인터넷을 하다보면 가끔 불편한 상황이 발생한다. 인터넷을 몇 분만해도 임시 파일이 수백 개, 여러 시간 하다보면 임시 파일이 수천에서 수만 개가 생성된다. 임시 파일은 과거에는 저장공간 차지, 악성코드 및 바이러스와의 관련성 등의 이유로 미움을 받아왔는데 최근에는 개인정보 유출 우려로 문제가 되고 있다.
김영준(30, 회사원) 씨는 인터넷을 사용하고 나면 임시 파일을 삭제한다. 임시 파일을 삭제 하는 습관이 생기고 나서부터 컴퓨터에 악성코드나 바이러스가 나타나지 않았다. 이성수(33, 회사원)씨는 스마트폰으로 인터넷을 한 후부터 임시 파일이 차지하는 저장공간이 앱이 차지하는 저장공간보다 크다는 사실을 알게 됐다. 앱을 많이 다운로드하지 않았는데도 앱과 관련이 있는 임시 파일뿐만이 아니라 인터넷을 하면서 생성되는 임시 파일이 꽤 많은 저장공간을 차지하고 있었던 것이다.
이때 임시 파일이 많이 생성될수록 악성코드나 바이러스의 수도 많아졌다. 이와 같이 사이버 공격자들은 사용자들이 사용하는 PC와 모바일 단말기 등의 SW 또는 앱의 취약점을 노려 감염시킨다. SW 또는 앱의 취약점에 대한 보안 패치는 제작사에서만 제공이 가능하기 때문에 보안강화를 위해 정식 SW 또는 앱 제공사에서 제공하는 업데이트 설치는 필수라고 알려져 있다.
그러나 스마트폰의 경우 빈번한 앱 업데이트의 내용은 보안과 무관할 때가 많다. 심지어 이용자에게 별 의미 없는 이미지가 몇 개만 업로드 되어도 업데이트하라는 알림창이 뜰 정도이다. 따라서 앱 업데이트에 보안을 의지하기 보다는 이용자가 스스로 임시 파일을 매일 삭제해 주는 것이 컴퓨터와 스마트폰을 깔끔하게 사용하는 방법이 된다.
애물단지 임시 파일
임시 파일은 악성코드, 바이러스와 연관이 있다. 임시 파일을 삭제하다 보면 악성코드나 바이러스가 삭제되기도 하고 남아있기도 한다. 그 이유는 임시 파일과 악성코드의 관계는 임시 파일 자체가 아닌, 그 임시 파일들이 저장되는 위치와 관련이 있기 때문이다. 임시 파일은 인터넷 사용 시 속도향상을 위해 PC에 남기게 되는 파일이다. 악성코드 제작자는 이런 상식적인 부분을 악용하게 된다. 즉, PC에 파일이 남아 있어서 사용자들이 의심하지 않을 수 있는 부분이 어디일지를 고민하는데, 그 중 한 군데가 바로 임시파일을 모아 두는 폴더이다.
실제로 한 백신업체 직원은 “악성코드 제작자들은 임시 파일이 모여 있는 곳에 악성코드를 설치하고 동작 시키게 한다”고 설명했다. 임시 파일이 삭제되지 않는 것은 악성코드가 동작 중일 때에는 일반적인 삭제명령으로는 삭제가 되지 않기 때문인데 백신을 이용하면 사용자를 대신해서 강제로 악성코드를 차단하고 삭제해 준다. 반대로 임시 파일을 삭제하지 않고 그냥 둔다면 어떤 작업 내에서 일시적으로 작성되고 난 다음에 작업이 종료되고 나면 대부분은 자동 삭제되지 않고 컴퓨터의 저장공간을 차지하게 된다.
임시파일은 컴퓨터보다 스마트폰에서 더 문제가 된다. 앱보다 앱과 관련된 임시 파일이나 인터넷을 사용하면서 생성된 임시 파일이 차지하는 용량이 더 큰 경우도 있기 때문이다. 이런 이유로 인해 스마트 폰에서 임시 파일 삭제가 필요하게 됐고 임시 파일 삭제 앱도 나왔다. 아이폰의 iCleaner는 임시 파일 삭제 앱인데 아이폰에 저장된 데이터를 지워서 복구가 불가능하도록 만들어주는 개인정보 유출 방지 앱이다. PC의 와이핑(wiping) 프로그램의 아이폰 버전이다. 앱과 연동된 임시파일 청소, 연락처 삭제 기능의 경우 저장공간을 추가 확보하는 효과가 있다.
임시 파일의 기능
임시 파일은 어떤 작업에서 취급하는 데이터량이 그 컴퓨터의 주기억 장치의 용량을 초과하는 경우, 그때의 작업에 필요한 데이터만을 주기억 장치 상에 남기고 나머지 부분을 파일로 기억해둔다. 이후 필요하게 되었을 때 주기억 장치상의 필요하지 않은 데이터를 파일로 하여, 그 빈 영역으로 파일을 판독해내서 작업을 계속하는 식으로 사용된다. 임시 파일은 원래 전혀 필요 없는 무용지물은 아니지만 쓸모가 없는 경우가 많은 임시 파일은 인터넷 파일 캐시(Temporary Internet Files), 다운로드 파일 캐쉬(Downloaded Program Files), 작업 중에 생기는 임시 파일 캐시(Temp)로 구분할 수 있다.
이 중 인터넷 파일 캐시라는 임시 파일은 쿠키(Cookie)나 사용자 정보(ID와 암호), 그림 등의 각 사이트별 정보 등의 사용자 편의성을 위해 만들어 진다. 즉, 처음 방문한 사이트의 정보를 저장해서 다음에 다시 이 사이트를 방문하게 되면 처음보다 더 빠르게 로딩이 된다. 그 이유는 사이트를 여는데 필요한 데이터를 인터넷상에서 받아서 여는 것이 아니라, 미리 저장해놓은 경로(인터넷 임시파일이 저장된 곳)에서 필요한 정보를 불러오기 때문이다.
사용자가 임시 파일을 원치 않을 때에는 인터넷 옵션에서 제거할 수 있다. 그리고 인터넷 웹사이트 방문 시에 ‘이 페이지의 암호를 저장하시겠습니까?’등의 알림창이 뜰 때 ‘아니요’를 누르면 저장되지 않는다. 임시 파일은 사용자 정보를 저장한다. 따라서 개인정보에 대한 유출 우려가 있다. 이런 문제를 해결하기 위해 PC 또는 스마트폰 사용자는 항상 보안성과 사용의 편의성 중에서 맞바꾸기를 선택해야한다. 보안을 위해서라면 편리함을 일부 포기해야 한다는 얘기다. 반대로 편리함을 선택하고 보안을 포기하는 역의 상황도 발생할 수 있다.
예를 들어 쿠키를 통해 자주 방문하는 사이트를 방문할 때마다 로그인하는 과정을 생략할 수도 있고, 나만의 개인화된 쇼핑 등을 즐길 수 있다. 모든 쿠키를 차단하면 사용자의 개인 정보를 보호하는 데는 도움이 되지만 일부 웹 사이트에서 사용자의 환경이 제한될 수 있다. 또한 모든 웹사이트에서 신용카드 등의 개인정보를 저장하는 것이 아니라 웹사이트마다 저장하는 쿠키의 내용이 다를 수 있다.
쿠키 등의 임시 파일 등에 대한 보안강화를 위해서는 ①공용PC 등에서는 쿠키 저장을 차단하거나 사용 후에 인터넷 옵션에서 인터넷 임시 파일 삭제 ② 사용하는 인터넷 브라우저의 인터넷 옵션에서 쿠키 차단 설정(브라우저 별로 방법상이 / 모든 쿠키 차단, 쿠키의 유형에 따른 차단, 웹사이트 별 차단 등 옵션이 있어 사용자의 판단에 따라 적용) ③주기적으로 임시 파일을 삭제하고 비밀번호를 변경하는 등의 방법을 선택할 수 있다.
구글과 페이스북의 쿠키 게이트
지난 대선에서 국정원 개입 의혹과 관련된 경찰 수사에서 임시 파일이 논란에 휩싸였다. 인터넷 임시 파일은 컴퓨터에 설정해둔 용량이 다 차면 사라진다. 또한 접속한 모든 사이트마다 생성되는 것이 아니고 컴퓨터에 남아 있는 임시 파일은 사이트에 접속할 때마다 갱신돼 조작 가능성이 있다.
해외에서도 쿠키와 같은 임시 파일이 문제가 되고 있다. 지난 2012년 구글의 쿠키 게이트에 이어 지난 3월에는 페이스북의 쿠키 게이트가 유럽 언론의 비난을 받았다. 게이트라고 불릴 정도로 구글이 입었던 치명타에 이어 이번에는 페이스북도 치명타를 입게 될 전망이다. 페이스북이 쿠키라는 임시 파일을 통해 사용자를 추적하고 있다는 논란이 제기되면서 유럽 각국이 쿠키에 뜨거운 관심을 갖게 됐다.
쿠키는 인터넷 웹사이트를 접속할 때 자동으로 남는 임시 파일로 사용자가 찾아본 내용, 상품 구매 내역, 신용카드 번호, 아이디(ID), 비밀번호, IP 주소 등 다양한 사용자 정보를 담고 있다. 외신 보도에 따르면 현재까지 페이스북이 무단으로 개인의 웹 이용경로를 추적했다는 의혹을 제기하면서 페이스북의 개인정보보호법 위반 조사에 참여한 유럽 국가는 독일, 프랑스, 스페인, 이탈리아, 네덜란드, 벨기에 등이다. 이번 조사는 지난 3월31일 벨기에 연구진이 공개한 ‘페이스북의 프라이버시정책은 EU법 위반이다’라는 제목의 보고서로 인해 시작됐다.
보고서의 핵심은 페이스북이 다양한 형태로 이용자들의 개인정보를 무분별하게 수집하고 있다는 것으로, 심지어 페이스북을 이용하지 않는 인터넷 이용자들이나 이런 추적을 거부한 방문자들까지도 웹브라우저에도 쿠키를 심어 웹 이동경로를 추적했다는 의혹을 받고 있다. 쿠키는 웹사이트를 접속할 때 생성되는 정보를 담은 임시 파일의 일종이다. 임시 파일 자체가 이용자 정보를 담고 있는데다가 이 ‘트래킹 쿠키’라는 것은 방문자들의 웹 이동경로를 추적하는 기능을 수행한다. 특정 페이스북 페이지를 방문했을 때에도 방문자의 웹브라 우저에 ‘트래킹 쿠키’가 생성되는데, 페이스북이 이를 활용해 ‘좋아요’ 버튼을 달아 페이스북과 연동시키는 서비스가 적용된 웹사이트(1천300만 개 추정)에서 각종 정보를 수집했다는 것이다.
페이스북이 쿠키를 이용해 모든 인터넷 사용자를 추적하고 있다는 해외 언론의 의혹이 제기되자 리차드 앨런 페이스북 유럽 정책 부사장은 페이스북 홈페이지를 통해 페이스북이 쿠키를 이용해 모든 사용자를 추적하고 있다는 것은 사실이 아니고 페이스북 사용자가 아닌 사람의 쿠키를 받게 된 것은 버그 때문이었다고 밝혔다. 그러면서 이런 버그는 페이스북이 의도했던 것이 아니어서 현재는 수정 중에 있다고 설명했다.
이와 관련 EU의 개인정보보호법은 특별한 경우를 제외한 쿠키 생성 및 경로 추적 시 사용자의 사전 동의를 받도록 규정하고 있다. 또 국내에서도 사전 동의를 받지 않은 웹 이용경로 추적은 불법으로 규정될 가능성이 크다. 개인정보 보호법은 개인정보 수집 시 항목 및 이용목적을 공지하고, 사전 동의를 받아야 한다고 명시하고 있다.
빅데이터 시대 보안문제 우려
지난 2013년 국내 웹 사이트와 모바일 응용프로그램(애플리케이션·앱)의 개인정보 수집현황을 조사한 보고서가 발표됐다. 지난 2012년 9월부터 2013년 1월까지 국내 주요 웹 사이트와 앱의 쿠키파일 (쿠키) 현황, 스마트폰 고유식별정보(IMEI) 접근 기록을 조사한 ‘국내 인터넷사이트의 개인정보 수집 현황 분석’ 보고서에 따르면 포털, 언론사, 쇼핑몰을 포함한 국내 61개 웹사이트는 평균 20.9개의 쿠키를 가진 것으로 집계됐다.
쿠키 수는 총 1천276개이며 앱 65%가 고유식별정보에 접근한 것으로 알려졌다. 인터넷 이용자가 열어본 사이트 내용, 상품 구매 명세, 신용카드 번호, 아이디, 비밀번호, 아이 피 주소 같은 정보가 내 컴퓨터가 아니라 외부 컴퓨터에 서버를 둔 웹 사이트에 저장된다는 얘기다.
사업자는 이를 통해 고객의 특성을 알고 서비스 제공과 기업 홍보에 활용할 수 있지만 이용자 입장에서는 개인정보 유출의 위험이 있다. 한 사이트 안에 여러 쿠키파일이 있으면 쿠키안의 정보를 조합해 이용자의 구체적 신원을 파악할 수도 있을 정도이다. 쿠키파일 중 제3자 쿠키파일은 포털에 있는 배너광고처럼 접속한 사이트 안에 포함된 다른 사이트가 가진 쿠키파일이다. 제3자 쿠키파일이 있으면 이용자는 의도치 않게 개인정보를 모르는 사이트에도 저장하게 된다.
보고서는 컴퓨터 기반 웹사이트에서 발견된 제3자 쿠키가 모두 515개라고 밝혔다. 사이트 한 곳당 8.4개를 보유한 셈이다. 모바일 웹의 제3자 쿠키파일은 모두 25개였다. 평균 1.3개 씩을 가진 셈으로 컴퓨터 기반 웹 사이트의 6분의 1수준에 불과하지만 스마트폰을 이용한 인터넷 이용자들의 전자상거래 규모가 확대되고 있는 상황에서는 방심할 만한 일은 아닌 것 같다.
인터넷 보안 누구의 책임인가
임시 파일은 원래 이용자의 편리를 도모하기 위해 고안된 장치이지만 저장공간 차지뿐만 아니라 악성코드와 바이러스에 저장공간을 내주는 등 이용자에게 불편한 점이 많다. 게다가 임시 파일 추적을 통해 이용자의 구체적 신원을 파악할 수 있을 정도로 개인정보 유출이 심각해지고 있는 상황에서 임시 파일은 더욱 애물단지 취급을 받고 있다. 빅데이터 시대에 개인정보가 기업의 마케팅을 위한 소스로 팔려나갈 수 있다는 점을 생각한다면 상황은 생각보다 심각해질 수 있다. 사회적으로 윤리경영을 강조하고 있지만 도덕이 땅에 떨어진 시대에 기업의 자율적인 윤리경영에 모든 것을 맡길 수 없다.
일차적으로 개인정보 유출의 책임은 개인에게 있다고 할 수 있지만 정보화 시대 인터넷이 생활의 일부가 된 상황에서 인터넷에 개인정보를 남기지 않고 인터넷을 사용한다는 것은 불가능하다. 그렇다고 편리함을 위해 보안을 포기할 수도 없다. 인터넷 보안이 이용자의 책임인지 사회의 책임인지 따져봐야 할 시점이다.
MeCONOMY Magazine May 2015
