개인정보 및 프라이버시에 대한 관심이 증폭되어 가는 가운데 2012년 2월경 두 대표적인 IT 기업인 애플(Apple)과 구글(Google)이 트랙킹 쿠키 및 인터넷 이용자의 프라이버시를 쟁점으로 한 분쟁이 있었고, 최근에 이에 대한 미국 법원의 최종적인 재판 결과가 나왔다. 이 기고에서는 이 분쟁의 경과를 살펴봄으로써 트랙킹 쿠키(tracking cookie)가 프라이버시에 미치는 영향을 검토해 보고자 한다.

애플이 제공하는 사파리(safari) 웹브라우저는 ‘제3자 쿠키 차단(no third party cookies)’ 기능을 기본적인 설정으로 하여 출시되고 있고, 특히 이용자가 이 설정을 변경하지 않는 한 이용자가 방문한 사이트에서 제공된 쿠키파일(first party cookies)이 아닌 이용자가 방문하지 아니한 제3자 사이트가 제공한 쿠키파일(third party cookies)이 이용자의 PC 등에서 발견되어서는 아니 되어야 한다.

하지만, 사파리 브라우저의 쿠키 차단 설정을 변경하지 않은 사파리 브라우저 이용자의 PC 등에서 구글의 대표적인 광고형태인 Double Click 방법(이용자의 행태를 분석함으로써 이용자의 기호에 맞는 광고를 제공하는 온라인 행태광고 방법 중 대표적인 것)에 의한 제3자 쿠키파일이 깔려 있는 게 발견되었던 것이었다. 즉 이용자가 구글이 운영하는 Double Click 사이트를 방문하지 않았음에도 불구하고 제3자인 Double Click 사이트가 제공한 트랙킹 쿠키파일(tracking cookies, 이용자의 방문기록 등을 추적하는 특수한 쿠키로서 일반적인 쿠키와 달리 검색 및 삭제가 어려움)을 발견할 수 있었다.

이러한 현상에 대하여 애플 등은 구글이 자사의 Double Clikc 광고서비스 제공을 위해 Double Click 사이트가 제3자(third party)가 아닌 것처럼 조작함으로써 애플 사파리의 프라이버시 설정을 우회하거나 유명무실하게 만들었다고 의심을 하였고, 이용자들은 구글의 프라이버시 침해 행위에 분노하면서 FTC(Federal Trade Commission)의 조사가 시작되었다. 이 분쟁을 미국 언론에서는 ‘쿠키 게이트’라고 불렀다.

수개월 동안의 FTC 조사 결과 밝혀진 바로는, 구글은 다음과 같은 2가지 방법으로 이용자가 방문하지 않은 Double Click 사이트를 제3자(third party)가 아닌 것처럼 착각하게 만들었다고 한다.

첫 번째 방법은, 이용자가 Double Click사와 제휴된 특정 사이트를 방문한 경우 이용자가 Double Click 사이트를 방문한 것처럼 처리하게 함으로서 트랙킹 파일을 설치하였다.

두 번째 방법은, 구글이 ‘document.getElementById('drt_form').submit();’이라는 자바 스크립트가 들어 있는 파일을 사파리 브라우저에 보내면, 사파리 브라우저는 이용자가 Double Click 사이트에 form을 제출한 것처럼 착각함(즉 직접적인 연결이 있는 것으로 착각함)으로써 Double Click의 트랙킹 쿠키를 이용자의 PC 등에 설치하였다. 이 방법이 특히 관심을 끌었고 큰 문제가 되었다.

FTC의 조사가 착수되고 여론이 악화되자, 2012년 8월 구글은 자신의 프라이버시 침해를 인정하고 FTC와 화해(settlement)를 하였는데, 그 내용은 “22.5백만 달러(약 240억원) 벌금을 지불하고, 사파리 브라우저 이용자 PC 등에 깔려 있는 트랙킹 쿠키를 찾아서 전부 없애기로 한다”는 것이었다. 이 벌금은 FTC 역대 최고라고 한다.

최근에는 법원에 의하여도 위 화해 내용이 승인되었다. 즉 컨슈머 워치독이라는 소비자단체는 FTC의 제재가 구글 같은 회사를 변화시키기엔 실효성이 없다고 주장하면서 좀 더 높은 수준의 제재를 법원에 요구하였지만, 미국 캘리포니아 북부지방법원의 수잔 일스톤 판사는 2012년 11월 16일, “FTC와 구글이 2개월 넘게 세부적인 합의 사항을 고심해왔으며, 벌금액수와 협의 과정 모두 공정하고 적절하며 합리적이었다”고 하여 승인힌 것이다. 이로써 쿠키 게이트는 일단락되었다고 할 수 있다.

이렇게 구글에게 큰 벌금이 내려진 이유는, 구글이 지난 2011년 10월 프라이버시 침해를 이유로 FTC으로부터 버즈 명령(Buzz decree)을 받았음에도 이를 어기고, 또 다시 사파리 브라우저 이용자의 프라이버시를 침해하였기 때문이다. 버즈 명령이란, 2010년 9월 구글의 소셜네트워킹 툴인 Google Buzz가 Gmail 사용자의 개인정보를 동의 없이 이용하고 공개하였다는 이유로 피해자들에게 850만달러를 배상하고, 2011년 10월 같은 이유로 감독청인 미국 FTC에게 개인정보의 수집목적 외 이용 금지, 이용자의 정보통제권 보장 등 광범위한 프라이버시 프로그램 운용의 이행을 약속하였는데, 이 때 작성된 것은 바로 버즈 명령이다.

이상의 경과를 보고 온라인 행태광고를 위한 트랙킹 쿠키 자체가 위법하다고 생각해서는 아니 된다. 이 사건은 구글이 트랙킹 쿠키를 기망적인 방법ㆍ우회적인 방법으로 이용자의 PC 등에 설치하고 이용자의 행태정보를 수집했다는 점이 문제였던 것이지 트랙킹 쿠키 자체를 문제삼은 것은 아니다. 미국의 경우, 트랙킹 쿠키 자체가 위법하다고 보지 않고 다만 일정한 절차만 따르면 허용된다고 보고 있다.

예컨대, 미국 FTC는 2011년 11월경, Double Click과 유사한 온라인 행태광고를 하는 ScanScout사가 트랙킹 쿠키에 의한 행태정보 수집을 은폐하였다는 것을 문제삼아, ScanScout에게 이용자의 정보가 수집ㆍ이용ㆍ공유ㆍ제공되는 방식 및 그러한 방식에 대한 이용자의 통제권을 명확하게 표현할 것, 이용자의 정보수집을 거부할 수 있는 방법(opt-out 방식)을 적용할 것, 하이퍼링크를 통해 별도의 웹 페이지로 이동하여 이용자가 정보수집을 거부할 수 있는 방법을 제공할 것 등의 절차를 마련하라고 시정조치하였다.

트랙킹 쿠키에 의한 정보수집은 기본적으로 비식별정보에 대한 수집이므로 우리나라 정보통신망법, 개인정보보호법에 의하더라도 위법하다고 단정할 수 없다. 하지만 기업의 정보수집 욕구나 빅데이터 구축 의욕은 자칫 정보주체의 비식별정보에 대한 통제권을 무시할 수 있고, 실제 그러한 예가 바로 구글의 트랙킹 쿠키, ScanScout사의 트랙킹 쿠키 사건인 것이다. 정보통신망법이나 개인정보보호법의 적용범위를 넓혀, 비식별정보에 대한 합리적인 규율과 절차 설정이 필요한 때라고 본다.

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 11. 25.), 보안뉴스(2012. 11. 27.), 로앤비(2012. 12. 5.) 기고.