Microsoft Word - 김승현

Similar documents
Microsoft Word - 한표지

Microsoft Word - 문필주.doc

wtu05_ÃÖÁ¾


SBR-100S User Manual

슬라이드 1

Multi Channel Analysis. Multi Channel Analytics :!! - (Ad network ) Report! -! -!. Valuepotion Multi Channel Analytics! (1) Install! (2) 3 (4 ~ 6 Page

160322_ADOP 상품 소개서_1.0

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

Microsoft Word - ICT Report

Microsoft Word - 문서10

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

<4D F736F F D20C1A4BAB8C5EBBDC5C1F8C8EFC7F9C8B8BFF8B0ED5FBDBAB8B6C6AEBDC3B4EBBAF22E727466>

[로플랫]표준상품소개서_(1.042)

내지(교사용) 4-6부

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

i4uNETWORKS_CompanyBrief_ key

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

H3250_Wi-Fi_E.book

12월1일자.hwp

10월 1일자 정책지.hwp

이제는 쓸모없는 질문들 1. 스마트폰 열기가 과연 계속될까? 2. 언제 스마트폰이 일반 휴대폰을 앞지를까? (2010년 10%, 2012년 33% 예상) 3. 삼성의 스마트폰 OS 바다는 과연 성공할 수 있을까? 지금부터 기업들이 관심 가져야 할 질문들 1. 스마트폰은

Microsoft Word - 김완석.doc

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

52 l /08

iOS5_1±³

PDF_Compass_32호-v3.pdf

스마트 TV 등장에따른유료방송사업자의대응 스마트 TV 등장에따른유료방송사업자의대응 * 1), Google TV TV, Hulu, Netflix, TV N-Screen TV,, TV, TV IPTV TV N-Screen TV, Needs TV *, (TEL)

Web Scraper in 30 Minutes 강철

마켓온_제품소개서_ key

<C7C1B8AEB9CCBEF6B8AEC6F7C6AE31342D30392E687770>

Windows Live Hotmail Custom Domains Korea

K-IFRS,. 2014,.,.. 2

<4D F736F F F696E74202D205B444D435D36BFF95FB5F0C1F6C5D0B9CCB5F0BEEE20B5BFC7E220BAB8B0EDBCAD5F C5EBC7D5BABB29>

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

?

IP IP ICT

**09콘텐츠산업백서_1 2

±èÇö¿í Ãâ·Â

월간 SW 산업동향 ( ~ ) Ⅰ. Summary 1 Ⅱ SW 5 2. SW 7 Ⅲ Ⅳ. SW SW Ⅴ : Big Data, 38

45호_N스크린 추진과정과 주체별 서비스 전략 분석.hwp

MobileIron_brochure_2015_6P카탈로그출력

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

1701_ADOP-소개서_3.3.key

사용하기 전에 2

미디어/통신서비스 Summary 유료방송은 미디어와 통신서비스의 하이브리드 산업 유료방송은 미디어 산업의 밸류체인에서 방송 서비스 제공과 콘텐츠 유통을 책임지는 역할을 한다. 통신서비스와 유사한 월간 구독료(월정액) 과금 모델을 갖고 있어 꾸준한 현금흐름을 기록한다.

<332EC0E5B3B2B0E62E687770>

[Brochure] KOR_TunA

2

Data Industry White Paper

CMS-내지(서진이)

SIGIL 완벽입문

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차

서현수

Output file

미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은 현재 새로운 혁신적 인터넷, 곧 미래인터넷으로 진화하는 길목에 있다. 창조와 창업 정신으로 무장하여 미래인터넷 실현에 범국가적으로 매진하는 것이 창조경제 구현의 지름

삼국통일시나리오.indd

Microsoft PowerPoint - XP Style

B2B 매뉴얼

2010 년 10 월넷째주 ( ) 1. IT와타산업융합위한민관노력강화 2. 한국, IT산업분야국제표준제안건수세계 1위달성 3. 한국, 3년연속세계브로드밴드경쟁력 1위기록 4. 삼성SDS, 2011년 IT메가트렌드선정 'Smart' 와 'Social' 이핵심

CC hwp

이베이를 활용한 B2C 마케팅_한국무역

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

[한반도]한국의 ICT 현주소(송부)

처음에 읽어 주십시오! 본 사용설명서의 내용은 예고 없이 변경할 수 있습니다. 본 사용설명서의 내용은 제조 공정의 각 과정에서 확인했습니다. 문제점이나 잘못된 점 이 있으면 개의치 마시고 당사로 연락해 주십시오. 본 사용설명서의 내용을 복제하는 것은 일부 또는 전부에

Windows 8에서 BioStar 1 설치하기

5th-KOR-SANGFOR NGAF(CC)

ICT03_UX Guide DIP 1605

Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

가가 (MILK) (MILK) 게 게 동 게 가 원 게 게 가가 가가 라 가가 라 로 빠르게 로 빠르게 동 검색가 원 가르로 원 르로 검색 가가 게 르 가가 르 라 라 가 원 동 동 가 게 게 (Papergarden) (Papergarden) 검색 검색 2 2 바깥 원

Microsoft Word - 조병호

원거리 무역을 시행하는 데 성공했다. 영국은 이들 국가에 비해 상대 적으로 후발 주자였다. 문화적인 우월함으로 따진다면 당시 유럽 문 명의 중심이었던 프랑스에 앞서지 못했다. 영국의 귀족들도 상류 사 회의 교류를 위해서는 프랑스어를 사용할 정도였다. 그런데도 왜 우 울

2월16일.hwp

슬라이드 1

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D39C8A35F B3E C0AFB8C1B1E2BCFA20B5BFC7E2>

12-06.hwp

암호내지

04 08 Industry Insight Mobile Policy Trend Mobile Focus Global Trend In-Depth Future Trend Products Trend Hot Company

2009방송통신산업동향.hwp

슬라이드 1

src.hwp

<C1F6B9E6BCBCC6F7B7B32DB3BBC1F62D37BFF92D322E687770>

2011 <C560><B274><C5BC><B9AC><D3EC><D2B8> <CD5C><C885>.pdf

Microsoft PowerPoint - ZYNQITTSIYUL.pptx

스마트폰 도입에 따른 국내 통신시장 환경의 변화 음성중심에서 데이터 중심으로 변화하고 있으며 데이 터 매출 비중도 08년 20.2% 13년 24.7%로 꾸준히 증 가할 전망이다. 또한, 데이터 활성화로 스마트폰 콘텐츠 장터(앱스토 어) 시장도 크게 성장할 것으로 예상된

PowerPoint 프레젠테이션

우리 스몰캡 이슈 1. IT 패러다임 변화는 소프트웨어가 주도 IT경쟁력은 HW SW 전 세계 IT회사 시가총액 상위 5위 중 3개가 소프트웨어 회사이며, 나머지 하드웨어 회사 조차도 소프트웨어 역량을 육성하는데 집중하고 있는 상황이다. 하드웨어의 차별성은 계속 떨어지

¾ç¼ºÄÀ-2

LG Business Insight 1409

<4D F736F F D B1E2C8B9BDC3B8AEC1EE2DB9DAB5BFB1D4>

스마트폰 애플리케이션 시장 동향 및 전망 그림 1. 스마트폰 플랫폼 빅6 스마트폰들이 출시되기 시작하여 현재는 팜의 웹OS를 탑재한 스마트폰을 제외하고는 모두 국내 시장에도 출 시된 상황이다. 이들 스마트폰 플랫폼이 처해있는 상황 과 애플리케이션 시장에 대해 살펴보자.

untitled

<5B4E DBDBAB8B6C6AEC4DCC5D9C3F720BFF9B0A3B5BFC7E2BAB8B0ED5F35C8A32838BFF9292E687770>

ESET Mobile Security for Android

Transcription:

포커스 포커스 사용자 동의없는 개인정보 수집기술 동향 김승현* 진승헌** 사용자 동의를 받지 않은 개인정보 수집기술이 남용되고 있다. 개인정보 수집업체, 검색엔진 등은 웹브라우징, 스마트폰, 플랫폼 사용 과정에서 개인정보를 수집하여 인터넷 광고, 기업 서 비스에 판매함으로써 수익을 창출한다. 하지만 최근 들어 프라이버시 침해와 관련하여 국내외적 으로 개인정보 수집기술의 문제를 인식하고 대응하는 분위기이다. 이에 따라 본 고에서는 8개의 개인정보 수집기술을 선정하고 3개 항목으로 나누어 설명한다. I. 서 론 Ⅰ. 서 론 Ⅱ. 개인정보 수집기술 Ⅲ. 결론 및 향후 방향 * ETRI 인증기술연구팀/선임연구원 ** ETRI 인증기술연구팀/팀장 우리가 매일 인터넷에서 보는 광고는 인터넷 기업들의 거의 유일한 수익모델이 다. 2011 년 상반기의 미국 인터넷 광고 시장은 149 억 달러 규모로 2011 년에 비 해 23% 성장한 수치이며[1], 특히 Google 은 96%, Facebook 은 90%의 수익이 광 고로부터 나온다. 광고주뿐만 아니라, 인터넷 서비스 제 공자들은 고객 정보를 넘어서 개인의 다양 한 성향 정보를 서비스에 반영하려고 한다. 하지만 포커스 그룹이나 온라인 여론조사 등의 합법적인 방법보다는, 사용자 동의 없이 수집 가능한 비합법적 기술이 업계의 정보통신산업진흥원 1

주간기술동향 2012. 5. 2. 많은 주목을 받고 있다. 미국 실리콘밸리의 경우 2007 년부터 356 개의 온라인 광고 벤처 에게 47 억 달러(한화 5 조 원) 규모의 투자가 이루어졌으며, 이는 고도의 타깃팅된 광고 방식에 대한 수요를 보여준다[2]. 2010 년, 미국의 방문자 순위 50 위까지의 사이트에서 64 개의 추적 기술과 3,180 개 파일이 설치되어 충격을 가져왔으며[3], 월스트리트저널은 기획보도[4]로 이 문제를 공론화시켜 기업과 정부의 변화를 이끌어냈다. 본 고에서는 개인의 동의를 받지 않은 채 개인정보를 수집할 수 있는 기술들을 소개한 다. 대표적인 8 개의 개인정보 수집기술을 3 가지 기준(스마트폰을 사용할 때, 특정 플랫폼 서비스를 이용할 때, 네트워크를 사용할 때)으로 분류해 보았다. II. 개인정보 수집기술 1. 개인정보 (그림 1)은 개인정보가 생성되는 시점부터 소비까지의 흐름을 보인다. 개인정보는 다 양한 장치(모바일, PC, 센서)와 소프트웨어(운영체제, 애플리케이션)로부터 생성되며, 서비 스 제공자로부터 서비스를 제공받을 때 수집/축적된다. 수집된 개인정보는 다양한 목적으 <자료>: Bain & Company (그림 1) 개인정보의 종류 및 생명 주기 2 www.nipa.kr

포커스 로 활용되며, 최종 사용자/정부 공공기관/기업에서 소비된다[5]. (그림 1)에서 주목할 부분은 개인정보를 수집하는 인터넷 추적 회사 와 인터넷 검색 엔진, 모바일 서비스/인터넷 서비스 제공자 이다. 이들은 서비스/인프라 플랫폼을 기반으 로 명시적인 사용자 동의 없이 개인정보를 수집할 수 있으며, 광고 판매와 같은 서비스에 임의로 활용할 수 있기 때문에 주의가 요구된다. 2. Smartphone 스마트폰에 설치되는 OS/애플리케이션들은 현실적으로 사용자가 일일이 관리하기 어 렵다. 설치 시점에 사용자는 애플리케이션의 제작자 정보와 구동 시 요구하는 권한 목록 을 확인하고, 설치 여부를 결정할 수 있다. 하지만 사용자가 허용한 권한 목록이 어떻게 활용되는지는 알 수 없고, 구동 과정에서 사용되는 권한 내역을 실시간으로 확인하고 제 어할 수 없다. 가령, 편리하게 SMS 를 전송할 수 있는 애플리케이션일지라도, 실제로 스 마트폰에 저장된 연락처 정보 또는 전송된 SMS 를 사용자 모르게 해커에게 노출하는지 여부를 확인하기 어렵다. 가. 캐리어 IQ 가장 대표적인 애플리케이션의 개인정보 침해 사례로 캐리어 IQ(Carrier IQ)를 들 수 있다. 캐리어 IQ 는 미국 캘리포니아에 위치한 업체로 통신사와 휴대폰 제조업체들에게 정확한 실시간 데이터 를 제공한다. 캐리어 IQ 소프트웨어는 전세계 1 억 4,000 만 휴대폰 에 탑재되어 있다. 2011 년 11 월 한 연구원이 캐리어 IQ 가 사용자의 위치, 폰을 누르는 키보드, 실행하는 애플리케이션 등과 같은 데이터를 수집하는데 사용될 수 있다는 것을 보여준 보고서를 게재하였다[6]. (그림 2)는 캐리어 IQ 의 동작 흐름을 보인다[7]. Apple, AT&T, Sprint, HTC, 삼성 그리고 T-Mobile, Verizon 은 그들의 폰 몇 종류에 캐리어 IQ 를 사용한다고 밝혀졌다. 루트 권한을 갖고 있지 않는 이상 안드로이드 폰에 있는 이 소프트웨어는 제거할 수 없으며, Apple 의 ios5 인 경우 애플리케이션 셋팅에서 진단 및 사용 을 중지해야지만 캐 리어 IQ 를 멈출 수 있다. 캐리어 IQ 의 모바일폰 추적 소프트웨어에 대한 대중들의 격렬한 반응이 계속되자, 미국 하원의원이 연방거래위원회(FTC)에 그 업체에 대한 수사를 요구 정보통신산업진흥원 3

주간기술동향 2012. 5. 2. (그림 2) 캐리어 IQ 의 활용 흐름도( 左 ), 캐리어 IQ 검출용 애플리케이션( 右 ) 했으며, 이 업체는 현재 적어도 2 개의 집단 소송에 직면해 있다. 국내에서도 삼성전자 갤 럭시 S 에 탑재된 거울 애플리케이션이 과도한 권한을 보유하고 있어, 한국판 캐리어 IQ 가 아니냐는 논란에 휘말리기도 했다[8]. 나. 권한 문제 2011 년 11 월, ios 의 일부 애플리케이션이 주소록, 사진, 동영상 정보를 쉽게 탈취할 수 있다는 의혹이 제기되었다. 2012 년 2 월 NYTIMES 는 일부 애플리케이션이 위치정보 권한을 확보한 상태에서 사용자 몰래 주소록, 사진 전부를 빼내는 것을 시연하였다. 이 문 제는 ios4 가 출시된 2010 년 이후에 발생했으며, 사진/동영상에 위치정보가 결합될 수 있기 때문에 발생한 취약점으로 보인다[9]. 2012 년 2 월 안드로이드 애플리케이션에서도 동일한 문제가 발견되었다. 어떤 애플리케이션이든지 사용자의 사진 정보를 열람할 수 있 으며, 인터넷 접속권한이 있으면 이를 외부로 쉽게 유출할 수 있다. 이는 안드로이드 OS 가 사진을 SD 카드에 저장했고, SD 카드는 모든 애플리케이션에서 접근할 수 있기 때문 에 발생한 문제이다[10]. 2012 년 3 월 Facebook/Apple/Twitter 등을 포함하여 총 18 개 업체가 개인정보를 침해한 모바일 앱을 배포한 혐의로 고발되었다. 소유자 동의 없이 불법으로 업로드 내용 과 주소록 정보를 수집했다는 내용으로 업체들은 우발적으로 수집된 서비스 목적의 정보 4 www.nipa.kr

포커스 에 불과하다고 해명하였다[35]. 안랩은 최근 보고서를 통해 안드로이드 기반 악성코드가 1 년간 200 배 증가했다고 밝 혔다. 또한 10 대 안드로이드 악성 코드 중에서 개인정보를 불법 수집하는 스파이웨어 기 니미니(Android-Spyware/Geimini), 안드로이드 트로이잔 라이트디디(Android-Trojan/ LightDD) 를 소개하였다. 안드로이드 기반 악성코드의 특징은 정상 앱의 성격을 넘어 과 도한 권한을 요구하는 경우가 많으므로, 설치 시 개인정보 접근권한/SMS 발송권한/위치정 보/SD 카드 권한/전화기 정보/시스템 파일 권한 등을 요구할 경우 설치를 중단하는 것을 권고했다[36]. 다. 휴대폰 ID 각 휴대폰마다 유일하게 식별할 수 있는 ID 가 존재한다. IMEI(International Mobile Equipment Identity)는 일반 휴 대폰에 할당된 15 바이트 크기의 문자열 이고, UDID(Unique Device Identifier) 는 애플 디바이스에 할당된 40 바이트의 문자열이다. 일부 애플리케이션은 휴대 폰 ID 를 이용하여 별도의 가입 절차 없 이도 사용자를 식별하여 서비스를 제공 한다. (그림 3)은 휴대폰 ID 를 획득할 수 (그림 3) 휴대폰 ID 를 획득하는 안드로이드 권한 있는 안드로이드의 권한 목록을 보인다. 이 휴대폰 ID 를 제 3 자에게 제공할 경우 주민번호와 같은 유일식별자 역할을 할 수 있다. 이 때문에 2010 년에는 국내외적으로 휴대폰 ID 를 사용자 동의없이 획득하는 애플 리케이션에 대한 문제가 제기된 바 있다. 국내에는 약 50 여개의 애플리케이션이 무단으 로 휴대폰 ID 를 수집하여 프라이버시 문제가 공론화 되었으며[11], 해외에서는 Pandora 라는 유명한 음악 애플리케이션에서 성별, 나이, 위치, 휴대폰 ID 를 수집하여 광고 업체에 판매한 사례가 있다[12]. 정보통신산업진흥원 5

주간기술동향 2012. 5. 2. 3. Platform 가. 광고 서버 Cookie 는 특정 서버에 국한되어 동작하기 때문에 사용자의 전체적인 온라인 활동 내 역이 노출되기 어렵다. 하지만 광고 서버의 경우, 사용자가 방문한 웹사이트에 광고가 설 치되어 있다면 광고 서버 또한 사용자의 활동을 수집할 수 있다. 광고 서버는 사용자가 어 느 웹사이트의 어떤 페이지에서 광고를 요구하는지를 알 수 있다. 이에 따라 시간대별로 사 용자의 행동과 관심사 등의 정보를 획득할 수 있다. 만일 사용자가 특정 광고 서버의 광고 가 설치된 웹사이트만 방문한다면, 사용자의 전체적인 온라인 활동 내역이 노출되는 것이다. 웹사이트 뿐만 아니라, 스마트폰의 애플리케이션을 사용할 경우에도 광고 서버에게 정 보가 축적된다. 대부분의 스마트폰 애플리케이션은 무료로 제공되며, 대신 구동 중에 화면 에 띄워지는 광고의 수익으로 이익을 창출한다. 광고는 사용자가 실행하는 애플리케이션 의 이름, 종류, 시간 그리고 휴대폰 ID 와 같은 식별정보를 광고 서버에게 전달하여 타깃팅된 다. 실제로 광고 서버들은 사용자의 개인정보를 활용한 타깃팅을 지양한다고 공식적으로 발표하지만, 언제든지 관련 정보를 수집할 수 있는 능력을 보유하고 있어 주의가 필요하다. 대표적인 광고 서버로는 Overture, Google 사의 AdSense/AdMob/DoubleClick, 퓨처스 트림네트웍스사의 Cauly, Daum 사의 Ad@m 이 있다. 나. Google Google 은 Alexa 가 선정한 세계 1 위의 트래픽 순위를 가진 사이트이다. Google 사는 검색, 메일(Gmail), 문서(Google Docs), 사진(Picasa), 동영상(Youtube), 지도(Google Maps), 일정(Calendar), 브라우저(Chrome), 모바일(Android) 등 사용자의 라이프스타일과 결합 하여 관심사항을 가장 잘 획득할 수 있는 플랫폼을 확보하고 있다. 또한 Google 은 Analytics 서비스를 통해 웹사이트의 사용자 행동을 추적할 수 있는 분석 툴을 제공한다. 미국의 트래픽 순위 상위 50 개 중 45 개에 Google 의 추적코드가 탑재되어 있다[13]. 2010 년의 실적보고서에 따르면, Google 은 수익의 96%를 광고에서 얻고 있다[14]. Google 은 빅브라더가 될 수 있는 위치에 있다. 이 때문에 주위의 많은 경계를 받고 있으며, 내부적으로도 악해지지 말자(Don t Be Evil) 라는 모토로 비즈니스를 추구하고 있 다. 광고 또한 개인을 타깃팅하기 보다는 단순한 검색 내용이나 메일 내용에 기반한 문맥 6 www.nipa.kr

포커스 (Contextual) 광고만 수행한다고 주장한다. 하지만 최근 들어 Google 은 갈수록 치열해지 고 있는 업계에서 주도권을 유지하기 위해 이전과는 다른 전략을 추구하고 있다. 2008 년 DoubleClick 사를 인수하여 Cookie 를 이용한 행동기반(Behavioral) 광고를 시작하였다. 비록 종교/성적취향/건강/금융 등 민감한 정보를 연결시키지는 않았지만, 이전의 Google 검색 기록이나 애플리케이션 다운로드 내역, 웹사이트 방문 내역을 활용하여 타깃팅을 수 행한다. 사용자는 관심기반 온라인 광고 설정 페이지[15]를 방문하여 Google 이 사용자 에게 할당한 카테고리, 인구통계, 쿠키를 확인하고 제어할 수 있다. 또한 2008 년 월스트리트저널에 의해 공개된 Google 의 비밀문건에 따르면, Google 은 자사가 보유한 정보를 교환/판매할 수 있는 플랫폼을 구축하여 개인들이 이를 직접 구 매자에게 판매할 수 있도록 하겠다는 내용을 담고 있다[13]. 이미 스트리트뷰 서비스를 준비하면서 공개된 WIFI 정보와 로그인 ID/패스워드, 이메일 등의 사생활 정보를 수집하 여 개인정보를 침해한 혐의로 각국의 수사를 받았으며, 2011 년 3 월에는 미연방거래위원 회(FTC)가 Google 을 20 년 동안 개인정보 관련 감사 대상 기업으로 지정한 바 있다[16]. 2012 년 6 월 1 일부터 Google 은 Screenwise 프로젝트를 시행한다. Chrome 브라우 저 사용자들의 사이트 방문 기록과 인터넷 이용내역과 관련된 개인 정보를 수집하며, 이 에 동의한 사용자들에게는 3 개월마다 최대 25 달러의 상품권을 준다. 크롬 브라우저의 확 장(extension) 기능을 설치하면 인터넷 검색 활동에 대한 개인식별 정보가 수집되며, 이 정보는 사용자 단말에 설치된 Google 의 DoubleClick 을 비롯한 여러 쿠키 정보와 결합 되어 활용된다[17]. 또한 Google 은 2012 년 3 월 1 일자로 프라이버시 정책을 변경하였으며, 이는 자사의 60 여개 서비스에 산재된 개인정보를 통합하여 개인화된 서비스를 제공하려는 의도이다. 사용자 정보와 평소의 검색 패턴을 감안하여 검색의 맥락을 이해하고 결과를 제시하는 검 색이나 (그림 4)와 같이 Google 캘린더의 정보, 지역 교통 데이터, 현재 위치, 지역 날씨 정보, 스마트폰의 위치 정보 등을 통합 사용하는 시나리오가 가능해졌다[18]. 하지만 Google 의 새 프라이버시 정책과 관련하여 전세계 국가들은 자국의 개인정보 보호법을 침해했다는 이유로 반발하고 있다. 국내의 경우, 방송통신위원회는 우리나라 정 보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따라 서비스 제공자는 이용자 개인정보를 이용하려고 수집할 때 이용자 동의를 받아야 하고, 서비스 제공자는 정보통신산업진흥원 7

주간기술동향 2012. 5. 2. 구글의 새로운 프라이버시 통합 정책 개념 1 지메일: Jersey 로 여행 가자는 2 구글맵: Jersey 위치 검색 친구의 메일 3 캘린티: Jersey 로 여행 가는 일정 4 구글닥스: 친구들과 여행일정표 5 구글 검색: 프랑스 Jersey 에 관한 등록 문서 공유 검색 결과(TV 프로그램 Jersey Shore 나 젖소 Jersey 를 결과로 <자료>: CBS, 2012. 1. NIPA 정리 보여주지 않음 (그림 4) Google 의 새로운 프라이버시 통합 정책에 따른 개인화 검색 이용자에게서 최소한의 정보 를 수집해야 하며, 그 외 개인정보를 제공하지 않는다고 해 서 해당 서비스 제공을 거부하면 안 된다는 지침을 보였다[19]. 미국의 경우 2012 년 2 월 미전자사생활정보센터(EPIC)가 미연방거래위원회(FTC)에 Google 의 사생활 통합관리 정책 변경을 막아달라고 고소하였다. EPIC 는 소장에서 Google 의 사생활 보호정책 보호 관행의 변경은 광고사업자들이 이전에는 접근할 수 없었던 개인정보에 접근할 수 있도록 할 것 이라는 우려를 표명하였다[20]. 다. Facebook Facebook 은 Alexa 가 선정한 세계 2 위의 트래픽 순위를 가진 사이트로, 2004 년에 설립되어 2011 년 12 월 기준 전세계 8 억 명 이상의 액티브 사용자가 활동 중인 전 세계 최대의 소셜 네트워크 서비스이다[21]. Facebook 은 사용자 개인정보를 이용한 타깃팅 된 광고를 수행하고 있으며, 이는 자사의 가장 큰 수익모델이다. 리서치업체 E 마케터는 Facebook 의 수익이 2011 년 42 억 7,000 만 달러에서 2013 년 69 억 달러로 상승할 것 이며, 2012 년 수익 90% 정도가 광고를 통해 창출될 것이라고 예측하였다. 경쟁사인 Google 과 Yahoo 에 비해 디스플레이 광고 분야에서는 3 배 이상의 점유율을 보인다[22]. Facebook 은 사용자의 프라이버시를 충분히 보호하지 않아서 여러 가지 문제를 일으 8 www.nipa.kr

포커스 키고 있다. 스폰서 스토리(Sponsored Stories) 라는 Facebook 의 광고 서비스는 사용자 가 Facebook 에 개설된 특정 식당이나 상점의 사이트를 방문할 경우, 그 사용자의 프로 파일 페이지에 특정 상점이나 레스토랑 사이트를 방문한 사실을 자동적으로 알려 주도록 설계되어 있다. 나아가 광고주가 원할 경우에는 해당 식당과 상점의 광고물을 사용자의 프로파일 페이지에 게시할 수도 있다. 친구관계를 맺은 사람들에게도 해당 식당이나 상점 의 광고물이 전달되고 있어 사용자의 동의 없이 광고가 노출된다. Facebook 은 광고 페이 지에서 특정지역에 사는 사람들이나 특정 연령대의 사람들 그리고 특정 분야에 대해 관심 이 많은 사람들만을 대상으로 한 맞춤 광고 서비스를 제공한다며 광고주를 유인한다[23]. 또한 Facebook 은 복잡한 프라이버시 설정으로 많은 개인과 시민 단체의 항의를 받고 있으며, 2009 년 12 월 이용자들의 이름, 사진, 위치, 성별, 친구목록 등의 프로필 정보들 이 자동적으로 공개되도록 개인정보 설정정책을 변경하여 개인정보가 노출되고 임의로 광 고에 활용되는 문제가 발생한 바 있다. 이에 따라 2011 년 11 월 Facebook 의 창업주인 Mark Zuckerberg 는 공식 블로그를 통해 사과 글을 올렸다[24]. FTC 와의 합의에 따라 Facebook 은 앞으로 개인 정보 설정을 변경할 때 사용자의 동의를 얻어야 하며, 20 년간 독립적인 감사를 받게 되었다[25]. Facebook 앱을 이용한 개인정보 노출 또한 우려된다. 스마트폰용 페이스북 앱은 사용 자의 SMS 는 물론 위치나 스마트폰에 저장된 연락처, 브라우저 히스토리 등 이용자 개인 정보에 접근할 수 있으며, 때로는 이를 광고회사 등 제 3 자와도 공유한다. 페이스북 측은 이와 관련 사용자의 문자메시지를 읽고 있는 것이 아니라 이동통신사의 요금 결제 등 모 바일에서의 SMS 기능을 위해 사용자에게 이 같은 이용약관에 대한 허가를 받고 SMS 읽 기/쓰기 기능을 테스트 중 이라며 많은 커뮤니케이션 앱들이 이 같이 하고 있다 고 해명 하였다[26]. RapLeaf 사는 개인화 서비스를 제공하는 애플리케이션을 Facebook 에 등록한 뒤, 확 보된 Facebook 사용자들의 ID 를 마케팅/데이터 회사에 판매한 이유로 삭제되었다. Facebook ID 를 통해 사용자의 이름과 공개 정보를 획득하고, 친구 관계, 대화 내용, 쇼핑 이력 같은 온라인 활동을 추적하여 프로파일링이 가능하다[27]. Facebook 은 또한 소셜 위젯(Social Widget) 이라는 기능을 통해 사용자의 온라인 활 동을 추적할 수 있다. 소셜 위젯은 Facebook 이 아닌 웹사이트의 내용에 좋아요 또는 정보통신산업진흥원 9

주간기술동향 2012. 5. 2. 게시 를 쉽게 퍼갈 수 있는 기능이다. 소셜 위젯을 이용하여 1 개월 내에 Facebook 에 1 번 이상 로그인한 사용자는 추적이 가능하다. 브라우저를 닫거나 컴퓨터를 끄더라도, 사용 자가 Facebook 에서 제대로 된 로그아웃 과정을 밟지 않은 이상 위젯은 계속해서 웹브라 우징 데이터를 수집한다. 방문순위 상위권 1,000 개의 사이트 중 331 개의 사이트가 추적 가능하다. 더욱이 일부 Facebook 위젯은 Facebook 홈페이지에 한번도 방문한 적 없는 사용자의 웹브라우징 데이터를 수집하였으며, Facebook 측은 일부 쿠키 파일에 문제가 발생해 트래킹이 이뤄졌다"고 인정한 바 있다[28] 4. Network 가. 유무선 네트워크 제공자 사용자의 모든 온라인 활동은 유무선 네트워크를 경유하여 이루어진다. 네트워크 제공 자는 인터넷 서비스 제공사업자(Internet Service Provider: ISP)와 이동통신 사업자 (Mobile Network Operator: MNO)로 구분되며, 네트워크를 안정적으로 관리하여 수익을 창출한다. 최근 들어 네트워크 제공자가 서비스를 다양화하여 수익을 개선하려는 시도를 보이는데, 그 중의 하나로 사용자의 온라인 활동 내역을 수집하여 판매하는 경우가 있다. 실제 국내 이동통신사들은 무선 데이터 감청 기술인 딥패킷인스펙션 (Deep Packet Inspection: DPI)을 도입하여 트래픽 감소를 위한 용도로 쓰고 있다[29]. DPI 는 데이터의 정보 단위인 패킷 을 분석하여 트래픽을 관리ㆍ통제할 수 있는 기술이지만, 사용자의 데 이터 사용 내역을 엿볼 수 있어 사생활 침해 문제가 제기되었다. 단순한 웹브라우징 뿐만 아니라 모든 온라인 활동을 모니터링 할 수 있다는 점에서 여타 기술보다 강력하다. 또한 사용자는 모니터링 여부를 확인하기 어렵다. 미국의 개인화 서비스/광고 기업인 Phorm 사는 사용자 관심사를 반영한 웹 콘텐츠와 광고 최적화 기술을 제공한다. 이 업체는 사용자의 관심사항을 추출하기 위해 DPI 기술을 사용하며, ISP 와 광고 수익을 배분하는 비즈니스 모델을 채택하였다. Phome 사는 미국, 영국, 브라질에 DPI 기술의 적용을 타진한 바 있다. 2008 년 영국의 최대 ISP 인 British Telecom 은 Phorm 사의 서비스를 제공하기로 결정하자마자 프라이버시 단체와 정부 기 관으로부터의 반발을 받았으며, 결국 이사회 일부가 사임한 바 있다[30]. 한국에서도 2009 년 KT 와 협력하여 쿡스마트웹 이라는 시범 서비스를 운영하였으나, 시민단체의 반 10 www.nipa.kr

포커스 발로 인해 더 이상 공개적으로 진행되지 못했다[31]. 나. CDN CDN 은 콘텐츠 전송 네트워크(Content Delivery Network)의 약자로, 일종의 캐시 역 할을 할 수 있도록 전체 네트워크 상에 동일한 콘텐츠 내용을 복제하여 대규모 인트라넷 또는 인터넷상에 분산시켜 놓은 시스템을 말한다. 일반 인터넷 구조에서 콘텐츠는 서비스 제공자의 서버에서 사용자까지 복잡한 경로를 거쳐 전달되나, CDN 서비스는 사용자로부 터 가장 가까운 지점에서 콘텐츠를 전송하기 때문에 대용량 콘텐츠나 사용자가 일시에 폭 증하는 경우에도 빠르고 안정적인 서비스가 가능하다. 또한 특정 ISP 의 장애 시에도 타 ISP 에 설치된 CDN 서버를 통해 서비스가 가능하기 때문에 중단 없는 서비스가 가능하다. 대표적인 CDN 은 1999 년 서비스를 시작한 미국의 Akamai 사이며 인터넷 전체 웹트 래픽의 15~30%를 담당한다. 이 업체는 2008 년부터 개인정보 수집 서비스를 제공하였으 며 별도의 부가기술 없이도 가능하다는 점을 부각하였다. (그림 5)와 같은 동작방식으로 인해 CDN 서비스는 사용자의 온라인 활동을 쉽게 파악할 수 있다[32]. 우선, 사용자가 (그림 5) CDN 서비스의 동작 흐름 정보통신산업진흥원 11

주간기술동향 2012. 5. 2. 특정 웹사이트를 방문하면 해당 사이트는 웹페이지를 반환한다(1 단계). 웹페이지에는 이 미지가 포함되어 있으며, 이미지들은 CDN 서비스에서 호스팅된다(2 단계). 이 때문에 웹 페이지를 제대로 렌더링 하는 과정에 사용자는 CDN 서비스를 방문해야 하며, 이 시점에 서 사용자의 정보가 CDN 서비스에 기록된다(3 단계). III. 결론 및 향후 방향 본 고에서는 사용자 동의 없는 개인정보 수집 기술에 대해 살펴보았다. 2011 년 3 월에 공포된 개인정보보호법에 따라 기업은 개인정보를 임의로 수집하고 활용하기 어려워졌다. 하지만, 웹브라우징, 스마트폰, 플랫폼 서비스를 사용하면서 사용자의 개인정보는 무차별 적으로 수집되어 악용된다. Facebook 이나 Twitter 같은 소셜 네트워크 사이트에서의 모 니터링을 통한 고객 성향 분석은 아직 초창기임에도 불구하고 기업들의 관심이 매우 높은 분야이다. 개인정보에 대한 수요가 증가함에 따라 공급 또한 증가하고 개인정보 수집기술 은 고도화될 것이다. 하지만 사용자는 본인의 개인정보가 노출되는지 조차도 인식하기 어 려워 대응이 불가능한 상황이다. 개인정보 수집으로 인한 피해는 온전히 사용자의 몫이며 공론화를 통한 인식 환기로 적극적인 대응이 요구된다. 해외에는 2010 년부터 관련 문제가 공론화되었으며, 국내에서 도 2012 년 들어 Google, Facebook 사례를 통해 개인정보 수집 문제가 제기되고 있다. 개인정보 수집업체 또한 이러한 분위기를 파악하고, 문제 발생시에는 적극적으로 대응하 고 있다. 사용자 동의 없는 개인정보 수집 문제를 해결하기 위해서 Cookie 차단, DNT(Do- Not-Track)[37]과 같은 수집방지 프로토콜 등이 제안되고 있다. 하지만 근본적인 해결 을 위해서는 VRM(Vender Relationship Management)처럼 사용자 중심의 개인정보 공유/ 판매 체계가 필요하다[33],[34]. 이를 통해 사용자와 기업, 관련 업체가 모두 윈-윈 할 수 있는 환경이 될 것으로 예상한다. 하지만 사용자 동의 없는 개인정보 수집 기술을 차단 하지 않으면 VRM 의 도입 속도는 매우 느릴 것이다. 따라서 VRM 기술의 개발에는 개인 정보 수집 기술을 적극적으로 차단할 수 있는 방안이 필수적으로 요구되어야 한다. 해킹 과 보안처럼 창과 방패의 싸움이 지속될 것이나, VRM 은 사용자의 권리와 이익에 직접적 으로 연관되기 때문에 많은 호응과 자발적인 지원이 예상된다. 12 www.nipa.kr

포커스 <참 고 문 헌> [1] IAB Internet Advertising Revenue Report, 2011 First Six Months Results, IAB, 2011. 9. [2] Online Trackers Rake In Funding, WSJ, 2011. 2. 24. [3] The Web s New Gold Mine: Your Secrets, WSJ, 2010. 7. 30. [4] What They Know Digital Privacy, WSJ, 2012. 4. 11. [5] Personal Data: The Emergence of a New Asset Class, World Economic Forum, 2011. 1. [6] 캐리어 IQ 사태, 통신환경 개선 vs 무단정보수집, Betanews, 2011. 12. 4. [7] 통신사가 정보 수집 美 캐리어 IQ 게이트 시끌, 한국경제, 2011. 12. 4. [8] 삼성 갤럭시 S 개인정보 수집 논란, 블로터닷넷, 2011. 12. 5. [9] Apple Loophole Gives Developers Access to Photos, NYTIMES, 2012. 2. 28. [10] Et Tu, Google? Android Apps Can Also Secretly Copy Photos, NYTIMES, 2012. 3. 1. [11] 사용자 동의 없이 스마트폰 개인정보 추출 앱 문제, 전자신문, 2010. 8. 27. [12] Your Apps Are Watching You, WSJ, 2010. 12. 17. [13] Google Agonizes on Privacy as Ad World Vaults Ahead, WSJ, 2010. 8. 9. [14] 2010 Google Annual Report, http://investor.google.com/pdf/20101231_google_10k.pdf [15] Google AdSense, https://www.google.com/settings/ads/ [16] 미 정부 20 년 동안 구글 감사하겠다, 전자신문, 2011. 3. 31. [17] Google ScreenWise, http://www.screenwisepanel.com/trends/ [18] 박종훈, 구글의 프라이버시 정책 변경과 개인화 검색의 함의, NIPA, 주간기술동향 1532 호, 2012. 2. 8, pp28-39. [19] 구글 새 개인정보 정책 발효 방통위는 권고, 구글은 개인정보 자기통제강화, 전자신문, 2012. 2. 28. [20] 구글 개인정보통합...소송당했다, ZDNET KOREA, 2012. 2. 9. [21] Facebook Newsroom, https://www.facebook.com/press/info.php?statistic [22] U.S. Online Display Advertising Market Delivers 1.1 Trillion Impressions in Q1 2011, COMSCORE, 2011. 5. [23] [글로벌] 이용자 사생활 팔아먹는 페이스북, PD 저널, 2011. 2. 28. [24] 페이스북 사용자 개인정보, 무단 광고 이용은 실수, 한국경제, 2011. 11. 13. [25] Facebook Retreats on Privacy, WSJ, 2011. 11. 11. [26] 페이스북이 내 문자메시지 훔쳐본다고?, 한국경제, 2012. 2. 27. [27] Facebook Says User Data Sold To Broker, 2010. 10. 31. [28] Like Button Follows Web Users, WSJ, 2011. 5. 18. [29] 망 중립성 공방, mvoip 로 점화, 전자신문, 2011. 11. 12. [30] Shunned Profiling Technology on the Verge of Comeback, WSJ, 2010. 11. 23. [31] KT 쿡 스마트웹 은 당신이 한 일을 알고 있다?, 오마이뉴스, 2009. 9. 2. 정보통신산업진흥원 13

주간기술동향 2012. 5. 2. [32] A New Type of Tracking: Akamai s Pixel-Free Technology, WSJ, 2010. 11. 30. [33] 김승현, 진승헌, VRM: 사용자 중심의 고객관계관리(CRM), NIPA, 주간기술동향 1480 호, 2011. 1, pp.1-12. [34] 김승현, 김석현, 진승헌, VRM 관련 오픈소스 프로젝트 동향, 정보보호학회지, 제 21 권 4 호, 2011. 6, pp.47-56. [35] Privacy suit filed against Path, Twitter, Apple, Facebook, others, CNET, 2012. 3. 16. [36] 10 대 안드로이드 악성코드는?, 보안닷컴, 2012. 3. 19. [37] Do not track header, http://en.wikipedia.org/wiki/do_not_track_header * 본 내용은 필자의 주관적인 의견이며 NIPA 의 공식적인 입장이 아님을 밝힙니다. 14 www.nipa.kr

2024 © docsplayer.org 개인정보보호 | 약관 | 지원