쿠키(Cookie)에 대한 모든것 완전 정복!!

형수 2009.01.31 13:19:42
1. 들어가기전에

회원여러분들께서는 인터넷 서핑을 하다보면 쿠키(Cookie)에 대한 얘기를 많이 들으셨으리라 생각합니다.먹는 쿠키를 연상하게 된다고요?  개인용PC까지 해킹의 위협을 받으면서 쿠키로 인한 보안 문제가 많이 대두되고 있는데..해커가 임의로 사용자에 대한 신상정보 등을 빼내는 수단으로 악용되고 있기때문입니다. 이글은 현재 전세계적으로 가장 많이 사용하고 있는 웹브라우저인 익스플로러로 기준으로 해서 탑재된 쿠키에 대해서 자세하게 살펴보도록 하겠습니다.

2. 쿠키에 대한 이해
 

쿠키의 정의를 먼저 살펴보면..인터넷 웹사이트(웹 서버)와 인터넷 사용자(웹 브라우저) 자신의 컴퓨터 사이에서 통신을 매개 해주는 정보를 기록하는것을 말한다.

인터넷 사용자가 웹사이트에 접속한 후 이 사이트 내에서 어떤 정보를 읽어들이고 어떤 정보를 남겼는지 기록하는 것이 쿠키 소프트웨어의 핵심 기능인 것이다.

남몰래 한 밤중에 인터넷을 사용하고 나서 "내가 뭘 했는지 아무도 모르겠지" 라고 생각하면 그것은 착각이다. 바로 인터넷 쿠키기술 때문이다.

쿠키는 네티즌이 웹사이트에 접속했을 때 그 웹 서버에서 네티즌의 컴퓨터로 보내는 작은파일(4kb이하) 이다.. 파일이 과자부스러기처럼 작기 때문에 쿠키라고 부르게 되었다고 한다. 익스플로러와 넷스케이프등 웹 브라우저는 쿠키기능을 탑재하고 있는것이다.

쿠키에는 네티즌이 인터넷에서 어떤 콘텐츠를 살펴봤는지, 어떤 상품을 구입했는지 등 일거수 일투족이 기록되며 특정사이트에 접속하면 그의 행적이 쿠키에 담겨 컴퓨터의 하드디스크에 저장되는 방식이다.

네티즌이 다시 해당 사이트에 접속하면 이 사이트의 서버는 네티즌의 컴퓨터에 있는 쿠키를 불러 그가 누구인지, 어떤 정보를 많이 찾았는지 파악할 수 있다.

쿠키는 사용자들이 편리하게 웹사이트를 이용하자는 의도에서 개발됐는데,예를 들어 인터넷 서점에서 책을 살 때 처음에만 이름과 주소 등을 입력하고 그 후부터는 안해도 되는 것은 바로 쿠키 때문이다.

하지만 쿠키는 이용자의 프라이버시를 침해할 수 있다는 문제점이 있다.

 

3. 쿠키의 특징


①쿠키의 내용은 암호화 되어 있어 쿠키 프로그램 제작자만이 알 수 있다.

②하드디스크에 심어진 쿠키는 그것을 제공한 사이트에서만 검색할 수 있다.

③쿠키 폴더에는 약 300개까지의 쿠키만 담을 수 있으며, 쿠키 폴더의 내용은 4000바이트를 넘을 수가 없다. 또한 한 사이트에서 한 쿠키폴더에 20개 이하의 쿠키만 담을 수 있다.

④쿠키는 프로그램이 아니므로 실행될 수 없다.

⑤쿠키는 바이러스가 아니므로 트로이의 목마가 될수 없다.

⑥쿠키에 담긴 정보는 합법적으로 꺼내갈 수 있다. 그러나 쿠키 이외의 하드디스크에 담긴 내용은 꺼내갈 수없다. 그것은 불법행위에 속하는 일이기 때문 이다.

 

4. 쿠키의 저장내용과 쿠키값

 

4-1.쿠키에 담겨지는 내용

-쿠키에 담겨지는 정보는 쿠키를 제공하는 웹사이트의 이름, 쿠키의 이름과 존속기간, 쿠키 값 등이 있으며 문제는 쿠키값이다. 쿠키값으로 나타나는 정보는 쿠키프로그램의 제작자만이 알수 있는 것으로 컴퓨터의 사용자는 이를 알 수가 없다.

-쿠키 값의 저장내용과 활용

쿠키값에는  컴퓨터 사용자가 그 웹사이트를 방문해서 남긴 자취(자신의 이름, 암호, 주민등록번호, 신용카드번호 등) 와 사이트를 방문하면서 둘러본 페이지, 즐겨찾는 페이지, 사용자의 검색패턴, 배너광고 등이 저장되어 있을 수 있고 그 내용의 범위는 쿠키 프로그램 제작자가 어떻게 설정하느냐에 따라 다르다.

쿠키를 잘 사용하면 웹사이트 개발자는 누가 자기들 사이트를 방문했는지를 알수 있고 어느 국가의 어떤 지역 고객이 주로 방문했는지, 고객들의 취향이 무엇인지, 얼마나 많은 사람들이 특정 서비스나 상품에 관심을 보였는지도 알 수 있다. 쿠키 정보를 바탕으로 통계를 낼 수 있고, 웹사이트 단장을 갱신하기도 한다..

쿠키는 사용자의 클릭패턴에 대한 소극적인 정보를 담을 뿐이기는 하나 사용자가 양식을 채우거나 설문에 응하면서 무의식적으로 기입한 정보들은 쿠키에 저장되어 유출될 가능성이 있다는 데에 개인정보 침해의 문제가 발생된다.

4-2.쿠키가 담겨지는 장소와 탐색

쿠키 파일은 대개 자신이 사용하는 브라우저 디렉토리의 하부에 저장된다. (예를 들어, 넷스케이프 디렉토리의 서브 디렉토리 등). 넷스케이프 사용자는 탐색기를 써서 컴퓨터 내에 cookies.txt라는 파일을 찾으면 쿠키가 설치되어 있는 디렉토리를 발견할 수 있다. 익스플로러에서는  쿠키 하나를 하나의 텍스트 파일(예컨대 c:\windows\cokies@doubleclick..txt)에 담고 있다.

 

5. 쿠키의 제공 원인과 목적

5-1.쿠키의 제공원인

웹의 프로토콜인 HTTP를 사용하면, 웹 페이지에 대한 각각의 요구는 다른 요구들과 상관 관계없이 모두 독립적이다.그렇기 때문에 웹 서버는 그 사용자에게 이전에 어떠한 페이지가 보내어졌는지에 관한  아무런 기록도 가지고 있지 않으며, 심지어 그 사용자가 이전에 방문했었는지조차 알기 어렵다.

기술적으로 쉽게 말하자면 웹프로토콜인 http는 이전에 어떤 일이 있었는지를 기억하지 못한다.

이전에 한번 방문했던 웹서버를 다시 찾아와도 그 네티즌은 처음 방문자로 취급된다.

서버는 전에 그 사용자가 왔었다는 사실조차도 기억하지 못한다(프로토콜의 단순성). 이런 프로토콜을 전문용어로 stateless protocol이라 한다.

5-2쿠키의 제공 목적

-웹사이트접속 및 이동의 편의

사용자 아이디와 패스워드를 요구하는 웹사이트를 자주 방문하는 경우 매번 똑같은 과정을 반복, 기입하다 보면 사용자는 짜증을 내기 마련이고 웹사이트 방문횟수를 줄이기 쉽상이다.

이때 웹사이트 입장에서는 회원의 방문횟수를 늘이려는 의도이고 사용자 입장에서는 편리하게 웹사이트 접속 및 이동이 가능하다는 것이다.

쿠키는 일반적으로 배너광고를 회전시키기 위해 사용되기도 하지만, 사용자가 쓰고 있는 브라우저의 형식 또는 그 웹사이트에 이미 제공했던 다른 정보에 기초를 두어 서버에서 보낼 웹 페이지들을 사용자에게 맞추는 데에도 사용된다. 물론, 웹 사용자들은 쿠키가 자기 컴퓨터에 저장되는 것에 동의해야만 하는데, 대개는 이러한 것들을 통해 웹사이트가 사용자들을 좀더 잘 지원하는데 도움을 준다.  

 

6. 쿠키에 대해 알려진 문제점

-자바 스크립트 안끌때 쿠키 저장된 개인정보 쉽게 노출

인터넷 익스플로러를 이용한뒤 윈도우의 자바 스크립트 기능을 끄지 않을 경우 쿠키에 저장된 개인 신상 정보가 쉽게 노출되는 것으로 밝혀졌다.

-익스플로러에 해커들이 침입해 전자상거래와 관련한 민감한 정보를 빼낼수있는 결함.

전자상거래 사이트에서 거래를 하기 위해 필요한 개인정보가 노출되는 것 뿐만 아니라 웹에 기반을 둔 e-메일이나 과거의 웹 사이트 검색상황을 파악할 수 있도록 한다는 점에서 우려를 자아내고 있다고 전문가들은 지적하고 있다.

-광고 업체들의 개인정보를 이용한 광고전략 도구로 사용

전자상거래가 확산되고 있음을 감안하면 개인정보 보호에 심각한 타격을 줄 가능성이 높으며 쿠키는 온라인 광고업체들이 인터넷 사용자의 기호 등을 수집·분석해 광고전략을 짜는 데 유용한 도구로 활용돼 왔던것이 사실이다. MS측에서는 공식적으로 쿠키에 의한 해킹 공격 가능성을 인정함과 동시에 온라인 광고업체들의 이런 쿠키이용 폐단을 막기위해 익스플로러5.5 부터 컴퓨터 사용자들의 쿠키 거부권'을 보장하는 기능을 탑재했던 것이다.

이에 따라 인터넷 광고기업들의 협의체인 「네트워크 어드버타이징 이니셔티브」는 스티브 발머 MS 사장에게 직접 항의서한을 띄우는 등 반발하고 나섰다. 이들은 『MS 방침대로 쿠키 사용이 제한될 경우 인터넷 광고업계는 물론 많은 사업자들과 소비자들이 엄청난 피해를 입게 될 것』이라고 주장했다고 한다.   

 

7. 더블클릭사의 사례와 MS익스플로러의 쿠키

 

 7-1.더블클릭사 사례

온라인상 고객정보 추적기능과 데이터수집행위의 불공정행위 또는 소비자 기만행위 여부

-사건개요

인터넷 최대의 광고회사로서 인터넷 배너광고의 선두주자인 더블클릭(DoubleClick Inc.)은 지난 몇 년 동안 사용자의 하드 디스크 드라이브에 일종의 전자지문인 ‘쿠키(cookie)’라고 불리는 파일을 보냄으로써 수백만 인터넷 사용자들의 인터넷 이용습관에 대한 상세한 정보를 수집해왔다. 

쿠키를 받은 사용자들은 더블클릭의 고객인 1500개 회사의 웹사이트를 방문하는 순간 특정 계층의 소비자를 겨냥한 광고를 자동으로 수신하게 된다. 광고는 쿠키의 형태로서 웹 방문자들의 컴퓨터에 고유 인식암호를 부여하고 사용자의 사용내역을 추적하되 개인의 실제 이름과 주소에는 링크시키지 않았었다.

따라서 사용자들은 그동안 자신들이 온라인에서 사용하는 ID를 통해 자신들의 정체가 밝혀질 수 없다고 생각했기 때문에 아무런 염려 없이 더블클릭의 쿠키 파일을 받고 대신 인터넷을 좀 더 효율적으로 이용할 수 있는 이점을 누렸다. 그러나 1999년 11월 더블클릭이 18억 달러를 들여 마케팅 기업인 에버커스 다이렉트(Abacus Direct)사를 인수하면서 문제가 제기되었다. 

아바커스 다이렉트는 9000만 가구의 이름, 주소, 현실 공간에서의 구매 습관 등을 수록한 구매분석 데이터베이스를 자산으로 하고 있다. 더블클릭은 2000년 1월에 에버커스에 기록된 사람들이 현실 공간과 사이버공간에서 보여주는 구매습관과 그들의 실제 이름 및 주소를 연결(링크)시키는 프로그램을 만드는 계획을 전격 발표했다. 예전에는 익명으로 이루어지던 온라인 쇼핑이 개인 판별이 가능한 실명정보로서  기록되게 된 것이다. 

이에 전자프라이버시정보센터(EPIC : Electronic Privacy Information Center)가 미 연방공정거래위원회(FTC : Federal Trade Commission)에 더블클릭을 고발해 FTC가 더블클릭이 소비자정보 사용에 대해 소비자를 기만했는 지를 조사중이다. 또한 캘리포니아주 매린 카운티의 보조행정직원인 해리엣 저드닉은  더블클릭사를 프라이버시 침해와 영업 사기 혐의로 고소했다. 더블클릭사가 자신의 허락없이 사생활 정보를 모아 관리했을 뿐만 아니라 이를 마케팅에 활용하려했다는 주장이다

-소비자 프라이버시 보호론자들의 주장

쿠키나 인터넷 사용자 PC고유의 파일을 에버커스 데이터베이스와 합치려는 더블클릭사의 계획과 실행은 부당하며 개인정보의 익명성은 보장되어야 한다. 그리고. 소비자 개인신상정보를 수집함에 있어서 소비자의 동의가 필요하며 사이버공간에서의 웹서핑 감시는 오프라인에서 어떤 가게에 들리고 무엇을 구매하는 지 추적하는 것과 다를바 없다. 실명연계가 되면 청바지를 고르거나, 알츠하머병, 또는 섹스기구에 대한 정보를 얻으려고 언제 웹을 검색 했는지 속속들이 밝혀지고 이 정보가 기업이나 보험회사에 넘어가 온라인 상의 빅브라더(Big Brother)를 탄생시킬 것이다. 더블클릭사는 고객이 다른 기업이 운영하는 웹사이트로 이동할 때에도 온라인 추적을 하였으며 몇몇 기업은 더블클릭의 추적사실도 모르고 있다.

웹을 감시의 수단으로 변질시켜 전자상거래를 해쳐서는 안된다. 더블클릭사는 사용자 정보를 익명으로 수집하던 이전의 방법으로 돌아가야 한다. 실명이 아닌 익명으로도 온라인에서 충분한 광고효과를 누릴 수 있기 때문이다. 더블클릭사는 소비자와의 개인정보보호에 대한 약속을 어겨가며 불공정하고 사기적인 수법으로 개인정보를 활용하려는 경우로서 더블클릭사와 제휴하는 다른 기업들에게 FTC가 책임을 물을 것인지에대한 여부를 촉구하였다.

-더블클릭사의 주장

인터넷은 소비자정보를 수집하고 보내는 방식에 있어서 최대한 이익을 추구하는 방향으로 쓰여야 한다.

웹사이트의 대부분이 적자인 상태에서 광고회사가 소비자의 선호도를 파악하지 못하게 막는 것은 인터넷의 자유로운 사용을 위협하는 행위이다.

웹서퍼의 신상정보 수집을 밀고 나가기 전에 정부 및 업계의 가이드라인이 나올 때까지 전략상 후퇴하겠다. 에버커스에 기록된 사람들이 현실 공간과 사이버공간에서 보여주는 구매습관과 그들의 실제 이름 및 주소를 연결(링크)시키는 프로그램을 만드는 계획은 아직 시행되지 않은 상태이며 소비자들에게 개인정보수집 사실을 알리고 소비자에게 선택권을 부여한 웹사이트에서만 제한적으로 사용할 것이다.

실명 개인의 정보를 포함시킨 파일을 만들기 전에 사용자에게 '명확한 통보와 선택'의 기회를 제공할 것이다. 소비자들의 입장에서 그들의 관심사항에 더 가까운 광고를 손쉽게 볼 수 있어 오히려 이득이 될 것이다. 소비자들은 정확한 결정을 하기 위해 필요로 하는 모든 정보를 얻게 되며 소비자에게 제 때 알맞는 메시지를 전달하여 소비자로 하여금 구매선택의 실수를 덜게 해 줄 것이다.

-더블클릭사의 네트워크상 한계와 문제점

사용자가 보게 할 광고의 결정은 1초이내의 순식간에 이뤄져야 한다. 따라서 방문 사이트의 분류 범위를 넓게 잡아야 사용자들의 온라인 습관을 파악할수 있는 확률이 높다. 더블클릭사가 입수하는 정보는 제한적이다. 그 정보는 특정 사용자의 온라인 행태 전반을 파악하기에는 미흡하다. 더블클릭은 1,500개 웹사이트와 제휴하고 있으나 인터넷 상에는 이 보다 월등 많은 수많은 사이트가 존재하고 방문 사이트의 분류 범위도 광범위하다.

쿠기는 한 대 컴퓨터 또는 일 개인의 성향을 나타내는데 만일 한가족 4명이 컴퓨터 한대를 같이 쓴다면 한개의 더블클릭 쿠기만으로는 가족 구성원 개개인간 정보가 구분이 안되어 실효성이 떨어지게 된다.

이러한 한계를 극복하기 위하여 더블클릭사가 전자상거래의 초기단계에서 상습적으로 아무도 모르게 온라인 추적행위를 시도해 왔다는점과 웹 서퍼의 데이터를 수집하고 분석해 개인 프로필을 만들고 이를 근거로 모든 무료 웹사이트에 널려있는 배너광고를 보도록 유도한 점, 익명으로 된 개인 프로필을 수집한 후 이를 프로그램에 의해 웹사용자의 실명과 주소에 연계하여 개인정보를 구체적으로 실명제하고, 웹 서퍼의 온라인이나 오프라인에서의 쇼핑습관까지 포함한 자세한 인물정보를 구축 시도한 점 등이 문제점으로 지적되고 있다.

-논란의 결과

프라이버시 보호론자들과 더블클릭사는 당분간 수집된 정보가 최소한의 기본 정보에 그쳐야 한다는 데에 합의했다. 또한 개인정보를 분석해 광고에 이용하는 범위도 최소한의 단계에 그치도록 하였다.

더블클릭의 논란은 미국에서의 프라이버시 문제를 새삼스레 각성시키는 계기가 되었고 정부에서는 프라이버시 보호규정을 만들어야 한다는 자각이 일게 되었다

시민단체들은 온라인 마케팅 회사들의 개인정보 수집행위나 그 방법, 적용 범위 등을 이용자들에게 구체적으로 알리도록 하는 법률안을 미 의회에 제안할 계획이다. 

미국내 일부 주정부에서도 일반 온라인 소비자들의 권리를 강화하는 법률적 방안을 검토하고 있다.

7-2.MS, 익스플로러의 개인정보유출 문제

-익스플로러의 오류 발견

전자상거래 사이트들이 일반적으로 고객들의 거래내역을 추적할 수있는 소위 '쿠키'라는 민감한 파일들을 저장하고 있는데 익스플로러는 해커들이 이 쿠키를 훔칠 수 있는 가능성을 열어두고 있다. 이 문제는 베넷 하셀톤이라는 21세의 인터넷검열 저항운동가가 처음 발견했다. 이에 따라 해커들이 익스플로러의 이같은 결함을 이용, 컴퓨터에 저장된 고객의 신용카드 정보를 이용해 온라인 구매를 할 가능성에 대해 우려하는 여론이 형성되고 그에 대한 조사가 시작되었다.

-개인정보의 유출 우려

전세계 웹 사용자들의 3분의 2가 사용하고 있는 익스플로러가 민감한 파일을 해커들의 공격에 상대적으로 노출시키고 있다는 사실은 네티즌들의 보안 우려를 크게 고조시키고 있다. 특히 익스플로러의 결함은 전자상거래 사이트에서 거래를 하기 위해 필요한 개인정보가 노출되는 것 뿐만 아니라 웹에 기반을 둔 e-메일이나 과거의 웹 사이트 검색상황을 파악할 수 있도록 한다는 점에서 우려를 자아내고 있다.

-마이크로소프트의 반응

마이크로소프트(MS)사의 인터넷 브라우저인 인터넷 익스플로러가 쿠키(cookies)라는 파일들을 해커들에게 노출시키고 있다고 보도에 대하여 MS사의 보안업무 최고책임자(스티브 컬프) 역시 익스플로러에는 분명 취약한 부분이 있다며 빠른 시일내에 그 문제를 해결하겠다고 시인하였다.

 

8. 쿠키에 대한 대응책

 

①쿠키를 제거한다(탐색기에서 찾기 명령으로 'cookies.*'을 찾아 지운다)

②쿠키는 받아들이되 구체적인 정보는 입력하지 않는다. 웹사이트에서 개인정보를 입력한후 자신의 컴퓨터 디렉토리에서 쿠키를 삭제할 수도 있다.

③인터넷을 이용하면서 프라이버시를 침해받지 않으려면 쿠키를 받지 않도록 설정 하면 되는데..익스플로러5.0 이상에서는 도구→인터넷 옵션→보안→사용자정의수준을 차례대로 선택한 다음에 선택사항 중 쿠키를 찾아 "사용안함"에 체크 표시를 하면 된다. 이렇게 되면 일부사이트를 이용할수 없게 된다.

④쿠키를 보안 영역별로 설정을 다르게 지정할 수 있다. 예를 들어, 웹 사이트가 신뢰할 수 있는 사이트 또는 로컬 인트라넷 영역에 있는 경우에는 쿠키를 만들 수 있게 하고, 사용자의 인터넷 영역에 있는 경우에는 쿠키를 만들기 전에 확인을 받도록 하며, 제한된 사이트 영역에 있는 경우에는 쿠키를 만들 수 없게 할 수 있다.

⑤소비자가 원치 않을 경우 온라인 추적을 중지시키는 프로그램을 개발하는 등 자율 규제안을 마련할 필요가 있다.