위 기사를 봤다. 스탠포드 대학교의 한 연구팀이 'Do Not Track'이라는 소프트웨어를 만들었다는 기사다. 소프트웨어에 대한 직접적인 링크는 다음과 같다.
http://donottrack.us/
재밌는 친구들이다. us 도메인을 얻다니. me도 괜찮았을텐데.
Do Not Track에 대한 이야기를 하기 전에, 그렇다면 track은 도대체 뭘 한다는 소린가, 생각해보자. 기사에서는, 아마존에 들어가서 내가 신발에 대한 정보를 열람하는 것을 예로 든다. 신발 구경을 하고 나면, 아마존은 이 사람이 신발과 관련된 내용을 봤다는 것을 알 수 있다. 구체적으로 어떤 신발인지도 알게 될거다. 그리고 이걸 광고에 활용할 수 있다. 비슷한, 또는 신상 신발의 이미지를 보여주며, "이런 신발 있는데 니 혹시 살 생각 없나?" 하는거다. 또 하나, 이런 정보가 제휴 사이트를 흘러다니게 되면서, 사용자가 다른 사이트에 갔는데도, "니 혹시 신발 안 좋아하나?" 할 수도 있는거다. 아마존이 그렇게 하는지는 모르겠고. 여튼, 사용자들은 뭔가 감시당하는 느낌이 들 수 있다. '이거, 성인용품 구경했다가는 큰일나겠는데?' 할 수 있다. 그러니, "날 이대로 내버려둬. 날 쫒아다니지 말란 말이야!" 하고 싶게 된다.
그럼, Do Not Track은 어떻게 이걸 막아보겠다는 걸까? 소스코드까지 본 것은 아니고, 기사와 donottrack.us의 글만 봤다. 간단히 요약하면 다음과 같다.
- HTTP header에 "날 추적하지마"라고 써서 보낸다.
- 웹 서버는 이것을 본다. 그리고, "응, 그래." 하고 추적하지 않는다.
심플하다. 그리고 이상적이다. 홈페이지에도 다음과 같이 기술하고 있다.
Compliance with Do Not Track could be purely voluntary, enforced by industry self-regulation, or mandated by state or federal law.
순수하게 자발적으로 그렇게 하거나, 산업체들이 스스로 규제하거나, 법으로 막거나.
처음엔, 이 친구들, 너무 순진한건가? 했다. 스탠포드 다니는 애들이니 나보다는 똑똑할거고, 무슨 생각일까 했는데, 대표 연구자가 법도 같이 공부하고 있다는 걸 기사에서 본 기억이 났다. 그렇다. 프라이버시 문제는 기술적으로 해결하는 것이 그리 쉽지 않다. 기술적으로 막아도 언제나 뚫릴 위험이 있고, 여러 취약성(vulnerability)을 모두 고려하고 설계하면 너무 뚱뚱해져서 결국엔 아무도 안 쓰게 된다. 이 친구들은 '아마 심플한게 최고여!' 하는 마인드가 아니었을까 생각하고, 보안을 공부하는 입장에서 동의한다. 여담이지만, 현재 기술적인 연구 결과들은 위키릭스에 비밀 문서를 전달할 때 추적당하지 않게 하는 시스템을 만들 때나 쓰일 수 있을까, 일상 생활에서는 거의 쓸 일이 없으며, 그나마 가벼운 토르(Tor, http://www.torproject.org/) 프로젝트도 프라이버시에 정말 민감한 사람이 아니고서는 대단한 인내심을 가지지 않으면 계속 사용하기 어렵다.
Do Not Track은 프로토타입으로 Firefox add-on을 만들어서 제공하고 있고, 서버와 웹 어플리케이션(웹 페이지)에서는 이렇게 바꾸면 된다, 하고 가이드 코드를 제공하고 있다. 사실 브라우저와 웹 어플리케이션, 즉 클라이언트와 서버, 모두 기술적으로 개선되는 것은 아무것도 없다. HTTP가 수정되는 것인데, 헤더 필드 하나 추가되는 것이니 수정이라고 하기에도 민망하다. Firefox add-on으로 개발한 것은 괜찮은 선택이다. 나를 추적하는 것이 싫은 사람도 있고, 별 상관 없는 사람도 있을거다. 별로 상관없다, 라고 생각하는 사람 중에서는 오히려 좋아하는 사람도 있을 수 있다. 이 홈페이지 참 똑똑하네, 내가 신발이 필요한 거 우에 알고 자꾸 권하노? 이런 점에서 옵션으로 쓸 수 있도록 하는 것이 좋다. 다른 브라우저에 built-in으로 들어가더라도 여전히 옵션으로 선택하게 하는 것이 좋겠다.
하지만 내 생각에는 여전히 너무 이상적이다. 과연 웹 서버스 제공자들이 이렇게 설정을 해줄 것인가? 트래킹을 하는 버전과 하지 않는 버전을 따로 만들어야 하는데, 그 귀찮은 작업을 과연 할 것인가? 사용자들이 프라이버시에 매우 민감해져 있고, 트랙킹하는 것을 아주 싫어하며, 대부분의 서비스 제공자들이 여기서 제시하는대로 서비스를 제공하고 있다면, 규칙을 따르지 않는 업체에게 채찍이 가해지고 해당 업체는 망할 수밖에 없겠지만 그런 선순환에 이르게 하는 방법은 과연 뭐란 말인가? 아무리 생각해도 법적 규제 외에는 없다.
