2014.10.29

블로그 | 버라이즌, 모바일 사용자의 온라인 활동 추적··· EFF 폭로

Bill Snyder | CIO
전자 프론티어 재단(Electronic Frontier Foundation)에 따르면, 미국 통신사인 버라이즌 와이어리스(Verizon Wireless)가 웹에서 광고주가 소비자들의 행동을 추적해 타깃 광고를 제공할 수 있도록 토큰 같은 쿠키를 이용한다고 한다.



버라이즌 와이어리스 적어도 2년 동안 자사 네트워크에서 모바일 기기를 통해 요구된 데이터에 야간의 코드나 토큰을 조용히 추가한 것으로 알려졌다. 광고주는 이 토큰들로 사용자들의 웹 활동의 프로파일을 만들고 타깃 광고를 제공할 수 있었다. 또한 이 광고로 버라이즌은 협력사를 통해 얻은 새로운 수익을 창출할 수 있었다.

EFF의 연구원 제이콥 호프만-앤드류스에 따르면, 기술에 정통한 사용자들은 쿠키 차단, 캐시 지우기, 모드 시크릿 등 쿠키를 제어하려는 버라이즌의 토큰을 사용하지 않았다.

버라이즌은 데이터에는 개인 정보가 포함되지 않기 때문에 광고주가 고객의 신원을 모른다고 반박했다. 또한 버라이즌은 고객이 ‘관련 모바일 광고’ 프로그램에서 탈퇴할 수 있다고 밝혔다.

그러나 고유 식별자 헤더(UIDH)로 알려진 토큰은 해제 할 수 없으며 UIDH는 사용자가 방문한 모든 웹사이트에 들어있다고 호프만-앤드류스는 주장했다. "모든 탈퇴 수단은 버라이즌의 파트너가 주어진 헤더 값에 대한 인구 통계 데이터를 요청할 때 버라이즌이 그것을 제공하지 않는다는 것이다. 제 3자는 자신들이 원하는 추적을 계속할 수 있다"고 그는 말했다.

버라이즌의 대변인 데브라 루이스는 호프만-앤드류스가 틀렸다고 반박했다. "고객들이 자신들의 개인정보 보호 설정에서 관련 모바일 광고를 선택할 때 이들이 역동적인 식별자를 계속 볼 수도 있기 때문에 ID와 관련한 정보는 없다. 따라서 광고 목적으로 사용할 수도 없다. 고객들은 866-211-0874 또는 마이버라이즌(MyVerizon)에서 개인정보 보호 페이지로 들어가 프로그램에 참여하지 않기를 선택할 수 있다"라고 루이스는 이메일에서 밝혔다.

호프만-앤드류스는 버라이즌이 고객을 추적하기 위해 UIDH를 사용하는 게 아니라 해도 광고주들이 사용하고 있다고 주장했다. “버라이즌과 관련 없는 써드 파티들이 자신들의 추적을 위해 UIDH를 사용할 수 있다”고 그는 전했다. "그것은 마치 버라이즌이 고객 모두를 위한 새로운 쿠키 메커니즘을 구축한 것처럼 보인다"고 그는 덧붙였다.

버라이즌은 광고주에게 추적에 대해 설명하기 위해 ‘정밀 ID’라는 용어를 사용하며 이 회사의 PDF 문서에서 이에 대해 설명했다.

그렇다면, 다른 통신사들도 같은 기술을 사용할까? 그것은 확실치 않다. 호프만-앤드류스는 연구원들이 AT&T와 스프린트에 가입한 전화기에서 비슷한 코드를 발견했지만 T-모바일에서는 발견하지 못했다고 밝혔다. 필자는 3개 회사에 문의했으나 아직 답변을 받지 못했다. 향후 답변을 받는다면 독자 여러분들에게 알려주겠다.

현재 개인정보 보호에 대한 관심을 고려한다면, 버라이즌 사용자 추적이 오랫동안 간과됐다는 것은 놀라운 일이다. "이런 유형의 네트워크 간섭은 주의를 주는 게 매우 어렵다. 왜냐면 정보 요청이 사용자의 전화기를 벗어난 후 수정 요청이 발생하기 때문에 이 전화기에는 아무것도 발견할 수 없다"라고 호프만-앤드류스는 말했다. 버라이즌의 UIDH 사용은 처음에 다른 EFF 기술에 의해 발견되었다.

버라이즌이 사용자들을 추적만 게 아니라 사용자 전화기에서 웹사이트 요청을 실제로 수정하는 것은 아무런 의미가 없다. 적어도 필자 생각에는 그렇다. 호프만-앤드류스의 말처럼, “버라이즌은 신뢰할 수 있는 인터넷 연결 서비스를 고객들이 비용을 지불하도록 하는 회사며, 명시적인 동의 없이 고객의 트래픽을 변경함으로써 그 신뢰를 깨서는 안된다"는 것이다.

버라이즌은 누군가가 이를 폭로하기 전에 먼저 사실을 밝혔어야 한다.

*Bill Snyder는 비즈니스와 IT에 대한 칼럼을 쓰는 저널리스트다. ciokr@idg.co.kr



2014.10.29

블로그 | 버라이즌, 모바일 사용자의 온라인 활동 추적··· EFF 폭로

Bill Snyder | CIO
전자 프론티어 재단(Electronic Frontier Foundation)에 따르면, 미국 통신사인 버라이즌 와이어리스(Verizon Wireless)가 웹에서 광고주가 소비자들의 행동을 추적해 타깃 광고를 제공할 수 있도록 토큰 같은 쿠키를 이용한다고 한다.



버라이즌 와이어리스 적어도 2년 동안 자사 네트워크에서 모바일 기기를 통해 요구된 데이터에 야간의 코드나 토큰을 조용히 추가한 것으로 알려졌다. 광고주는 이 토큰들로 사용자들의 웹 활동의 프로파일을 만들고 타깃 광고를 제공할 수 있었다. 또한 이 광고로 버라이즌은 협력사를 통해 얻은 새로운 수익을 창출할 수 있었다.

EFF의 연구원 제이콥 호프만-앤드류스에 따르면, 기술에 정통한 사용자들은 쿠키 차단, 캐시 지우기, 모드 시크릿 등 쿠키를 제어하려는 버라이즌의 토큰을 사용하지 않았다.

버라이즌은 데이터에는 개인 정보가 포함되지 않기 때문에 광고주가 고객의 신원을 모른다고 반박했다. 또한 버라이즌은 고객이 ‘관련 모바일 광고’ 프로그램에서 탈퇴할 수 있다고 밝혔다.

그러나 고유 식별자 헤더(UIDH)로 알려진 토큰은 해제 할 수 없으며 UIDH는 사용자가 방문한 모든 웹사이트에 들어있다고 호프만-앤드류스는 주장했다. "모든 탈퇴 수단은 버라이즌의 파트너가 주어진 헤더 값에 대한 인구 통계 데이터를 요청할 때 버라이즌이 그것을 제공하지 않는다는 것이다. 제 3자는 자신들이 원하는 추적을 계속할 수 있다"고 그는 말했다.

버라이즌의 대변인 데브라 루이스는 호프만-앤드류스가 틀렸다고 반박했다. "고객들이 자신들의 개인정보 보호 설정에서 관련 모바일 광고를 선택할 때 이들이 역동적인 식별자를 계속 볼 수도 있기 때문에 ID와 관련한 정보는 없다. 따라서 광고 목적으로 사용할 수도 없다. 고객들은 866-211-0874 또는 마이버라이즌(MyVerizon)에서 개인정보 보호 페이지로 들어가 프로그램에 참여하지 않기를 선택할 수 있다"라고 루이스는 이메일에서 밝혔다.

호프만-앤드류스는 버라이즌이 고객을 추적하기 위해 UIDH를 사용하는 게 아니라 해도 광고주들이 사용하고 있다고 주장했다. “버라이즌과 관련 없는 써드 파티들이 자신들의 추적을 위해 UIDH를 사용할 수 있다”고 그는 전했다. "그것은 마치 버라이즌이 고객 모두를 위한 새로운 쿠키 메커니즘을 구축한 것처럼 보인다"고 그는 덧붙였다.

버라이즌은 광고주에게 추적에 대해 설명하기 위해 ‘정밀 ID’라는 용어를 사용하며 이 회사의 PDF 문서에서 이에 대해 설명했다.

그렇다면, 다른 통신사들도 같은 기술을 사용할까? 그것은 확실치 않다. 호프만-앤드류스는 연구원들이 AT&T와 스프린트에 가입한 전화기에서 비슷한 코드를 발견했지만 T-모바일에서는 발견하지 못했다고 밝혔다. 필자는 3개 회사에 문의했으나 아직 답변을 받지 못했다. 향후 답변을 받는다면 독자 여러분들에게 알려주겠다.

현재 개인정보 보호에 대한 관심을 고려한다면, 버라이즌 사용자 추적이 오랫동안 간과됐다는 것은 놀라운 일이다. "이런 유형의 네트워크 간섭은 주의를 주는 게 매우 어렵다. 왜냐면 정보 요청이 사용자의 전화기를 벗어난 후 수정 요청이 발생하기 때문에 이 전화기에는 아무것도 발견할 수 없다"라고 호프만-앤드류스는 말했다. 버라이즌의 UIDH 사용은 처음에 다른 EFF 기술에 의해 발견되었다.

버라이즌이 사용자들을 추적만 게 아니라 사용자 전화기에서 웹사이트 요청을 실제로 수정하는 것은 아무런 의미가 없다. 적어도 필자 생각에는 그렇다. 호프만-앤드류스의 말처럼, “버라이즌은 신뢰할 수 있는 인터넷 연결 서비스를 고객들이 비용을 지불하도록 하는 회사며, 명시적인 동의 없이 고객의 트래픽을 변경함으로써 그 신뢰를 깨서는 안된다"는 것이다.

버라이즌은 누군가가 이를 폭로하기 전에 먼저 사실을 밝혔어야 한다.

*Bill Snyder는 비즈니스와 IT에 대한 칼럼을 쓰는 저널리스트다. ciokr@idg.co.kr

X