구글·메타·마이크로소프트, 추적 거부 신호 무시하고 쿠키 생성

주장구글과 메타, 마이크로소프트가 사용자의 추적 거부 의사를 무시하고 광고 쿠키를 생성하고 있습니다. 이는 캘리포니아 소비자 프라이버시법을 비롯한 관련 법규를 위반할 가능성이 크며, 거대 기술 기업들이 규제 당국의 감시를 사실상 회피하고 있다는 분석입니다.

팩트웹엑스레이는 지난 3월 캘리포니아 지역 인기 웹사이트 7000여 곳을 대상으로 독립 감사를 진행했습니다. 조사 결과 구글은 사용자의 추적 거부 신호인 글로벌 프라이버시 제어(GPC)를 87% 확률로 무시했습니다. 메타는 69%, 마이크로소프트는 50%의 실패율을 보였습니다.

팩트구글은 사용자가 GPC 신호를 전송해도 서버 응답 과정에서 아이디(IDE)라는 이름의 광고 쿠키를 생성합니다. 이는 네트워크 트래픽상에서 명확하게 드러나는 위반 사례로 기술적 식별이 가능합니다.

팩트메타는 웹사이트 게시자에게 제공하는 추적 코드에 글로벌 표준인 추적 거부 신호를 확인하는 절차를 포함하지 않았습니다. 해당 코드는 사용자의 프라이버시 설정과 관계없이 무조건 로드되어 쿠키를 생성합니다.

교차검증구글은 이번 보고서가 자사 제품 작동 방식에 대한 오해에서 비롯되었다고 반박했습니다. 메타는 GPC가 특정 제3자 데이터 사용만 제한할 뿐이며, 제한적 데이터 사용 기능을 통해 법적 요구사항을 준수하고 있다고 주장했습니다.

팩트마이크로소프트는 소비자 프라이버시를 최우선으로 생각하며 관련 법규를 준수한다고 밝혔습니다. 다만 운영상 필요한 일부 쿠키는 GPC 신호가 감지되어도 예외적으로 생성될 수 있다고 설명했습니다.

팩트웹엑스레이 설립자 티모시 리버트는 과거 구글에서 쿠키 정책 및 규정 준수 업무를 담당했습니다. 그는 구글 재직 당시 사용자를 보호하려는 업무 방향과 회사의 이익 추구가 충돌하여 2023년 퇴사했습니다.

주장리버트는 거대 기술 기업들이 반복적인 프라이버시 위반으로 부과받는 벌금을 사실상 세금처럼 여긴다고 비판했습니다. 그는 현재의 벌금 중심 규제 방식이 실질적인 변화를 이끌어내지 못한다고 지적했습니다.

팩트구글이 인증하는 동의 관리 플랫폼조차 추적 거부 신호를 제대로 처리하지 못합니다. 조사 대상이 된 구글 인증 동의 관리 플랫폼의 추적 거부 실패율은 77%에서 91%에 달하며, 이는 구글이 인증한 시스템조차 자사 쿠키 생성을 막지 못함을 의미합니다.

주장웹엑스레이는 기술적으로 간단한 해결책이 존재한다고 강조했습니다. 광고 서버가 추적 거부 신호를 받으면 법적 이유로 콘텐츠를 제공할 수 없다는 451 상태 코드를 반환하는 것만으로도 쿠키 생성을 원천 차단할 수 있습니다.

출처포포미디어(404 Media)의 보도 내용을 교차 검증했습니다.