상태다.
소송 합의한 구글, 데이터 폐기와 함께 타사 추적 끄기로
지난 2020년 미국 내 일부 구글 이용자는 시크릿모드에서 검색 내용과 위치 정보 등 자신들의 웹 활동이 ‘부적절’하게 수집했다며 손해배상 소송을 제기했다. 당시 원고 측은 시크릿모드에선 통신 기록이 수집되지 않을 것이란 이용자의 ‘합리적 기대’를 저버리고 구글이 웹 사이트 방문자들이 주고받은 데이터 양인 웹 트래픽 평가와 광고 판매를 위해 이를 추적·수집했다고 주장하며 50억 달러(약 6조5천억원)를 배상하라고 주장했다. 반면 구글은 “새 시크릿(모드) 탭을 열 때마다 웹사이트에서 사용자의 탐색 활동에 대한 정보를 수집할 수 있다고 분명히 밝혔다”고 맞섰다.
구글은 합의서에서 이용자 데이터 폐기와 함께 시크릿모드에서도 이용자 정보가 수집된다는 점을 이용자에게 더 명확히 고지하기로 했다. 또 시크릿모드를 이용할 때 기본 설정으로 제3자 쿠키를 비활성화 하기로 했다. 즉, 타사 추적을 끄겠다는 의미다. 구글은 “항상 실익이 없다고 생각했던 이 소송을 해결하게 되어 기쁘다”라며 “원고 측은 원래 50억 달러를 청구했지만 금전적으로 아무것도 받지 못했다”고 말했다. 원고 측은 “이번 합의는 지배적인 테크 기업에 정직과 책임을 요구하는 역사적인 조치”라며 “합의를 통해 수십억 달러에 달하는 이용자 데이터를 구글이 몰래 수집하는 것을 막게 됐다”고 밝혔다.
이용자 정보가 비밀리에 넘어가고 있었던 증거들
업계 설명에 따르면 크롬의 시크릿모드는 기본적으로 타사 쿠키를 차단하지만, 인터넷 세션 중에 쿠키와 사이트 데이터를 수집하기도 한다. 이러한 쿠키는 임시 폴더에 저장되며 적어도 모든 시크릿 창을 닫을 때까지 삭제되지 않는다. 또한, 2020년 시크릿모드 사용자가 구글을 상대로 제기한 소송에 따르면 구글은 “사용자의 일반 및 비공개 브라우징 데이터를 동일한 로그에 저장”한다고 주장했다. 그런 다음 이러한 혼합 로그를 사용하여 사용자에게 맞춤 광고를 보여주며, 개별 데이터 포인트가 익명화돼 있더라도 이러한 데이터 포인트가 풀링되면 구글은 높은 확률로 사용자를 고유하게 식별할 수 있다.
크롬의 시크릿모드 공지 사항에 따르면 사용자의 활동은 방문하는 웹사이트, 고용주 또는 학교, 인터넷 서비스 제공업체의 세 당사자에게 계속 공개된다. 즉, 방문하는 웹사이트의 분석 도구는 이 사용자가 웹사이트에서 어떤 행동을 했는지에 대한 데이터를 계속 수집할 수 있는 셈이다. 이 데이터는 익명으로 처리되지만 완전한 익명화는 되지 않는다고 알려졌다.
또한 타사 쿠키는 크롬의 시크릿 모드에서 기본적으로 차단돼 있지만, 쿠키가 없어도 뒤에서 많은 추적이 진행되는 것으로 알려졌다. 이는 웹사이트가 추적한 데이터를 사용해 세션 중 광고를 게재할 수 있으며 결국 시크릿모드는 인터넷 서비스 제공업체(ISP)가 사용자의 IP 주소를 추적하거나 활동 감시 하는 것을 막을 수 없다는 것을 의미한다. 이에 구글은 성명에서 “사이트는 사용자가 페이지를 보는 사람이라는 것을 알고 사용자의 행동을 추적할 수 있게 된다”고 인정했다. 예를 들어 시크릿모드에서 유튜브에 로그인하면 활동이 기록되고 이를 기반으로 추천 콘텐츠가 제공되는 식이다.
시크릿모드, 안전하다 착각하면 더 심각
시크릿모드 창을 열면 표시되는 공지 사항엔 타사 웹사이트, 고용주, 학교가 사용자의 온라인 활동을 볼 수 있다고 언급돼 있다. 하지만 공지 사항에 구글은 언급돼 있지 않은 것으로 드러났다. 또한 시크릿모드 소송에서 드러난 바에 따르면 구글은 사용자가 시크릿모드에 있을 때도 다양한 방법을 사용해 사용자의 동의 없이 검색 데이터를 가로채고 모니터링 한다.
해당 소송에서 원고들은 “사용자가 구글 애널리틱스, 애드 매니저 또는 이와 유사한 구글 서비스를 실행하는 웹사이트를 방문할 때마다 구글의 소프트웨어는 사용자의 브라우저에 별도의 통신을 구글에 보내도록 지시한다. 이는 사용자가 시크릿모드에 있을 때도 웹사이트 개발자나 사용자 자신도 모르게 발생한다”고 주장했다. 시크릿 모드는 보안이 없는 곳에 보안이 있는 것처럼 착각을 불러일으킬 소지가 있고, 시크릿 모드의 적용 범위가 너무 좁아 차라리 사용하지 않는 것이 더 나을 수도 있다는 설명이다.