일반적이고 상호작용 기반 제3자 쿠키 정책의 필요성

초록

본 논문은 제3자 쿠키를 통한 추적을 차단하면서 소셜 위젯의 기능은 유지하는 일반적인 정책을 제안한다. 기존 블랙리스트 방식의 한계를 지적하고, 사용자 상호작용 시에만 쿠키를 전송하도록 하는 인터랙션 기반 메커니즘을 구현하였다. Firefox와 Chrome용 확장 프로그램을 프로토타입으로 제공했으며, 현재 1만 1천8백 건 이상의 다운로드와 일일 2천8백 명 이상의 사용자를 확보하고 있다.

상세 분석

이 연구는 제3자 추적 문제를 기술적·정책적 두 축에서 재조명한다. 기존 브라우저의 기본 쿠키 정책은 제3자 도메인에 대한 쿠키 전송을 완전히 차단하거나, 사용자가 직접 블랙리스트를 관리하도록 요구한다. 전자는 소셜 로그인, 공유 버튼 등 정상적인 기능을 마비시키고, 후자는 블랙리스트 유지 비용과 오탐률(광고·분석 서비스의 오작동)이라는 실질적 문제를 야기한다. 논문은 이러한 문제를 해결하기 위해 “상호작용 기반” 정책을 제안한다. 핵심 아이디어는 제3자 리소스가 페이지에 로드될 때는 쿠키를 차단하고, 사용자가 해당 위젯을 클릭하거나 포커스를 줄 때만 쿠키를 활성화하는 것이다. 이를 위해 확장 프로그램은 DOM 트리에서 제3자 iframe이나 스크립트를 탐지하고, 이벤트 리스너를 삽입해 사용자의 명시적 행동을 감지한다. 쿠키 재전송은 HTTP 요청 헤더를 동적으로 수정함으로써 구현된다. 이 접근법은 블랙리스트 없이도 모든 제3자 트래커를 차단할 수 있으며, 소셜 위젯은 사용자 의도에 따라 정상적으로 동작한다. 실험 결과, 주요 소셜 네트워크(페이스북, 트위터, 구글+)와 광고·분석 플랫폼을 대상으로 테스트했을 때, 추적 쿠키가 전송되지 않음이 확인되었고, 위젯 기능 손실은 거의 없었다. 또한, 확장 프로그램의 성능 오버헤드는 평균 페이지 로드 시간에 3~5% 정도 증가에 그쳐 실용성을 입증한다.