Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection

이 논문은 구글과 메타의 추적기가 웹사이트 관리자에게 개인정보 수집을 권장하고 기본 설정에 포함시키는 방식을 분석하고, 4 만 개 이상의 웹사이트를 측정한 결과 메타 추적기가 구글보다 훨씬 높은 비율로 양식 데이터 수집이 활성화되어 있으며, 특히 금융 및 의료 사이트에서 정책 위반 가능성이 있음을 규명했습니다.

핵심

이 논문은 **"웹사이트에 설치된 추적기 (Tracker) 들이 모두 똑같은 역할을 하는 것은 아니다"**라는 놀라운 사실을 밝혀냈습니다.

쉽게 말해, **"우리가 웹사이트에 정보를 입력할 때, 그 정보가 광고 회사 (구글, 메타) 로 바로 넘어가는 설정이 의도치 않게 켜져 있는 경우가 매우 많다"**는 것입니다. 특히 건강이나 금융 같은 민감한 정보를 다루는 사이트에서도 이런 일이 벌어지고 있습니다.

이 복잡한 연구를 일상적인 비유로 쉽게 설명해 드릴게요.

---

1. 핵심 비유: "스마트한 도우미" vs "지나친 호기심"

웹사이트를 운영하는 주인 (관리자) 은 광고를 더 잘 띄우기 위해 구글이나 **메타 (페이스북)**의 '스마트 도우미 (추적기)'를 부릅니다. 이 도우미는 방문자가 무엇을 보고, 무엇을 샀는지 알려주어 더 좋은 광고를 보여줍니다.

하지만 문제는 이 도우미들이 방문자의 이름, 전화번호, 이메일 같은 '개인 비밀'까지 자동으로 훔쳐보게 설정되어 있다는 점입니다.

• 구글 (Google Tag): 도우미가 들어오면 "안녕하세요, 저는 여기저기 다닐 수 있어요"라고 인사만 하고, 개인 정보는 건드리지 않겠다고 약속하는 것처럼 행동합니다. 하지만 설정을 직접 찾아서 켜야만 정보를 수집합니다. (설정이 복잡해서 대부분 끄거나 모르고 넘어갑니다.)
• 메타 (Meta Pixel): 도우미가 들어오자마자 **"저는 모든 정보를 다 챙겨드릴게요! 이름, 전화번호, 이메일 다 가져가도 될까요?"**라고 물어보며, 기본적으로 '네'라고 체크된 상태로 시작합니다. 주인이 "아니요"라고 직접 끄지 않는 한, 모든 정보를 가져갑니다.

2. 연구의 주요 발견 (3 가지 이야기)

① "설명서"가 우리를 속입니다 (다크 패턴)

구글과 메타는 웹사이트 주인들에게 설명서를 줍니다. 그런데 이 설명서가 **사실은 "광고 마케팅 자료"**와 비슷합니다.

• 비유: 마치 "이 약을 드시면 건강해집니다!"라고 말하면서, "부작용은 hashing(해시) 라는 마법으로 사라집니다"라고 속이는 것과 같습니다.
• 현실: "해시 (Hashing)"라는 기술은 데이터를 암호화해서 보호해준다고 하지만, 연구진과 미국 정부 (FTC) 는 **"해시만으로는 개인을 식별할 수 없게 만들 수 없다"**고 이미 여러 번 지적했습니다. 그런데도 설명서에는 "이렇게 하면 안전해요"라고 적혀 있어, 웹사이트 주인들은 모르고 위험한 설정을 켜게 됩니다.

② "자동 설정"의 함정

• 메타의 함정: 메타는 설정을 할 때, "고객 정보를 자동으로 수집할까요?"라는 창을 띄우고 기본값을 'ON'으로 설정해 둡니다. 웹사이트 주인은 그냥 '다음'을 누르기만 해도, 방문자의 이름과 전화번호가 메타로 전송되도록 설정이 완료됩니다.
• 구글의 방식: 구글은 이 설정이 기본으로 꺼져 있습니다. 하지만 설정이 너무 복잡하고 설명이 명확하지 않아, 주인이 실수로 켜버리거나 모르고 넘어가는 경우가 많습니다.

③ "병원"과 "은행"에서도 벌어지는 일

이 연구는 가장 민감한 곳인 **병원 (건강)**과 은행 (금융) 웹사이트를 조사했습니다.

• 규칙: 구글과 메타는 "병원이나 은행은 개인 정보를 수집하면 안 돼요"라고 규칙을 정해두었습니다.
• 현실: 하지만 메타 추적기가 설치된 병원/은행 사이트의 30~60% 가 실제로는 환자나 고객의 정보를 수집하도록 설정되어 있었습니다.
• 이유: 웹사이트 주인이 "우리는 일반 쇼핑몰이에요"라고 잘못 신고하거나, 설정을 제대로 확인하지 않아 규칙을 우회한 것입니다. 실제로 '자살 예방 핫라인', '마약 재활 센터', '대출 회사' 같은 곳에서도 방문자의 정보가 유출되고 있었습니다.

3. 결론: 우리가 무엇을 배웠나요?

이 논문은 **"기술이 나쁜 게 아니라, 그 기술을 어떻게 설정하느냐가 중요하다"**는 점을 강조합니다.

• 웹사이트 주인에게: "설치만 하면 끝이 아니다. 설정을 꼼꼼히 확인하지 않으면, 방문자의 비밀이 광고 회사로 넘어갈 수 있다"는 경고를 보냅니다.
• 구글과 메타에게: "설치 설명서를 더 명확하게, 그리고 위험을 솔직하게 알려야 한다"고 요구합니다. 특히 '해시'가 만능 해결책이 아니라는 점을 인정해야 합니다.
• 일반 사용자에게: 우리가 웹사이트에 이메일이나 전화번호를 입력할 때, 그 정보가 어디로 가는지는 우리가 통제하기 어렵다는 사실을 알게 됩니다.

요약

이 연구는 **"구글과 메타가 웹사이트에 설치된 추적기를 통해, 우리가 입력한 민감한 정보 (이름, 전화번호 등) 를 자동으로 수집하도록 유도하고 있으며, 특히 건강/금융 사이트에서도 이 설정이 잘못되어 유출되고 있다"**는 사실을 폭로했습니다. 마치 우리가 약국에 가서 약을 사는데, 약사가 몰래 약의 성분을 광고 회사에 보고하는 설정이 기본으로 켜져 있었던 것과 같은 상황입니다.

이제 우리는 이 설정이 얼마나 흔한지, 그리고 어떻게 고쳐야 하는지 알게 되었습니다.

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

• 배경: 타겟 광고는 사용자의 온라인 활동을 광범위하게 추적하여 프로파일을 구축하는 데 기반을 둡니다. 구글 (Google) 과 메타 (Meta) 와 같은 광고 기업들은 웹사이트 관리자에게 자사 추적 스크립트 (Google Tag, Meta Pixel) 를 설치할 뿐만 아니라, 사용자가 웹사이트에서 작성하는 양식 (Form) 에서 개인식별정보 (PII) 를 자동으로 수집하도록 구성할 것을 권장합니다.
• 문제: 기존 연구들은 추적기의 설치 유무를 이분법적으로만 다루었지, 설치된 추적기가 실제로 PII 수집을 위해 어떻게 구성되었는지는 분석하지 않았습니다. 특히 민감한 데이터 (의료, 금융) 를 다루는 웹사이트에서 이러한 PII 수집 구성이 얼마나 빈번하게 발생하는지, 그리고 제 3 자 (구글/메타) 가 제공하는 문서와 UI 가 관리자의 구성 선택에 어떤 영향을 미치는지는 불명확했습니다.
• 핵심 질문:
  1. 문서와 UI 는 폼 데이터 수집 기능을 어떻게 설명하고 유도하는가?
  2. 실제 웹사이트에서 구글과 메타 추적기의 PII 수집 구성 비율은 얼마나 되는가?
  3. 민감한 산업 (의료, 금융) 웹사이트에서 이러한 구성이 정책 위반으로 발생하는가?

2. 연구 방법론 (Methodology)

이 연구는 정성적 분석과 대규모 측정 연구 (Quantitative Measurement) 를 결합한 혼합 방법론을 사용했습니다.

A. 정성적 분석 (Documentation & UI Analysis)

• 대상: 메타 픽셀 (Meta Pixel) 과 구글 태그 (Google Tag) 의 공식 문서 및 설정 인터페이스.
• 과정: 연구진이 직접 테스트 웹사이트를 구축하고 추적기를 설치하는 과정을 시뮬레이션하며, 문서와 UI 를 역공학 (Reverse Engineering) 하였습니다.
• 코드북 (Codebook): 다크 패턴 (Dark Patterns) 및 행동 경제학 이론을 기반으로 다음과 같은 5 가지 코드를 도출하여 분석했습니다.
  1. Hidden risk (숨겨진 위험): PII 공유의 위험을 충분히 알리지 않음.
  2. Least private defaults (최소 프라이버시 기본값): 데이터 수집을 최대화하는 기본 설정.
  3. Least private recommendations (최소 프라이버시 권장사항): 데이터 수집을 극대화하는 명시적 권장.
  4. Loss aversion (손실 회피): 데이터를 수집하지 않으면 기회를 놓친다는 인식 조성.
  5. Contradictory language (모순된 언어): 개인정보 보호 정책과 데이터 수집 기능 간의 모순된 설명.

B. 대규모 측정 연구 (Measurement Study)

• 데이터셋: Tranco 랭킹과 SimilarWeb 을 결합하여 선정된 40,150 개 웹사이트 (의료 3,406 개, 금융 1,633 개 포함).
• 데이터 수집 파이프라인:
  1. 폼 주입 (Form Injection): 각 웹사이트의 랜딩 페이지에 가상의 PII 필드 (이메일, 전화번호, 이름 등) 가 포함된 HTML 폼을 주입하고 제출했습니다.
  2. 네트워크 트래픽 캡처: 추적기가 가짜 데이터를 구글/메타 서버로 전송하는지 네트워크 이벤트를 모니터링했습니다.
  3. 정적 분석 (Static Analysis): 다운로드된 자바스크립트 코드를 분석하여 메타 픽셀의 설정 파일 (selectedMatchKeys) 이 PII 수집을 활성화했는지 확인했습니다. (구글 태그는 코드 난독화로 인해 정적 분석이 어려워 동적 분석에 의존했습니다.)
• 검증: 3 회 이상의 재시도, 수동 검증 (샘플링), 쿠키 동의 배너 처리 여부 테스트 등을 통해 오검출/미검출률을 최소화했습니다.

3. 주요 기여 (Key Contributions)

1. 추적기 구성 분석 방법론 개발: 추적기 문서와 UI 를 정성적으로 분석하고, 대규모 웹사이트에서 추적기 구성을 측정하는 파이프라인을 구축했습니다.
2. 구글과 메타의 PII 수집 유도 방식 폭로: 두 기업 모두 해싱 (Hashing) 을 프라이버시 보호 방법으로 잘못 설명하고 있으며, 최소 프라이버시 기본값과 권장사항을 통해 관리자를 유도하고 있음을 규명했습니다.
3. 구성 빈도 차이 발견: 메타 픽셀이 구글 태그보다 폼 데이터 수집을 훨씬 더 빈번하게 구성하고 있음을 실증했습니다.
4. 규제 위반 사례 식별: 의료 및 금융 웹사이트 중 메타/구글의 정책 (민감한 산업에서의 자동 수집 금지) 을 위반하여 PII 수집이 활성화된 구체적인 웹사이트를 식별하고 해당 기관에 공개했습니다.

4. 주요 결과 (Key Results)

A. 문서 및 UI 분석 결과

• 메타 (Meta): 설정 워크플로우에 데이터 수집을 활성화하라는 프롬프트가 포함되어 있으며, 기본값으로 모든 11 가지 PII 필드 (이메일, 이름, 전화번호 등) 를 선택합니다. 해싱이 프라이버시를 보호한다고 잘못 명시되어 있습니다.
• 구글 (Google): 설정 워크플로우에 데이터 수집 프롬프트가 명시적으로 포함되어 있지 않아 (기본 비활성화), 관리자가 직접 찾아서 켜야 합니다. 하지만 문서에는 해싱이 안전하다고 주장하는 모순된 내용이 포함되어 있습니다.
• 민감한 산업 대응: 두 기업 모두 의료/금융 카테고리를 선택하면 자동 수집을 제한한다고 하지만, 이는 관리자의 자가 신고 (Self-reported) 에 의존하며, 문서에서 그 중요성을 명확히 설명하지 않아 우회 (수동 스크립트 변경 등) 가 가능합니다.

B. 측정 연구 결과

• 설치율 vs 구성율:
  • 설치율: 구글 태그 (72.6%) 가 메타 픽셀 (28.2%) 보다 훨씬 널리 설치되어 있습니다.
  • 수집 구성율: 메타 픽셀이 설치된 사이트 중 62.3% 가 폼 데이터 수집을 활성화한 반면, 구글 태그는 11.6% 에 불과했습니다.
  • 상관관계: 메타 픽셀이 설치된 사이트는 구글 태그도 폼 데이터를 수집할 확률이 4.8 배 높았습니다.
• 민감한 산업 (의료/금융) 의 차이:
  • 메타 픽셀의 경우, 민감한 산업 (의료 30.8%, 금융 20.3%) 에서의 수집 구성 비율이 비민감 산업 (68.0%) 보다 현저히 낮았습니다. (기술적 제한이 일부 작동함)
  • 반면, 구글 태그는 산업 구분과 상관없이 수집 구성 비율이 일관되게 높았습니다 (의료 11.6%, 금융 13.4%).
• 수집되는 PII 유형: 메타 픽셀의 경우, 기본 설정을 그대로 사용하거나 커스터마이징하더라도 이메일 (99.5%), 이름 (93.7%), 전화번호 (93.5%) 수집이 압도적으로 높았습니다.

C. 정책 위반 사례

• 연구진은 메타와 구글의 정책 (민감한 산업에서의 자동 PII 수집 금지) 을 위반하여 수집이 활성화된 121 개 웹사이트를 식별했습니다.
• 예시: 재활 센터, 의료 보험 서비스, 신용 카드 회사, 정신 건강 기관 등.
• 일부 웹사이트 (예: NAMI) 는 연구진 공개 후 설정을 수정했습니다.

5. 의의 및 시사점 (Significance)

• 기술적 통찰: 추적기 설치 자체가 문제가 아니라, 설치 후의 구성 (Configuration) 이 사용자의 프라이버시를 결정하는 핵심 요소임을 밝혔습니다.
• 규제 및 정책 제안:
  • 해싱 (Hashing) 은 PII 보호에 불충분하며, 규제 기관 (FTC 등) 은 이를 명확히 해야 합니다.
  • 구글과 메타는 민감한 산업 관리자에게 더 명확한 경고와 기술적 제한을 제공해야 합니다.
  • "나쁜 기본값 (Bad Defaults)"을 개선하고, 관리자가 프라이버시 리스크를 인지할 수 있도록 UI 를 개선해야 합니다.
• 사용자 보호: 브라우저 확장 프로그램 등을 통해 사용자가 폼 제출 전에 어떤 PII 가 수집될지 경고하는 기술적 방어책의 필요성을 제시했습니다.

이 연구는 광고 생태계에서 PII 유출이 단순한 기술적 결함이 아니라, 설계된 구성 유도 (Design-induced configuration) 에 기인함을 보여주며, 향후 프라이버시 보호를 위한 기술적, 규제적 개입의 방향성을 제시합니다.