TTA 간행물 - ICT Standard Weekly

> 표준화 참여 > TTA간행물 > ICT Standard Weekly

기술표준이슈

다운로드 (2005-43호)
트위터 페이스북 미투데이

[정보보호] 웹에서의 P3P 기술 적용은 우리의 정보를 보호할 수 있나?

정보화 시대에 사는 우리들은 인터넷의 사용에서 수많은 편리함과 정보 이용의 빠름을 제공받고 있다. 요즈음 인터넷 사이트에 하나 정도 아이디를 갖지 않은 사람은 없을 것이고 심지어는 초등학교 1학년, 유치원생들조차도 인터넷을 뒤져 숙제를 하고 게임을 하고 정보를 습득해 가고 있다. 이처럼 많은 정보화의 장점 속에 무분별한 정보의 홍수가 이어지다 보니 사용자들은 차츰 인터넷 상에서의 사용자 프라이버시에 대한 관심이 그 어느 때보다 높아지게 되었다. 자기도 모르는 사이에, 혹은 본인이 의도하지 않은 자기 정보의 유출로 인해 피해가 생기게 되고 평상시에도 끝없는 스팸 메일과 사생활 침해 속에서 생활해야 하는 상황이 도래한 것이다. 이러한 개인 정보의 유출을 막기 위해 여러 가지 기술적인 것들이 논의되어 왔고 그 하나의 방법으로 국제 웹 표준화 기구인 W3C(the World Wide Web Consortium)에서 개발한 P3P(Platform for Privacy Preferences)가 프라이버시 보호 표준기술 플랫폼으로 사용되게 되었다.

1990년대 중반을 넘어 인터넷 이용자의 급속한 증가와 이를 이용하는 서비스 제공자 사이에 개인 정보의 수집과 이용이라는 불가피한 선택이 필요하게 되었다. 이러한 가운데 인터넷 사용자들의 프라이버시에 대한 우려를 해결하기 위해 미국을 중심으로 이러한 문제를 기술적으로 해결하려는 움직임이 나타나기 시작하였다. 이는 프라이버시 보호 기술(PETs, Privacy Enhancing Technologies)을 개발하는 인터넷 기업과 이용자의 프라이버시를 보호하려는 정부와 소비자 단체 등의 정책적 접근이 바로 그것이다. 이중 소프트웨어의 개발을 통해 프라이버시를 보호하는 문제가 P3P 기술을 탄생하게 한 것이다.

P3P 기술은 웹 사이트 이용 시 프라이버시를 보호하기 위해 웹 브라우저에 설치된 에이전트가 사용자의 개인정보 보호정책과 서비스 제공업체의 사용정책을 비교해 약관 등의 동의 여부를 결정하고 이렇게 정해진 정책에 따라 사용하는 방식이다. 이에 따라 사용자가 서비스 종류에 따라 스스로 정보의 노출 범위를 조절하고 개인 정보 이용의 목적을 쉽게 알 수 있는 장점이 있지만 개인이 전혀 이러한 정보 없이, 관심이 없는 사용자라면 오히려 불편을 초래할 수도 있는 기술이다.

우리나라에서는 이르면 2007년부터 통신사업자 들이 개인정보를 판매, 제공하기 위해서는 정부의 사전 허가를 받도록 하는 ‘개인정보 판매 허가제’가 도입될 예정이다. 또한, 온라인상의 주민등록번호 도용에 대비해 이를 대체할 수 있는 방법이 강구되어 올 연말까지 시험 운영될 예정이다. 이와 같이 ‘개인정보 판매 허가제’가 도입되면 정보 제공이 적법한지를 판별하고 이를 실행함으로써 사전 관리와 이를 감독하기가 손쉬워져 개인정보의 침해 가능성이 훨씬 줄어들 것으로 예상된다. 이와 더불어 개인정보보호 지침을 기계어로 적용하여 이용자 PC가 개인정보 제공의 적법성 여부를 판단할 수 있도록 하는 P3P의 도입 방안도 함께 마련될 예정이다.

P3P 기술은 P3P 시스템에서 이용자가 사이트를 검색할 때 사용자 측의 에이전트는 방문한 사이트의 P3P 정책 파일을 요구하고 이에 대응하여 해당 사이트에서는 프라이버시 정책 파일을 넘겨주게 된다. 이 과정에서 이용자가 설정한 프라이버시 선호 수준과 방문한 웹 사이트 간에 거래가 발생하며 만일 이용자가 설정한 기준에 맞게 되면 요청한 웹 페이지가 전송된다. 이러한 P3P 기술의 적용 예를 살펴보면 Internet Explorer 6.0의 경우 P3P 기술을 사용하여 기계적으로 읽을 수 있는 프라이버시 보호 정책 파일의 자동 비교 기능과 함께 사용자 스스로가 선별적으로 쿠키를 수용할 수 있게 하는 기능을 부가적으로 적용하여 인터넷 이용자가 스스로 자신의 프라이버시를 보호할 수 있도록 개발되었다.

모든 보안 프로그램들이 그렇듯 P3P 기술을 사용하는 것에도 문제점은 존재한다. 대다수의 인터넷 사용자들은 쿠키가 무엇인지, 무엇을 하는 것인지를 전혀 모르고 사용하고 있으며 자신이 인터넷 서비스 제공자들에 의해 모니터링 되고 있다는 사실도 인지하지 못하고 있다. 더욱 중요한 문제는 실제적인 피해를 당하지 않은 이용자는 개인정보의 침해가 무엇인지를 느끼지 못하며 단지 서비스 제공자가 제공하는 모든 부가적인 기능들을 사용하기 위해 P3P의 보안 수준을 최저로 설정하고 사용할 것이다. 이는 쿠키를 거부할 경우 이러한 사이트 접속 때마다 쿠키를 수용할 것인지를 경고하는 팝업 창이 뜰 때마다 짜증을 느끼게 될 수도 있기 때문이다. 또한 P3P의 정책은 개인의 선택권을 폭 넓게 제공하지 못하기 때문에 다양한 환경과 개인의 고려가 미흡할 수도 있다. 이는 잦은 정책 변경과 시간의 허비를 가져올 수도 있다. 현재의 가장 큰 문제는 아직 반도 채 되지 않는 사이트에만 이 정책을 수용하여 사용하고 있다는 점이다. 이럴 경우 정책에 대한 협상은 불가능하고 이들 사이트를 배제하게 되고 이런 경우가 늘어날수록 점차 그 서비스의 사용이 줄어들게 된다.

이러한 웹에서의 개인정보 보호를 위한 기술은 OPS(Open Profiling Standard)가 그 시초라 할 수 있다. Microsoft와 Firefly로 이루어진 초기 OPS는 상업적 사이트가 협동 필터링과 같은 기능을 할 수 있도록 허용하고 사용자들은 그들의 프라이버시를 보호할 수 있도록 하였다. 이러한 OPS 기술은 협동 필터링과 W3C의 RDF(Resource Definition Framework) 응용에 의해 발전하게 된다. 1997년경에 W3C는 XML(eXtensible Markup Language)을 어떻게 OPS에 사용할 것인지를 고려하고 결국 OPS는 W3C에 포함되게 되었다. 이로 인해 P3P 기술은 W3C에 의해 개발되어 인터넷상에서의 프라이버시 보호를 위한 기술적 해결 방안의 하나로 제공되게 되었다.

프라이버시 보호를 원치 않는 사람은 없을 것이다. 그러나 기술의 사용이 어렵거나 불편하다면 그 사용은 현저히 줄어들 것이다. W3C에서 제공한 이러한 P3P 기술은 현재는 가장 바람직한 모델로서 인식되고 있지만 우리나라의 실정에 맞지 않는 부분을 고치고 강력한 정책 결정과 드라이브가 뒷받침되어야만 현실적인 유용성이 증가할 수 있을 것이다. 또한 법령과 표준화 제정을 통한 일반 사용자에 대한 홍보가 절실히 요구되는 시점이다.

류희수 (경인교육대학교 교수, hsryu@ginue.ac.kr)

* 본 글은 저자의 의견일 뿐 TTA 기관의 입장과는 무관합니다.