404 Media • 46일 전

독립 감사: 거대 테크 기업, 추적 거부해도 무시

IMP

8/10

핵심 요약

캘리포니아주의 독립 프라이버시 감사에 따르면 구글, 메타, 마이크로소프트가 사용자의 추적 거부(GPC) 설정을 무시하고 광고 쿠키를 계속 심고 있는 것으로 드러났습니다. 전 구글 쿠키 정책 책임자가 설립한 감사 업체는 이들이 엄격한 주법을 위반하고 있으며, 기업들이 과징금을 단순한 '세금'처럼 여기며 처벌을 우회하고 있다고 지적했습니다. 이는 글로벌 빅테크 기업들의 개인정보 보호 장치가 실효성이 없음을 보여주는 핵심 사례입니다.

번역된 본문

캘리포니아주의 마이크로소프트, 메타, 구글 웹 트래픽에 대한 독립적인 프라이버시 감사 결과, 이들 기업이 주 규정을 위반하여 수십억 달러의 벌금을 물 수 있다는 사실이 밝혀졌습니다. 프라이버시 검색 엔진 webXray의 감사에 따르면, 검사 대상 사이트의 55%가 사용자가 추적을 거부하더라도 브라우저에 광고 쿠키를 설정하는 것으로 나타났습니다. 각 기업은 이 연구 결과에 이의를 제기하거나 반박했으며, 구글은 이 연구가 자사 제품의 작동 방식에 대한 '근본적인 오해'를 바탕으로 한다고 밝혔습니다.

webXray 캘리포니아 프라이버시 감사는 3월 한 달 동안 캘리포니아의 7,000개 이상의 인기 웹사이트 트래픽을 분석했으며, 대부분의 테크 기업이 사용자의 쿠키 추적 거부 요청을 무시하고 있음을 발견했습니다. 캘리포니아주는 캘리포니아 소비자 프라이버시 법(CCPA)에 따라 엄격하고 명확한 프라이버시 법안을 갖추고 있으며, 이 법은 사용자가 개인정보 판매 거부 등의 권리를 행사할 수 있도록 합니다. '글로벌 프라이버시 컨트롤(GPC)'이라는 시스템이 있는데, 이는 브라우저 확장 프로그램 등을 통해 사용자가 추적을 거부하고 싶다는 의사를 웹사이트에 알리는 기능을 합니다.

webXray 감사에 따르면, 구글은 87%의 경우에서 사용자의 추적 거부를 준수하지 않았습니다. 감사 보고서는 "구글이 GPC 추적 거부 신호를 존중하지 않는 것은 네트워크 트래픽에서 쉽게 발견됩니다. GPC를 사용하는 브라우저가 구글 서버에 연결되면 'sec-gpc: 1' 코드를 전송하여 추적 거부 신호를 인코딩합니다. 이는 구글이 쿠키를 반환해서는 안 된다는 것을 의미합니다. 그러나 구글 서버가 추적 거부가 포함된 네트워크 요청에 응답할 때 'set-cookie' 명령을 사용하여 IDE라는 광고 쿠키를 생성하라는 명령을 명시적으로 내립니다. 이러한 비준수는 숨겨져 있지 않고 누구나 쉽게 발견할 수 있습니다"라고 전했습니다.

감사에 따르면 마이크로소프트 역시 같은 방식으로 추적 거부에 실패했으며, webXray가 확인한 웹 트래픽에서 50%의 실패율을 기록했습니다. 메타의 실패율은 69%로 조금 더 포괄적이었습니다. 감사는 "메타는 퍼블리셔(웹사이트 운영자)들에게 자신들의 웹사이트에 다음 추적 코드를 설치하도록 지시합니다. 이 코드는 전역 표준 추적 거부 신호에 대한 확인 절차가 전혀 없습니다. 소비자의 프라이버시 설정 여부와 상관없이 무조건 로드되어 추적 이벤트를 실행하고 쿠키를 설정합니다"라고 밝혔습니다. 이는 메타의 추적 데이터 사본에 GPC 확인 코드가 전혀 없다는 것을 보여줍니다.

webXray는 사람들이 인터넷에서 프라이버시 침해 사례를 검색할 수 있는 검색 엔진을 운영하는 독립 기술 기업입니다. 설립자인 티모시 리버트(Timothy Libert)는 전 구글 쿠키 정책 및 컴플라이언스(준법감시) 책임자입니다. 리버트는 404 매체(404 Media)와의 인터뷰에서 자신의 구글에서의 역할이 사용자를 보호하는 것이라고 생각했지만 상사들은 동의하지 않았다고 밝혔습니다. 그는 2023년 회사를 떠나 webXray를 설립했습니다. 그는 "퇴사 직전에 상사가 나에게 '내 직무는 회사를 보호하는 것'이라고 직접적으로 말했습니다. 세금과 벌금의 차이가 무엇인지에 대해 상당히 고위급 엔지니어와 매우 심각한 본질적인 논쟁을 벌인 적이 있는데, 그들은 둘 사이에 차이가 있다는 것을 이해하지 못했습니다"라고 말했습니다.

마이크로소프트, 메타, 구글은 과거에 리버트와 webXray가 감사에서 발견한 것과 유사한 프라이버시 위반으로 이미 수십억 달러의 벌금을 냈습니다. 리버트에 따르면, 거대 테크 기업들은 이러한 벌금을 두려워하지 않습니다. 그는 "여러 면에서 벌금은 세금을 대체하게 되었습니다. 제가 여기서 보여주고자 하는 것은 '법 집행이 어떻게 실패하고 있는가?'입니다. 우리가 여기서 하려는 일은 이 문제를 다루는 규제 및 법률 커뮤니티 종사자들에게 실제 이면에서 무슨 일이 일어나고 있는지 이해할 수 있도록 돕는 것입니다"라고 설명했습니다.

이번 감사에서 드러난 이면의 진실 중 하나는 쿠키 배너가 어떻게 작동하는지에 관한 것입니다. 인터넷을 사용하는 사람이라면 누구나 사이트에서 발행하는 쿠키를 어떻게 처리할지 묻는 성가신 팝업을 본 적이 있을 것입니다. 이를 동의 관리 플랫폼(CMP)이라고 부릅니다. 대표적인 쿠키 제공업체인 구글은 CMP를 인증하는 'CMP 파트너 프로그램'이라는 서비스를 운영하고 있습니다. 감사는 "이러한 명백한 이해충돌로 인해 우리는 '이러한 CMP들이 실제로 제 역할을 하는가?'라는 의문을 갖게 되었습니다. 추적 거부를 요청할 때 실제로 어떤 일이 일어나는지 측정해 보았습니다..."라고 밝혔습니다.

원문 보기

원문 보기 (영어)

An independent privacy audit of Microsoft, Meta, and Google web traffic in California found that the companies may be violating state regulations and racking up billions in fines. According to the audit from privacy search engine webXray , 55 percent of the sites it checked set ad cookies in a user’s browser even if they opted out of tracking. Each company disputed or took issue with the research, with Google saying it was based on a “fundamental misunderstanding” of how its product works. The webXray California Privacy Audit viewed web traffic on more than 7,000 popular websites in California in the month of March and found that most tech companies ignore when a user asks to opt-out of cookie tracking. California has stringent and well defined privacy legislation thanks to its California Consumer Privacy Act (CCPA) which allows users to, among other things, opt out of the sale of their personal information. There’s a system called Global Privacy Control (GPC), which includes a browser extension that indicates to a website when a user wants to opt out of tracking. According to the webXray audit, Google failed to let users opt out 87 percent of the time. “Googleʼs failure to honor the GPC opt-out signal is easy to find in network traffic. When a browser using GPC connects to Googleʼs servers it encodes the opt-out signal by sending the code ‘sec-gpc: 1.’ This means Google should not return cookies,” the audit said. “However, when Googleʼs server responds to the network request with the opt-out it explicitly responds with a command to create an advertising cookie named IDE using the ‘set-cookie’ command. This non-compliance is easy to spot, hiding in plain sight.” The audit said that Microsoft fails to opt out users in the same way and has a failure rate of 50 percent in the web traffic webXray viewed. Meta’s failure rate was 69 percent and a bit more comprehensive. “Meta instructs publishers to install the following tracking code on their websites. The code contains no check for globally standard opt-out signals—it loads unconditionally, fires a tracking event, and sets a cookie regardless of the consumerʼs privacy preferences,” the audit said. It showed a copy of Meta’s tracking data which contains no GPC check at all. webXray is an independent technology company that runs a search engine that lets people look for privacy violations on the internet . Its founder Timothy Libert is the former lead of cookie policy and compliance at Google. Libert told 404 Media he felt his job at Google was to protect its users but that his bosses didn’t agree. He left the company in 2023 and started webXray. “Shortly before I left my boss told me, direct quote, my job is to protect the company. There was another time I got into a very serious ontological discussion with a fairly senior engineer about what the difference was between taxes and fines and they didn’t understand there was a difference,” he said. Microsoft, Meta, and Google have collectively paid billions in fees for previous privacy violations similar to the ones Libert and webXray found during the audit. According to Libert, the big tech companies don’t fear these fines. “In many ways fines have come to replace taxes,” he said. “What I’m trying to show here is, ‘How is enforcement failing?’ What we’re trying to do here is put people in the regulatory and legal community who work on these issues to have an understanding of what’s actually going on under the hood.” One of the things going on under the hood revealed in the audit is how cookie banners work. Anyone who uses the internet has seen these annoying pop-ups that ask users how they want to handle cookies issued from the site. These are called consent management platforms (CMP). Google, one of the premier purveyors of cookies, runs a service called the CMP Partner Program that certifies CMPs. “This clear conflict of interest led us to ask: do these CMPs actually work?” the audit said. “By measuring what happens when an opt-out signal is sent to a website, we were able to find out, and the findings are clear: no Google-certified CMP we evaluated works 100% of the time, and all of them are often found to fail to prevent Google from setting cookies despite opt-out signals being present.” webXray said it tested three CMP companies and found opt-out failure rates of 77 percent, 91 percent, and 90 percent. “It does not work. It fails. It lets Google, specifically the party who said that this will work, it lets them set cookies,” Libert said. Google, Meta, and Microsoft all disputed the audit. “This report is based on a fundamental misunderstanding of how our products work. We honor opt-out provided by advertisers and publishers as required by law,” a Google spokesperson told 404 Media. “This is a marketing ploy that mischaracterizes how GPC works and Meta's role," Meta told 404 Media. “GPC only restricts certain uses of third-party data and allows website operators to override GPC signals, and we offer the Limited Data Use feature to help websites indicate what permissions they have. When data is transmitted to us with the LDU flag, we restrict the use of that data, as specified in our State-Specific Terms.” “Consumer privacy is a top priority for us, and we remain committed to transparency and compliance with applicable privacy requirements. As outlined in our Privacy Statement, when we receive a GPC signal, we opt the user out of sharing personal data with third parties for personalized advertising, and our advertising systems are designed to reflect that choice,” a Microsoft spokesperson said. “Certain Microsoft cookies are necessary for operational purposes, and may therefore be placed and read even when a GPC signal is detected.” “In my view this stuff isn’t complicated. You say, ‘don’t set the cookie.’ They set the cookie,” Libert said. “The regulators see a fox going into the henhouse and the fox says, ‘I’m just here to count the eggs, not to eat any chickens.’ And they take them at their word. They don’t make them produce any public record.” When caught, governments levy fines against companies and the companies pay. Libert said that isn’t enough. “They can just pay fines forever,” he said. Key to the audit is that Libert and his team provided a simple solution to the violations. According to webXray, it’s as easy as adding one line of code. “When Microsoftʼs ad server receives traffic with Sec-GPC: 1, all it has to do is return a 451 Unavailable For Legal Reasons status code to indicate the content cannot be served due to the consumerʼs legally defined opt-out. No cookie is set in this condition,” the audit said. “This is the Strait of Hormuz in the data economy. If you want to make a change, this is where you cut it off. Anything short of that is theatrical political posture,” Libert said. About the author Matthew Gault is a writer covering weird tech, nuclear war, and video games. He’s worked for Reuters, Motherboard, and the New York Times. More from Matthew Gault

프라이버시 빅테크 규제 개인정보 보호 추적 거부 과징금