감시를 기본값으로 받아들인 이유

 (vivianvoss.net)
1P by GN⁺ 5시간전 | ★ favorite | 댓글 1개
  • 웹 광고 자금 조달추적 기반 타기팅이 하나의 연쇄 논리로 묶이면서, 교차 사이트 추적이 별도 선택이 아니라 기본 전제로 정착함
  • DoubleClick DARTthird-party cookie가 여러 웹사이트에 걸친 동일 사용자 추적을 가능하게 만들었고, 이 인프라는 이후에도 유지됨
  • 상위 1만 개 사이트는 페이지당 평균 7개의 third-party tracker를 불러오고, 트래픽의 41.1% 가 추적기를 동반하며, 추적기 추가 때마다 페이지 로드 시간이 약 2.5% 증가함
  • 쿠키 배너 산업도 별도 시장으로 굳어졌고, "Reject all" 버튼이 숨겨질 경우 사용자 최대 90% 가 수락해 동의보다 피로에 가까운 반응이 발생함
  • Apple ATT는 운영체제 수준 허용 요청만으로 opt-in 비율을 15~25% 로 낮추고 Meta의 2022년 매출에 약 100억 달러 손실 추산을 남기며, 기본값이 켜진 추적이 기술적 필연이 아니라 선택이었음을 드러냄

공리

  • 광고가 웹을 자금 조달하고, 추적이 광고를 가능하게 하므로 추적이 필요하다는 연쇄 논리로 현재 구조가 정당화됨
    • 쿠키 배너는 현대적 영수증처럼 취급되며, "Accept" 클릭이 곧 동의로 간주됨
    • 이런 구조는 깔끔한 논리처럼 보이지만, 전제 자체는 별도 검토 대상임
  • 누구도 이 구조에 투표하지 않았고, 그대로 정착됨
    • FTC와 EU가 시장 경쟁을 둘러싼 논쟁을 마칠 무렵, 웹의 구조는 조용히 감시 시스템으로 바뀌어 있었음

기원

  • DoubleClick은 1996년 뉴욕에서 설립됐고, 제품 DART는 웹사이트 간 사용자를 따라다니며 관련 광고를 제공하는 전제를 기반으로 작동함
    • DART는 Dynamic Advertising, Reporting, and Targeting의 약자
    • 광고주가 여러 웹사이트에 걸쳐 동일 인물을 추적할 수 있어야 한다는 발상이 핵심
  • 핵심 기술 혁신은 third-party cookie였고, 사용자가 방문하지 않은 서버가 심은 작은 텍스트 파일이 픽셀을 불러온 모든 웹사이트를 가로질러 사용자를 따라다니는 방식이었음
    • 기술 메커니즘 자체는 평범했지만, 구조적 결과는 평범하지 않았음
    • 배너 광고가 이미 존재하던 시점에, 무작위 노출을 넘어선 교차 사이트 추적 기반이 형성됨
  • 1999년 Abacus Direct 인수 뒤 두 데이터베이스 결합이 제안됐고, 미국 FTC가 조사에 착수함
    • DoubleClick은 물러섰지만, 2007년 Google이 결국 31억 달러에 인수함
    • 조사는 오래된 과거가 됐지만, 구축된 인프라는 남음
  • 창업자 이후의 경로도 이어짐
    • Kevin O'Connor는 2001년 DoubleClick을 떠나 ScOp Venture Capital을 운영하며 차세대 기술 기업에 투자 중
    • Dwight Merriman은 DoubleClick CTO를 10년 맡은 뒤, 또 다른 DoubleClick 출신 Eliot Horowitz와 함께 2007년 MongoDB 공동 창업
    • 교차 사이트 감시 파이프라인을 만든 동일한 팀이 현대 웹 상당 부분을 구동하는 문서 데이터베이스도 구축한 셈
    • DoubleClick alumni network는 동시대 기술 업계에서 매우 중요한 인재 디아스포라로 묘사됨

DoubleClick 이전부터 있었던 패턴

  • Prodigy는 1984년부터 2001년까지 운영된 온라인 서비스로, 같은 논리의 초기 버전을 먼저 구현함
    • 네트워크와 서버 비용을 줄이기 위해 사용자 개인용 컴퓨터 위나 근처에 데이터를 캐시하는 방식 채택
    • 정당화 논리는 인프라 비용 절감이었고, 부수 효과는 행동 데이터의 대량 축적이었음
  • 이 패턴은 웹보다 오래됐고, third-party cookie보다도 오래됨
    • 운영 목적을 위해 수집된 사용자 데이터가 결국 상업적으로 흥미로운 자산이 된다는 관찰이 핵심
  • 비용 최적화를 위해 설계된 데이터 경로는 결국 가치 추출용으로 재활용되는 구조
    • 남는 질문은 언제 시작됐는지가 아니라, 왜 어떤 프로토콜 계층도 이를 저지하지 않았는지임

비용

  • 평균적인 웹사이트는 현재 페이지당 7개의 third-party tracker를 불러오며, 이 수치는 상위 1만 개 사이트 기준임
    • 이 상위 1만 개 사이트는 인터넷에서 상대적으로 더 점잖은 쪽으로 규정됨
    • 그 사이트들 트래픽의 41.1% 가 추적기를 동반함
  • 동의 절차 자체도 별도 산업으로 굳어짐
    • 쿠키 배너의 67%Consent Management Platform이 제공
    • 그 시장의 37% 를 세 업체가 점유
    • 웹사이트 중 15% 만 최소 수준의 GDPR 준수를 충족
  • "Reject all" 버튼이 여러 번 클릭해야 보이도록 숨겨질 경우, 사용자의 최대 90% 가 수락함
    • 이것은 동의가 아니라 피로로 규정됨
  • 물리적 비용도 분명함
    • 추적기 하나가 추가될 때마다 페이지 로드 시간이 대략 2.5% 늘어남
    • 추적기가 많은 사이트는 같은 페이지를 추적 차단 상태로 볼 때보다 약 10배 느리게 실행됨
  • Real-time bidding은 하루 약 6000억 건의 요청을 처리하며, 초당 약 690만 건 규모임
    • 모든 배너, 대화상자, 그림자 요청이 대역폭, 배터리, 전기를 소비함
    • 청구서는 모두가 내지만, 누구에게도 항목별로 명시되지 않음

증거

  • 문제의 초점은 두 창업자 개인이 아니라, 상업적 압력에 대한 논리적 반응에 있음
    • 광고 네트워크는 도달 범위를 원했고, 퍼블리셔는 수익을 원했으며, third-party cookie가 두 요구를 모두 가능하게 했음
    • 개인 비난보다 왜 브라우저가 이를 도왔는지라는 질문으로 이어짐
  • 더 깊은 질문은 구조적 선택에 있음
    • 브라우저는 콘텐츠를 로드하도록 설계됐지만, 사용자가 스토킹당하지 않도록 보호하는 방향으로도 설계될 수 있었음
    • 같은 경로 안에서 성장한 회색지대 사기 경제로부터 보호하는 방향도 가능했음
  • Apple ATT는 그 선택 가능성을 실제로 입증한 사례로 제시됨
    • 2021년 4월 iOS 14.5에서 도입
    • 앱이 다른 앱과 웹사이트를 가로질러 사용자를 추적해도 되는지 묻는 OS 수준 프롬프트 한 번 제공
    • 실제로 물었을 때 opt-in 비율은 15~25%에 머묾
    • Meta CFO David Wehner는 2022년 매출 손실을 대략 100억 달러로 추산
  • 필요한 기술은 원래부터 있었고, 기본값이 켜진 추적은 브라우저 공급업체가 내린 선택이었다는 점이 강조됨

질문

  • 브라우저가 개인 데이터를 운영체제가 서명되지 않은 바이너리를 다루는 방식처럼, 명시적 허용 전까지 차단하는 구조였다면 다른 결과가 가능했을 것이라는 질문 제기
    • 프로토콜 자체가 광고주가 아니라 사용자를 방어했다면 어떠했을지 제기
    • 교차 사이트 요청이 기차 안에서 낯선 사람이 맡아달라는 소포를 대하듯 회의적으로 취급됐다면 어땠을지 묻는 구조
  • 30년이 지난 지금도 이 질문은 답을 얻지 못함
    • 인프라는 한 번 구축됐기 때문에 지속되고, 그것을 만든 조직들에는 되돌리는 일이 불편하기 때문에 지속됨
  • Apple의 프롬프트 하나가 1년 만에 100억 달러를 움직였다는 점이 기준점으로 제시됨
    • 프롬프트가 열두 개였다면 무엇이 이동했을지
    • 1996년에 아예 third-party cookie를 출시하지 않았다면 무엇이 달라졌을지라는 반문
  • 확실한 결론 대신, 아무도 질문받지 않았다는 점만 남음

함께 보면 좋은 글 β

GN⁺ 5시간전  [-]
Hacker News 의견들

  • 내 느낌으로는 개인화 광고가 생각보다 허상에 가까워 보임. Apple ATT 이후 Meta 매출 타격 같은 근거는 있어도, 내가 Facebook과 YouTube에서 보는 광고의 30%쯤은 프로파일링 없이도 뿌릴 수 있는 노골적 사기 광고처럼 보임. 예를 들어 Facebook 알림을 흉내 낸 광고를 일주일 내내 봤고, 클릭하면 해킹당했다며 겁주는 페이지가 뜸. 신고까지 했는데도 오래 살아남은 점이 이상했음. 정작 나한테 맞는 광고는 거의 없고, 이미 산 물건의 리타겟팅만 계속 보여서 내가 그렇게까지 비시장성 사용자냐는 생각이 듦

    • 몇몇 사람이 엉뚱한 광고를 받는다고 해서 감시 시스템이 안 돌아간다는 증거는 아니라고 봄. 핵심은 정밀 타기팅 캠페인에 돈이 얼마나 붙느냐는 점임. 광고 자체는 비교적 무해할 수 있지만, 같은 데이터가 국가 행위자에게 넘어가면 시민 억압 수단으로 훨씬 중요해짐. 선거구를 어떻게 그릴지, 혐오 시설이나 도서관을 어디에 둘지, 누굴 추방 대상으로 찾을지, 정치 캠페인에서 누구에게 어떻게 영향을 줄지 정하는 데 쓰일 수 있음. 오차가 조금 있어도 수작업 선별을 크게 줄이는 데는 충분히 도움 된다고 봄
    • 나도 웹 추적을 꽤 많이 막아서 광고주가 나를 타기팅하기 어렵다는 점은 이해함. 그런데 그들이 쓸 수 있어야 할 정보조차 제대로 활용하지 못하는 것처럼 보임. 내 경험상 광고 회사들은 타기팅을 형편없이 하고 있음. YouTube에서는 내가 전혀 못 알아듣는 터키어, 베트남어, 아랍어, 일본어, 중국어 광고가 계속 나옴. Google 계정, 브라우저, 기기 언어 설정도 다 되어 있고 VPN도 안 쓰니 Google은 내가 무슨 언어를 쓰고 어디 있는지 알아야 맞음. 그런데도 왜 이런 광고가 오는지 이해가 안 됨. 예전에는 YouTube에서 맞춤 광고를 꺼뒀는데, 그때는 광고가 거의 100% 사기, 딥페이크, 불법 상품이어서 몇 달 전 일부러 다시 켰음. 그 뒤로 포르노나 불법 약물 광고는 줄었지만, 여전히 대부분이 사기이고 내 인구통계와 전혀 안 맞는 광고가 계속 나옴. 수백 마일 떨어진 정치 광고나 전혀 모르는 언어 광고가 너무 흔해서, 가끔 지역 식당 광고라도 나오면 오히려 진짜 타기팅인지 우연인지 의심하게 됨. 나는 거의 후자라고 믿고 있음
    • 이미 산 물건 광고만 계속 보이는 현상이야말로 타기팅 광고의 허점을 가장 잘 드러내는 사례라고 생각함
    • 내 제한된 경험으로는 결국 타기팅 자체가 중요하지 않다는 쪽으로 생각이 기울었음. Facebook은 사용자에게 일종의 디지털 중독감을 주고, 사용자는 그 대가로 주의를 지불함. 그 주의력이 최고가 입찰자에게 팔리는 구조라고 봄. 광고 내용은 별로 중요하지 않고, 수집한 데이터는 그 중독감을 더 강하게 만드는 데 쓰인다고 느낌
    • 예전에는 Facebook에 사기 광고 신고를 자주 했는데, 돌아오는 답은 늘 문제없다는 식이었음. 유명인이나 정치인을 흉내 낸 가짜 AI 투자 영상도 Facebook 기준에선 괜찮은 모양이라 정말 화가 남

  • 예전에 Ceaușescu 정권 말기를 다룬 뉴스 보도를 봤는데, 그때 설명하던 억압 수준의 지표 중 하나가 가로등에 달린 비디오 카메라였음

    • 내가 본 건 아마 프로파간다였다고 봄. 1989년 루마니아에는 그런 게 없었음. 그 나라는 그런 첨단 시스템을 깔 만큼 부유하지 않았고, 나는 그 시절을 직접 겪은 사람으로서 그렇게 말할 수 있음
    • 나도 그 보도는 근거 없는 선전물에 가까웠다고 봄. 1980년대 루마니아 정권이 가로등에 비디오 카메라를 달았다는 증거는 없음. 게다가 왜 그런 비싼 기술에 돈을 쓰겠음. 당시엔 남을 엿보고 밀고하는 사람이 충분히 많았음

  • 이 글은 LLM 작성물처럼 느껴졌음

  • 군국주의, 감시, 선전, 국가주의를 보니 뭔가 떠오름. 이제 우리가 악당 쪽이냐는 생각이 듦

    • 그렇다면 반대로 묻고 싶음. 내 기준에서 제대로 기능하면서도 악당이 아닌 국가는 하나라도 있는지 궁금함
    • 내 생각엔 원래부터 늘 그랬음
    • 나는 어떤 사람들은 이 점을 지속적으로 인식하지 못함을 자주 느끼고 있음
    • 이런 식의 말은 어느 나라 사람이든 좋아할 만한 업보트용 아첨처럼 보임

  • 결국 웹에서 돈 버는 방식이 광고인 한, 감시 국가는 계속 살아남는다고 봄

    • 나는 유료 서비스가 되어도 감시는 계속될 거라고 봄. 왜 안 하겠음. 추가 수익원이 되기 때문임
    • 문제는 그보다 더 악질적이라고 봄. 감시하려는 국가 권력과 광고 수익을 극대화하려는 민간이 손잡게 됨. 그러면 변호사들은 원래부터 사생활이나 자유 같은 건 없었다는 식으로 주장할 가능성이 큼
    • 광고가 없는 사이트도 자체 마케팅이나 보안 기능 때문에 추적과 핑거프린팅을 넣는 경우가 많음을 봄
    • 그래도 광고 자체가 반드시 감시를 필요로 하는 건 아니라고 봄
    • 적어도 해법의 방향은 분명해 보임. 광고 없는 웹으로 가는 경로는 쉽지 않아도, 공공선으로서 가치 있는 해법이라는 점은 분명하다고 느낌

  • 블로그가 아마 hug of death를 맞은 것 같음. 대신 아카이브 링크를 남겨둠

  • 이건 EU에서는 불가한 얘기라고 봄

  • Apple이 처음 App Tracking Transparency를 내놨을 때 나는 바로 켜서 트래커 차단을 했고, 너무 단순하고 유용해서 그 뒤로는 신경도 안 쓰게 됐음. 요즘 웹사이트들이 비슷한 추적을 끄려면 온갖 클릭 체조를 요구하는 것과 강한 대비가 느껴졌음

    • 아이러니하게도 Apple 자체가 사용자 개인 데이터를 먹고 자라는 거대한 광고 회사 중 하나라고 봄. 그런데 다른 광고 회사를 막게 해주면서 손가락을 바깥으로 돌린 덕분에 사용자들의 신뢰를 거의 완전히 얻은 듯함. 대다수는 Apple이 자기 데이터로 광고 매출을 얼마나 올리는지도 잘 모르는 것 같음. Apple의 40억 달러 광고 사업 관련 기사
    • 여기엔 흔한 오해가 있다고 봄. ATT는 트래커를 완전히 막는 기능이 아님. DNS 기반 광고·추적 차단기를 써서 로그를 보면 많은 앱이 여전히 추적을 시도함. 내가 이해한 바로는 ATT는 앱 간, 웹사이트 간 교차 추적을 막는 쪽에 가까움. 앱이 IDFA에 접근하지 못하게 해서 여러 앱에 걸친 공통 식별자를 못 쓰게 하는 방식임. 초기에는 재무적 타격이 컸지만, 지금은 추적 업체들이 다른 상관관계 기법을 꽤 개발했을 가능성이 큼. 진짜 해법은 Apple과 Google이 앱 내 트래커를 완전히 끄는 옵션을 제공하고, 어기면 App Store에서 퇴출하는 것이라고 봄. 다만 자기들 광고 네트워크로 돈을 많이 버니 그렇게 하지 않을 거라고 생각함. 결국 Apple과 Google은 이 문제에서 우리 편이 아님
    • 아이러니하게도 Google은 원한다고 해도 third-party cookies를 끄기 어려운 처지라고 봄. 다른 추적 네트워크에 대한 반경쟁 행위로 보일 수 있어서 법원에 막혔기 때문임
    • 나는 오히려 추적을 끄는 데 필요한 그 복잡한 클릭 절차를 법으로 opt-in에만 허용해야 한다고 봄. 지금처럼 아무도 안 읽는 약관 속 기본 동의 방식은 바뀌어야 함
    • 내 쪽은 반대로 Firefox, arkenfox, uBlock Origin 고급 모드 조합이라 비슷한 추적을 활성화하는 쪽이 온갖 클릭 체조가 필요함

  • 이 블로그는 올해 본 것 중 가장 진지하지 않은 디자인 후보 같았음

    • 디자인은 모르겠고, 어딘가에 기사 본문이 있긴 했던 것 같음. 참고로 나는 점수 3000점 정도를 찍었음

  • 나는 이 작성자의 글을 읽을 때마다 옆의 Space Invaders에 정신이 팔려서 그거나 하게 됨. 내가 ADHD 성향이 좀 있어서 그런가 싶지만, 나만 그런 건 아닐 것 같음

    • 나도 몇 분 플레이하다가 글을 끝까지 못 읽었음. 나 역시 ADHD가 있지만, 변명하자면 마우스 조작으로 하는 Space Invaders가 꽤 재밌음
    • 작성자가 정말 중요한 말을 하려 했다면, 이런 구성은 그 메시지를 스스로 약화시키는 셈이라고 봄
    • 나는 그냥 읽으면서 동시에 플레이하면 된다고 봄. 꽤 괜찮은 조합이었음
    • 댓글만 훑다가 이 말을 보고서야 클릭을 미루지 않기로 했음. 이제 다음 한 시간은 Space Invaders를 하게 될 것 같음
    • 잠깐, 무슨 기사였음
답변달기
긱뉴스에 GeekBadge 기능이 추가되었습니다. 긱배지로 자신을 표현해 보세요.