테크레시피

구글 태그 관리자, 사용자 추적 허점 경고

2020년 등장한 구글 태그 관리자 서버 측 태그 기능을 통해 브라우저와 광고 차단 방어를 무시하고 사용자를 추적할 수 있다는 경고가 나왔다.

구글 태그 관리자는 웹사이트에 포함된 태그를 코드 변경 없이 관리할 수 있는 시스템으로 조사에 따르면 웹사이트 중 42.8%에서 이용되고 있으며 태그 매니저 중에선 99.6% 점유율을 차지하고 있다.

기존 구글 태그 관리자가 포함된 페이지에선 태그 관리자가 각종 서비스 코드를 로딩하고 구글 애널리틱스, 구글 광고, 타사에 데이터를 브라우저에서 직접 전송하고 있었다. 이 경우 사이트 설정에 따라선 태그 매니저에 등록되어 있는 서비스 각각에 동일 데이터를 송신하는 일이 있어 사이트 로딩 속도가 저하되거나 통신량이 증가하는 원인이 됐다고 한다.

또 추적 코드를 직접 브라우저에 로딩하면 필요 이상으로 데이터를 수집하고 핑거프린팅으로 사용자 식별이 가능하며 개인 정보가 침해될 위험이 있다. 그 밖에도 URL 매개변수에서 개인 정보가 유출되거나 쿠키를 편집할 수 있게 됐다.

이런 문제를 단번에 해결할 수 있는 기능이 2020년 8월 발표된 서버 사이드 태그다. 모든 데이터를 일반 받는 서버를 준비해 그 서버에 각 서비스에 데이터 분배를 맡기는 것으로 기존은 브라우저가 개별 서비스와 통신하고 있던 걸 통신 하나에 정리할 수 있게 됐다.

서버 측 태그를 이용하면 사이트가 구글과만 통신할 수 있으면 OK이기 때문에 콘텐츠 보안 정책을 적절하게 설정해 XSS나 사이트 변조에 대한 방어를 할 수 있다는 부차적인 효과도 존재한다.

반면 구글 권장 단계에 따라 중간 서버는 웹사이트 하위 도메인으로 설정된다. 이렇게 하면 구글 태그 관리자는 더 이상 타사가 아닌 퍼스트파티로 취급되어 브라우저가 설정하고 있는 다양한 프라이버시 보호 구조를 설득할 수 있다.

또 브라우저에서 직접 요청이 있을 경우 광고 차단 기능으로 프라이버시를 침해하는 트래커를 차단할 수 있었지만 서버 측 태그 기능을 이용하는 경우 중간 서버에서 타사로 어떤 데이터가 사용자에게 가는지 확인할 수 없다. 개인 데이터가 유출되어도 사용자 측에서 인식하는 건 불가능하다고 할 수 있다.

서버 측 태그에 대항하려면 자바스크립트를 실행하기 전에 모두 파싱하거나 구글 서버를 모두 차단하거나 자바스크립트를 실행하지 않는 등 현실적으로는 꽤 어려운 대책 밖에 없다. 편의성과 보안 면에서 이점은 인정할 만하지만 사용자에게 자위 수단이 필요하다고 지적하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사