인터넷 최대의 불편: 쿠키 법은 웹사이트가 아니라 브라우저를 대상으로 해야 함

 (nednex.com/en)
4P by GN⁺ 10시간전 | ★ favorite | 댓글 1개
  • 웹사이트마다 반복되는 쿠키 배너 동의 절차는 사용자 피로감을 초래하며, 실제로는 프라이버시를 보호하지 못하는 실패한 제도로 평가됨
  • 현재 구조는 각 웹사이트가 개별적으로 동의 절차를 구현해야 하기에, 소규모 사이트 운영자에게 과도한 부담을 줌
  • 저자는 해결책으로 쿠키 동의를 브라우저 설정 단계에서 일괄적으로 관리하는 방식을 제안함
  • 사용자는 한 번의 설정으로 자신의 데이터 활용 범위를 통합적으로 제어할 수 있고, 브라우저가 대신 이를 모든 사이트에 적용함
  • 이 방식은 사용자 경험 개선, 규제 효율성 향상, 개발자 부담 완화라는 세 가지 측면에서 더 합리적인 해결책으로 제시됨

쿠키 배너의 실패한 현실

  • GDPR과 CCPA 같은 개인정보 보호법은 좋은 의도로 만들어졌지만, 실행 방식이 비효율적임
    • 수많은 웹사이트가 개별적으로 “Accept All” 이나 “Manage Preferences” 같은 팝업을 띄워야 하는 구조임
    • 대부분의 사용자는 피로감 때문에 아무 생각 없이 “모두 허용”을 클릭함
  • 이러한 방식이 사용자의 실제 선택권을 무의미하게 만들고, 인터넷 경험을 더 불편하게 함
  • 저자는 문제의 핵심이 ‘무엇을 보호할 것인가’가 아니라 ‘어디에서 관리할 것인가’ 에 있다고 지적함

현재 구조의 문제점

  • 1) 동의 피로(Consent Fatigue): 반복적인 동의 요청으로 인해 사용자는 무감각해지고, 진정한 의미의 ‘자발적 동의’가 이루어지지 않음
  • 2) 소규모 운영자의 불이익: 대기업은 법무팀과 CMP(Consent Management Platform)로 대응 가능하지만, 개인 블로거나 중소 비즈니스는 법적·기술적 부담을 떠안게 됨
  • 3) 통제권의 부재: “Accept All” 외에 선택지를 제공하더라도 복잡한 법률 용어와 긴 메뉴 구조는 사실상 사용자의 선택을 제한함

새로운 제안: 브라우저 중심의 동의 관리

  • 사용자는 브라우저 초기 설정 시 한 번만 데이터 활용 선호도를 선택
    • Essential Only: 필수 쿠키만 허용
    • Performance & Analytics: 익명 데이터 기반 성능 분석 허용
    • Personalized Experience: 개인 맞춤형 콘텐츠 및 광고 허용
    • Custom: 세부 항목별로 직접 조정
  • 브라우저가 사용자의 선택을 기반으로 사이트별 쿠키를 자동으로 허용 혹은 차단
    • 명확하지 않은 목적의 쿠키는 브라우저가 자동 차단
  • 법적 규제의 초점을 수백만 개의 웹사이트 → 몇 개의 주요 브라우저 개발사로 이동시켜 현실적인 감시가 가능해짐

기대되는 변화

  • 사용자에게는: 한 번의 설정으로 더 깔끔하고 빠른 인터넷 경험을 제공, 진정한 의미의 데이터 통제권 확보
  • 웹사이트 운영자에게는: 쿠키 배너와 CMP 관리 부담 제거로 웹 성능 개선 및 개발 효율 상승
  • 규제 기관에게는: 수많은 사이트 대신 브라우저 개발사만 감시하면 되는 단순화된 구조로 법 집행 효율성 향상

복잡한 시스템에서 단순한 표준으로

  • 현재 인터넷은 각 사이트가 제각각 CMP를 붙여 쓰는 복잡한 생태계에 갇혀 있음
    • 수많은 도구와 광고 네트워크, 분석 서비스가 상호작용하며 중복된 노력과 혼란을 초래함
  • 브라우저 기반 접근법은 이를 하나의 단일 기준으로 통합함
    • 사용자 선택 → 브라우저 → 모든 사이트에 동일하게 적용
  • 저자는 이 아이디어가 새로운 시스템을 만드는 것이 아니라, 오히려 불필요하게 복잡해진 현재 구조를 해체하는 일이라고 강조함
GN⁺ 10시간전  [-]
Hacker News 의견

  • 이 문제의 핵심은 법 자체가 아니라, 추적을 포기하기 싫어하는 웹사이트들이 의도적으로 법을 괴롭히는 식으로 협조하는 행동임을 말하고 싶음
    “합법에 동의” 메뉴를 5분이나 헤매는 게 바람직한 대안이 아니라 “모두 거부” 옵션이 본래 의도임을 강조함
    최근엔 법원이 이를 적극적으로 시행하는 중이라서 “모두 거부” 버튼이 점점 사라지고 있음
    궁극적으로는 Do-Not-Track 헤더를 웹사이트가 준수하고, 아예 추적도, 배너 노출도 없는 웹 환경이 가장 좋은 결과임
    관련 링크

    • 문제는 100% 법이 잘못 작성되어 있어서 이런 악의적 준수가 가능하다고 생각함
      좋은 결과를 원한다면 법 자체가 악용될 수 없도록 제대로 써야 함
      웹사이트들은 예측 가능하게 이익 극대화를 추구하니, 더 나은 법을 작성하자는 생각임

    • 법, 지침, 의도 모두 명확하다고 생각함
      실제로 남은 최대 난제는 소수의 “거대 기업”들이 브라우저를 통제하는 구조임
      Apple이나 Google도 추적을 opt-in 구조로 바꿀 의지가 없음
      브라우저 생태계의 거대 플레이어 영향력을 줄이고 DMA 같은 정책이 더 확대되어 독점 지배력 반발을 막아야 향후 상황이 개선될 것이라고 봄
      미국식 소송 문화와 유럽의 문화적 차이도 이 문제에 한 몫 한다고 봄
      만약 구글 폰트 하나 불러오는 것만으로도 수백 “파트너”에 데이터 노출되지 않는다면, 동의 팝업 대부분이 필요하지 않을 것임

    • 반론 제기: 웹사이트마다 쿠키 동의 여부를 계속 질문하는 것도 고역임
      법적 준수 자체가 사용자 경험을 망치고 인터넷 이용이 더 피곤해지는 원인임
      결국 법을 만드는 사람들이 실제 사용자 경험이나 프라이버시보다는 기업 입장에 더 가까운 듯함

    • 기본값으로 추적하는 구조 자체가 용납 안됨
      Do-Not-Track 요청을 반드시 법적으로 강제하고, 전 세계 매출 일부 비율을 벌금으로 매겨야 한다고 생각함

    • 개별 웹사이트 운영자보다는 광고 제공자 책임이 더 크다고 봄
      광고사들이 광고를 제공하려면 광고 추적 동의 매니저 사용을 강제하는 구조임
      직접 동의 폼을 만들려 했지만 TCF가 너무 어렵고, 광고사 제공 동의 배너가 아닌 솔루션은 지원 자체가 거의 안 됨
      결국 광고수익이 서버비를 대는 현실에서 이런 복잡한 시스템을 취미 사이트 운영자가 감당하기 힘듦
      사용자 프라이버시를 더 존중하는 간단한 옵션이 있다면 좋겠고, 브라우저 목표로 간편하게 제어하는 구조가 이상적이라고 생각함

  • 이런 유형의 데이터 수집은 아예 금지되어야 한다고 생각함
    “당신의 데이터를 500개 파트너 웹사이트와 공유해도 됩니까?”라는 동의를 누를 사람이 존재할지 의문임

    • 기업들이 데이터를 스팸업체에 넘기는 걸 “파트너와의 공유”라고 표현하는 걸 금지해야 한다고 봄
      “파트너”라는 단어엔 신뢰, 동등함의 뉘앙스가 있는데 실제로는 전혀 그렇지 않음
      데이터 판매라면 그렇게 명확히 문구로 안내하게 법제화돼야 하고, 스팸 유출 위험도 구체적으로 알리는 방식이 필요함
      “당신의 데이터를 아무 업체에 팔 수 있음에 동의합니까? 향후 스팸이나 범죄에 사용될 위험에 동의합니까? 예/아니오”처럼 물어야 한다고 생각함

    • 타겟 광고는 일반 광고보다 3배 수익을 준다고 들음
      개인적으로는 내 데이터가 추적된다고 해도 광고량이 1/3로 줄어들면 오히려 좋다고 생각함
      키보드, 남성 의류 같은 흥미로운 광고만 보고, 쓸데없는 것만 노출되는 건 피할 수 있으니 괜찮음

    • 광고와 감시 문제는 늘 비슷한 논리임
      아무도 광고받기 원하지 않지만 강력한 로비가 경제 타격 및 GDP 저하를 내세워 광고 폐지를 반대함
      감시도 마찬가지로, “보안 강화” 논리가 정치권에 통함

    • 웹사이트, 주제 등 맥락만으로도 충분히 관련된 광고 표기가 가능하다고 생각함
      예를 들어 해커스페이스 사이트엔 라즈베리 파이 광고, 록 음악 사이트에 바이닐이나 기타 탭 광고 등으로 대체 가능하다고 봄

    • 많은 이용자들이 광고-감시 기반 콘텐츠 접근을 원해서 동의하는 아주 단순한 이유가 있음

  • 나이 인증 이슈도 마찬가지임
    DNT 헤더가 한때 제안되었지만 과도하게 단순했고 실제 도입되지도 못했음 관련 문서
    업계가 사용자 동의율을 극대화하려고 이처럼 복잡한 구조를 유지하는 것임
    브라우저 중심 접근법이 가장 기술적, 사용자 친화적이겠지만, 광고업계와 데이터 수집 업계는 브라우저 기반 통제를 원천적으로 방해할 동기만 갖고 있음
    결국 이들이 웹 대부분을 장악한 상황에선, 브라우저 기반 해법이 현실화되기 힘듦

    • 실제 DNT 기능은 브라우저에 들어있었지만 사이트들이 무시함
      Chrome 도움말에 따르면 DNT 요청을 보낼 수 있지만, 대다수 웹사이트는 “보안을 높인다”, “콘텐츠, 서비스, 광고를 제공한다”, “통계 보고” 명목으로 여전히 데이터 수집함
      구글 포함 거의 모든 웹서비스가 DNT 요청에 반응하지 않으며, 실제 브라우저 단에서 쓸 수 있는 건 브라우저 종료시 쿠키 전체 삭제 정도임
      관련 문서

    • 나이 인증, 프라이버시 동의는 브라우저 측에서 처리할 때 가장 잘 작동함
      P3P 사례처럼, 브라우저/OS 기반 통제가 실제 업계 추적 구조에 치명타를 줄 수 있어서 대형 업체들은 오히려 그런 솔루션이 커질까봐 일부러 무시하거나 방해한다고 생각함
      결과적으로 개별 사이트 운영자가 과도하게 복잡한 규제를 감당해야 하는 일이 반복됨

    • 재치 있는 이야기인데, DNT 헤더만 제대로 처리하면 동의 화면 자체가 필요 없는 구조임
      동의가 필요한 기능 자체를 사용하지 않으면 됨

    • 브라우저는 이제 공공재로 전환해야 한다고 생각함
      민간 소유의 이점이 없는 상태에서 공공재로 받아들이는 것이 맞다고 봄

  • “브라우저가 프라이버시 집행자 역할을 하고, 사용자가 브라우저에서 한 번만 선택해 두면 그 뒤로 모든 웹사이트가 자동으로 그 옵션을 따르는 것”이라는 주장에
    브라우저는 결국 사용자가 설치하는 소프트웨어임을 상기하며, 정부가 개입하는 게 과연 온당한지 의문이 있음
    이 논리라면 웹사이트가 각 쿠키 목적을 메타데이터로 밝히게 강제하는 추가 규제가 필요하고, 결과적으로 또 사이트 관리자에 대한 추가 규정임
    이미 시크릿 모드, multi-account containers 같은 브라우저 기능이 존재함을 언급함
    관련 링크

    • 정부 개입이 왜 안 된다는 건지 근거를 물음
      웹사이트 코드 규제와 브라우저 코드 규제 사이에 실질적 차이가 있는지 질문함

    • 가장 많이 쓰는 브라우저 제공 업체가 동시에 광고 회사이니, 여기엔 명백한 이해 충돌이 존재한다고 봄

  • 브라우저가 이 문제를 해결해선 안 된다고 생각함
    쿠키 배너는 사실상 추적 쿠키 동의 문제로 유명하지만, 사실 모든 제3자 개입(광고 등)이 기술적으로 필수적이지 않은 상황에 동의가 필요한 구조임
    브라우저는 어떤 3rd party가 진짜 기술상 필요인지 구분 불가하며, 결국 개별 사이트가 알려줘야 하는 문제임
    사이트 제공자와 제3자 책임이 혼재되기에 문제가 더 복잡해짐

    • 웹사이트가 DNT 헤더만 법적으로 준수하게 하면 문제는 바로 해결된다고 생각함
      단순한 문제, 단순한 해법이 필요함

    • 웹 브라우저는 사이트의 각 요소가 어떤 의도로 들어있는지(기술적으로 필수인지, 추적인지) 알 방법 자체가 없음
      이런 확인은 웹사이트 운영자만 알 수 있는 정보임
      쿠키법은 쿠키 외에도 픽셀 gif, JS 지문 등 다양한 개인 식별 추적 수단 전체를 대상으로 적용됨

    • 법적으로 쿠키에 “third-party”와 “strictly necessary”라는 태그 지정이 의무화된다면, 부정확할 경우 지금처럼 GDPR 위반으로 처벌도 가능함
      브라우저가 이 태그를 보고 사용자 의사에 따라 사이트별 추적 허용/거부를 설정할 수도 있음
      URL 바에 HTTP/HTTPS 자물쇠처럼 상태 표시를 넣어, 사이트별로 동의 여부를 바꾸는 식의 개인화 정책도 가능함
      소규모 사이트 운영자라도, 자신이 사용하는 광고 네트워크/분석 도구가 쓰는 쿠키의 동작 방식을 숙지하고 정확히 태그 지정하는 게 중요함

  • 나는 쿠키 동의 팝업이 불편하게 작동할 때, 그냥 탭을 닫고 넘어가는 전략을 씀
    쿠키 동의 알림과 저품질 콘텐츠가 거의 비례한다는 걸 발견해서, 오히려 시간 절약이 됨

    • 그렇다면 항공권 예약이나 중요한 일은 어떻게 해결하는지 질문함
      심지어 의사 사이트도 쿠키 배너가 뜨는 현실임
      단순히 이런 곳도 포기할 거냐고 물음

  • Global Privacy Control (GPC)이 이미 이 문제를 해결해 가고 있다고 봄, Firefox에서도 Do Not Track 대체재로 이미 적용됨
    이제 법적으로 웹사이트가 이를 준수하도록 만드는 일만 남았음
    GPC 관련 링크
    Firefox 공식 안내

    • DNT도 이미 EU에서 법적 효력을 갖췄고, 이름만 바뀐 GPC로 해결되는 근본적 차이는 없는 듯함
      미국의 일부 주법상 브라우저가 기본 설정으로 신호를 보낼 경우 "합법적 신호"로 인정하지 않게 쓰여져 있는데, 법적 의무가 강화되면 GPC도 이런 방식으로 무력화될 수 있다고 생각함
      결국 트래커에게 유리하게 법이 쓰여져 있다는 점 지적

    • Firefox가 법적 의무화에 앞서 기술적으로 GPC를 도입하고 있다는 점에 공감함

  • 기업이 그냥 추적을 포기하면 이런 동의 창 자체가 필요 없다고 생각함

    • 먼저 EU가 선도적으로 실행해야 한다고 생각함
      공식 EU 위원회 사이트도 쿠키 배너가 있기 때문에, EU가 웹사이트에서 추적기를 없애거나 법 자체가 현실적으로 너무 어렵다는 걸 인정해야 함
      해야 할 일이 많음
      EU 위원회 사이트 참고

    • 하지만 기업은 언제나 이익에 따라 움직이는 존재임
      사용자의 기대와 달리, 추적에 있어서도 예외 없이 이익만 우선함

    • 현실적으로 기업이 자발적으로 멈출 리 없고, “쿠키”가 금지되면 대신 브라우저 지문찍기 등 다른 추적 방식으로 바꿔서 쫓아올 것임

    • 이 모든 추적을 그냥 불법화하는 게 더 근본적 대책일 수 있다고 생각함
      자발적으로 동의할 이용자는 거의 없으니 말임

    • 법제화의 문제는 “추적”의 정의가 모호해서, 사이트 운영자 입장에선 법 위반을 피하려고 어쩔 수 없이 동의 화면을 붙이는 일이 많음

  • 캘리포니아는 2027년부터 브라우저에 opt-out 설정 의무화 법을 도입했고, 현재 캘리포니아, 코네티컷, 콜로라도 등은 브라우저/확장 기능을 통해 opt-out 요청을 존중해야 한다고 규정함
    뉴저지도 마찬가지임
    캘리포니아 관련 법
    코네티컷 & 콜로라도 공식 발표
    뉴저지 개인정보 FAQ

  • 실제로 이런 법들이 본래 의도한 효과를 내고 있는지 의문임
    그렇지 않다면 왜 존속하는지, 왜 모든 법이 계속해서 정당성을 입증하지 않으면 자동 폐기되지 않는지 묻고 싶음

    • 비슷하게 궁금했는데, 개인적으로 이 법들이 내 삶과 인터넷을 조금 더 불편하게 만들었을 뿐 큰 실질적 긍정 효과는 못 느꼈음

    • “목표를 달성”의 기준이 뭐냐고 질문함
      “쿠키 거부시 사이트가 실제로 추적 중지하냐?” → 일부는 하고 일부는 안 함
      그래도 목적 자체는 여전히 유효하다고 봄

    • GDPR이 실효성 있는지 묻는다면, 그렇다고 대답할 수 있음
      완전히 무시하는 곳은 신뢰할 수 없는 기업 뿐이고, 악의적으로 지키는 기업들도 점점 평판이 안 좋아져 바뀌는 중임
      사용자 데이터 미보호 시대는 끝났다고 믿음

답변달기