최근 글로벌 뮤직 스트리밍 서비스인Spotify(이하 스포티파이)가 국내에 진출했다. 이전에 스포티파이가 제공하는 API로 앱을 제작해본 적이 있었는데, 국내에서 런칭한 이후 문득 궁금해서 웹사이트에 들어가 보았다.
당사 및 당사의 파트너사는 귀하에게 맞춤화된 경험을 제공하고, 귀하의 관심사를 기반으로 광고를 표시하며, 측정 및 분석 목적으로 쿠키를 사용합니다. 당사의 웹사이트와 당사의 서비스를 이용하면 당사의 쿠키 정책에 기술된 쿠키 사용에 동의하는 것으로 간주됩니다.
문득 홈페이지를 둘러보다가 쿠키 정책에 관한 배너를 보았는데, 평소에 해외 웹사이트들을 둘러보면 자주 볼 수 있는 쿠키 정책을 안내해주는 배너이다. 그런데 문득 이런 생각이 들었다. ‘해외에서는 많이 보이는 배너인데, 국내에서는 왜 쿠키 정책에 관한 배너를 보여주지 않지?’ 국내에서 서비스하는 웹 기반의 시스템들도 쿠키를 충분히 사용하고 있을 텐데 말이다.
국내에서는 굳이 쿠키를 어떻게 사용하든 간에 유저에게 동의를 받을 필요가 없어도 되는걸까? 해외에서는 왜 홈페이지를 열자마자 꼭 동의를 받는 걸까? 이를 알기 이해하기 위해서는 먼저 쿠키가 어떻게 이용되고 있는지 알 필요가 있다.
쿠키?
사실 이번 포스팅의 목적은 쿠키를 설명하기 위함이 아니기 때문에, 깊게 설명하진 않을 것이다. 이 포스팅을 읽는 사람이라면 아마 쿠키에 대한 기본 지식은 가지고 있을 거로 생각하고, 간단하게 쿠키가 어떻게 사용되기 때문에 쿠키 정책 동의를 받는지에 대해서만 설명하고자 한다.
MDN Web Docs에서는 쿠키를 다음과 같이 설명하고 있다.
HTTP 쿠키(웹 쿠키, 브라우저 쿠키)는 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각입니다. 브라우저는 그 데이터 조각들을 저장해 놓았다가, 동일한 서버에 재 요청 시 저장된 데이터를 함께 전송합니다.
세션 관리(Session management)
- 서버에 저장해야 할 로그인, 장바구니, 게임 스코어 등의 정보 관리개인화(Personalization)
- 사용자 선호, 테마 등의 세팅트래킹(Tracking)
- 사용자 행동을 기록하고 분석하는 용도
쉽게 말해, 쿠키는 사용자에 대한 정보를 저장할 수 있는 공간이다. 쿠키는 서버에 요청을 보낼 때 헤더에 포함되어 요청을 보내기 때문에, 웹이 가지고있는 `stateless`한 상황에서도 개인화를 위한 정보제공이 가능해진다. 결국 웹 기술이 나날이 고도화되면서 개인화에 대한 기술이 점점 발전하게되고, 이를 더 세밀하게 제공하기 위해서는 쿠키가 사용되고 있는 것이다.
그렇다면 왜 쿠키 정책에 관해 사용자의 동의를 받는 걸까? 개인화/트래킹에 관한 정보를 알기 위해 쿠키를 사용하는 것은 알겠는데, 굳이 쿠키 정책 동의를 받아야 하는 이유가 있을까? 이를 이해하기 위해서는 GDPR에 관한 이해가 필요하다.
GDPR(General Data Protection Regulation)
GDPR은 EU에서 개인(natural person)에 대해 ‘개인정보보호에 대한 권리’를 보호하기 위해 제정되었다. 기존에도 개인정보보호법은 존재했지만, 개인정보 삭제권, 처리제한, 이동, 반대(거부) 등을 더욱 보완하고 기업의 책임성을 더욱 강화하기 위해 재정되었다고 한다. 그렇게 2018년 5월 25일부터 실행되기 시작했고, 개인에 대한 정보를 사용하기 위해서는 꼭 개인정보 사용에 관한 동의를 받아야한다.
Processing personal data is generally prohibited, unless it is expressly allowed by law, or the data subject has consented to the processing. While being one of the more well-known legal bases for processing personal data, consent is only one of six bases mentioned in the General Data Protection Regulation (GDPR).
재미있는점은 동의를 받고자 할 때도, 서비스를 이용함에 있어서 방해가 되지 않아야한다고 정의되어 있다. (동의를 받을 때에도 사용자를 위한 UI를 만들어야한다니..)
If the data subject’s consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.
여기서 개인정보를 식별에 관한 단어를 ‘Online Identifiers for Profiling and Identification’라고 표현하고 있는데, 여기서 쿠키 또한 포함된다고 설명하고 있다.
Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags.
결국 EU의 개인정보 보호법에 의해서, 사용자 맞춤 정보 제공을 위해서는 무조건적으로 사용자의 동의를 받아야 하기 때문에 배너를 보여준다고 설명할 수 있다.
첫 번째 의문이었던 쿠키정책과 관련된 배너들이 국내에서 보기 힘든 이유는 단순히 법의 적용대상이 유럽 경제 지역(EEA)와 영국의 사람들이기 때문이다. (결국 국내에선 국내 개인정보 보호법만 지키면 되는 것이다..) 물론 한국에서 만든 서비스이지만 EEA에 서비스를 제공한다면, 무조건적으로 적용이 필요하다.
개인정보 보호를 위한 브라우저의 노력
개인정보 인식에 대한 중요성이 점점 커지면서 해당 법이 제정된 이후, 개인정보를 보호하기 위해 브라우저도 변경점이 있었다. 구글에서는 2020년 초에 구글크롬 80버전부터 ‘samesite cookie’ 정책을 시행하기 시작했다.
물론 개발자의 입장에서는 단순히 크롬 사용자를 위해 쿠키 속성만 변경해주면 되는 문제이지만, 개인정보 보호를 위해서 다양한 노력을 하고있음을 알 수 있었다.
이번 글은 단순히 쿠키정책 배너의 존재유무에 어떤 차이가 있을까 하는 단순한 궁금증이었는데, 찾다보니 다양한 분야에서 해당 문제를 바라보고 있었고, 관련된 정보들이 너무 많아서 조사하는데 꽤나 오랜 시간이 들었다 (전체적인 내용에 대해서는 정리하진 못했지만…). 검색하다보니 특히 보안적인 부분과 유저 개인화와 관련된 서비스를 개발하는 개발자들이 굉장히 고통받지 않았을까(..)하는 생각이 들었다.
또한 글을 모두 적고보니 개인정보 보호와 관련된 문제는 개발자 뿐만 아니라, 마케터들에게도 많은 도움이 되는 내용인 것 같다. 또한, 개인정보에 대해서 민감한 시기에, 비즈니스 차원에서도 개인정보 보호를 위한 많은 노력이 필요하지 않을까.
