프라이버시스코어: 웹사이트 보안·프라이버시 자동 점검과 법적 허용성 검토

초록

프라이버시스코어는 공개 웹 포털로, 다수 웹사이트를 자동으로 스캔해 TLS·HSTS·DNSSEC·쿠키·트래킹 등 보안·프라이버시 요소를 평가하고, 벤치마크 형태로 비교·시계열 분석이 가능하도록 설계되었다. 사용자 정의 속성·가중치를 통해 맞춤형 점수를 제공하고, 결과를 기계·인간이 읽을 수 있는 형태로 공개한다. 또한 자동 스캔과 결과 공개가 독일·EU 개인정보법·저작권법 등에서 언제 허용되는지를 법리적으로 검토한다.

상세 분석

프라이버시스코어는 크게 네 가지 핵심 모듈로 구성된다. 첫째, 벤치마크 관리 모듈은 사용자가 URL 리스트와 속성(예: 국가, 조직 규모 등)을 정의하고, 각 사이트에 대한 가중치 기반 평가 스키마를 선택·수정할 수 있게 한다. 이때 속성은 자유롭게 추가·편집 가능하며, 평가 스키마는 ‘학점·경고·녹색·황색·적색’ 등 다양한 시각화 옵션을 지원한다. 둘째, 스캔 엔진은 가상 머신 풀에 배치된 OpenWPM, testssl.sh 등 오픈소스 도구를 활용해 HTTPS 설정(프로토콜 버전, 암호 스위트, HSTS), DNSSEC 적용 여부, 서버 소프트웨어 버전, CDN 사용, 외부 리소스 로드 등을 자동 수집한다. 특히 트래킹 검출은 쿠키·플래시 쿠키·브라우저 핑거프린팅 스크립트를 식별하고, 알려진 광고·분석 서비스 리스트와 매칭한다. 셋째, 데이터 저장·히스토리는 각 스캔 결과를 시계열 DB에 저장해 시간에 따른 변화 추이를 그래프로 제공한다. 이를 통해 보안 패치 적용 여부나 프라이버시 정책 변화를 한눈에 파악할 수 있다. 넷째, 공개·프라이버시 보호 레이어는 결과를 REST API와 웹 UI로 공개하되, 사용자가 ‘비공개’ 벤치마크를 선택하면 URL·스캔 데이터가 외부에 노출되지 않도록 내부 전용 인프라에서만 처리한다. 고급 사용자는 자체 프라이버시스코어 인스턴스를 배포할 수 있도록 전체 소스코드를 GPL‑compatible 라이선스로 공개한다.

법적·윤리적 검토에서는 데이터 소유권, 저작권, 계약조건(‘가상 집권’), 그리고 GDPR·ePrivacy 규정 적용을 상세히 논한다. 독일 민법 §903에 따라 물리적 사물에만 소유권이 인정되므로 웹 콘텐츠 자체는 ‘소유’ 개념에 해당하지 않는다. 따라서 자동 수집 자체가 불법이 되지는 않지만, 사이트 이용약관에 자동 크롤링 금지 조항이 있으면 ‘계약 위반’ 위험이 있다. 저작권법상 HTML·이미지·스크립트는 저작물로 보호될 수 있으나, 판례에 따르면 ‘사실적 정보’에 대한 복제는 제한적 예외가 적용된다. GDPR 관점에서는 스캔이 개인정보를 직접 수집하지 않으므로 원칙적으로는 데이터 처리에 해당하지 않지만, 트래킹 서비스 식별 과정에서 쿠키·피그마 등 개인식별 정보가 노출될 경우 ‘처리’로 간주될 수 있다. 이에 저자들은 최소한의 데이터(헤더·메타데이터)만 수집하고, 결과를 익명화·집계 형태로 제공함으로써 법적 위험을 최소화한다. 또한, 윤리적 측면에서 악용 가능성을 줄이기 위해 레이트리밋(30분당 1회)과 테스트 선택 시 ‘공격자에게 유용한 상세 정보’를 배제하는 설계를 강조한다.

전반적으로 프라이버시스코어는 기술적 정확성, 사용자 맞춤형 평가, 투명한 데이터 공개, 그리고 법·윤리적 합법성을 동시에 만족시키려는 종합 플랫폼으로 평가된다.