- 게시물 제목
- P3P 채택,프라이버시 보호 앞당긴다
[2002/05/23]
P3P 채택,「프라이버시 보호 앞당긴다! 」
프라이버시 보호를 원치않는 사람은 없다. 문제는 '소프트웨어를 통해 프라이버시를 어떻게 보호할 것인가'하는 방법에 대한 것이다. 프라이버시가 보호되려면 그 만큼의 대가를 치려야 한다는 사실을 사람들이 얼마나 절실하게 느끼고 있는지 필자는 잘 모르겠다.
사용자 프라이버시의 보호를 돕는 주요한 산업 이니셔티브는 W3C의 P3P(Platform for Privacy Preferences)이다. P3P는 사이트 제작자가 자동화되고 구조화된 양식에서 프라이버시 정책을 이용할 수 있는 방법을 제공한다. 프라이버시를 반드시 이같은 방식을 통해 보호해야 하는 것은 아니기 때문에 이같은 정책은 프라이버시 보호에 있어 실질적인 역할을 한다고 볼 수 없다.
그렇다면 P3P가 제공하는 이점은 무엇인가? P3P를 지원하는 브라우저를 사용하면 거래할 사이트 종류나 특히 어떤 사이트에서 사용자를 추적할 쿠키를 허가할 지에 대한 규정을 설정할 수 있다. 물론 이 모든 것은 프라이버시 정책이 허위가 아니라는 가정하에서 가능하다.
사이트 프라이버시 정책에서 PII(personally identifiable information, 프라이버시 분야의 전문용어)가 특별한 방식으로 처리될 것이라고 명시만 할 뿐 정작 이 정책을 따르지 않는다면 P3P가 프라이버시에 대한 논쟁을 종식시킬 순 없다.
하지만 사이트의 P3P 정책은 합법적으로 통제될 수 있으며 사이트 운영자가 정책을 위반할 경우엔 책임을 져야 한다. P3P 정책이 좀더 강력한 구속력을 가지려면 '<논쟁 해결 유형=독립(DISPUTES resolution-type=independent)>' 요소까지 포함돼야 할 것이다. 이에 따르면, 외부 논쟁 해결 에이전시가 어떤 사용자가 불만을 갖고 있는지까지 알고 있어야 한다. 예를 들어 트러스트(TRUSTe)가 이에 해당한다.
얼마전 인터넷 익스플로러 6.0이 출시됐을 당시만 해도 P3P 표준은 기본적으로 제자리 상태였다. MS는 P3P를 적용하기 위한 큰 거래를 성사했지만 IE 6.0이 IE 5.5에 비해 개선된 점이 거의 없기 때문에 사이트에 P3P를 채택하는 사람들이 별로 없어 '닭이 먼저냐 달걀이 먼저냐 하는 신드롬'으로 곤욕을 치렀다. 문제는 몇개월 후에도 P3P의 채택율이 여전히 기대보다 적다는 것이다.
IE6.0이 P3P를 완벽하게 구현하진 않았다. IE 6.0은 '컴팩트 정책(compact policies)'만 채택하고 있다. 컴팩트 정책은 전면적이고 장황한 XML 문서와는 달리 웹페이지에 헤더로 보내지는 매우 간결한 코드이다. 컴팩트 정책은 구현이 쉽고 페이지 검색 과정에 간접비가 적게 추가된다는 두가지 이점이 있다. P3P가 완벽하게 구현되면 모든 페이지에서 긴 XML 문서를 검색, 분석하게 될 것이다.
MS는 IE 6.0의 미디엄 설정에 P3P를 적용시켜 이를 출시했다(IE 6의 툴/인터넷 옵션 메뉴의 개인 정보 탭 참고). 이는 사이트에 프라이버시 정책이 부족하거나 특정 조건과 부합하지 않는 항목이 있으면 쿠키가 거부될 수 있음을 의미한다.
중요한 것은 IE 6.0이 IE의 이전 버전에서 받아들였던 일부 사이트의 쿠키를 거부한다는 것이다. IE에서 P3P의 실행에 대한 설명은 웹사이트를 통해 얻을 수 있다.
필자의 시스템 대부분은 IE 6.0을 사용하는데, 일부 사이트에서는 쿠키가 작동을 멈추도록 IE 6.0이 업그레이드됐다는 사실을 즉각적으로 알 수 있었다. 몇주 전까지, 그러니까 필자와 많은 다른 고객들이 IRA에 접속했던 4월 13일 온라인 중개자가 중요한 사이트를 변경하기 전까지는 아무런 문제가 없었다.
금융 웹사이트 관계자들은 각별히 주의하길 바란다. 납세일 이틀 전에 사이트를 변경하는 것은 멍청한 짓이기 때문이다. 필자는 로그온을 할 수 없었고, 기술지원부가 추천한 유일한 해결책은 어떤 소스로든지 모든 쿠키를 받아들이는 IE 6.0을 형성하라는 것인데 이는 프라이버시 보호를 사실상 무능력하게 만드는 것이다.
금융 사이트가 P3P와 같은 기술을 채택한 것은 처음 있는 일로 여겨질 수 있겠지만 실제론 그렇지 않다. P3P 적용 사례를 연구, 장려하는 IEF(Internet Education Foundation)의 조시 프리드에 따르면 상위 100개의 웹사이트 중 40개(상위 50개 중엔 26개)만 P3P를 지원하거나 채택을 검토하고 있다고 한다.
40%라도 없는 것보다는 낫다고 생각할 수 있지만 60%나 되는 사이트가 P3P를 채택하지 않고 있는 것임을 간과할 순 없다. 필자는 아직도 이같은 기술을 채택하지 않은 웹사이트가 실망스럽다.
그렇다면 이 모든 것은 IT 기업에게 어떤 의미를 주는가? 일반인들이 사용하는 웹사이트를 운영하는 사람이 있다는 것도 중요한 의미가 된다. 아무리 완벽하게 합법적인 이유에서 사용자로부터 특정 정보를 수집할 경우라도 P3P를 채택해야 하며 쿠기를 사용해 정보를 수집하는 경우엔 특히 더욱 그러