Click Click Click: 2016년의 웹 실험이 지금도 섬뜩한 이유

이게 뭐길래 다시 회자될까요

clickclickclick.click라는 사이트가 있어요. 2016년에 네덜란드 스튜디오 두 곳(Studio Moniker와 VPRO Medialab)이 만든 웹 실험인데, 페이지를 열면 "버튼을 클릭하세요"라는 단순한 화면이 떠요. 그런데 클릭을 하면 할수록 어딘가에서 영국 억양의 남성 내레이터 목소리가 들리기 시작해요. 그 목소리는 여러분의 행동을 실시간으로 묘사해요. "이 사용자는 지금 마우스를 좌측 상단으로 움직이고 있습니다", "이 사용자는 30초 동안 아무것도 클릭하지 않았습니다", "이 사용자는 창을 비활성화했지만 다시 돌아왔습니다" 같은 식으로요.

시간이 지나면 더 무서워져요. "이 사용자의 브라우저는 Chrome 134버전입니다", "화면 해상도는 ○○○○입니다", "OS는 ○○입니다" 같은 정보까지 자연스럽게 섞여 나오거든요. 즉 이 실험은 여러분이 웹사이트에 들어가는 순간 사이트 운영자가 얼마나 많은 것을 알 수 있는지를 아주 직관적으로 보여주는 작품이에요. 2016년에 만들어졌는데 10년이 지나도 사람들이 "이거 진짜 무섭다"며 다시 공유하고 있어요.

기술적으로 뭐가 일어나고 있을까요

이 사이트가 쓰는 기술은 사실 전혀 특별하지 않아요. 그게 이 작품의 핵심이에요. 우리가 매일 방문하는 거의 모든 웹사이트가 똑같은 정보를 수집할 수 있거든요.

첫째, 마우스 움직임과 클릭은 자바스크립트의 mousemove, click, scroll 같은 이벤트 리스너만 붙이면 그대로 다 잡혀요. 사용자가 어디를 몇 초 동안 응시했는지(마우스 멈춰 있는 위치로 추정), 어떤 순서로 페이지를 훑었는지, 어디서 망설였는지가 다 데이터로 남아요. Hotjar, Microsoft Clarity 같은 "세션 리플레이" 도구가 바로 이걸 상품화한 거예요.

둘째, 창 활성화/비활성화는 visibilitychange 이벤트로 감지해요. 사용자가 탭을 잠깐 다른 데로 옮겼다 돌아오면 그 정확한 타이밍이 기록돼요.

셋째, 브라우저·OS·해상도·언어·시간대 같은 정보는 navigator 객체와 screen 객체에 그냥 들어 있어요. 추가 권한 요청 같은 거 필요 없이 페이지가 로드되는 순간 다 읽혀요. 여기에 폰트 목록, 캔버스 렌더링 미세 차이, WebGL 정보 같은 걸 더하면 "브라우저 핑거프린팅"이 돼요. 쿠키 없이도 개별 사용자를 거의 유일하게 식별해낼 수 있는 기술이에요.

넷째, 나레이션 음성은 사전 녹음된 짧은 오디오 클립 수백 개를 상황에 맞게 조합해서 재생하는 식으로 구현됐어요. 지금이라면 AI TTS(텍스트를 음성으로 바꾸는 기술)로 더 자연스럽게 만들 수 있겠죠.

왜 10년이 지나도 의미가 있을까요

2016년 이후로 우리는 GDPR(유럽 개인정보보호법), 캘리포니아의 CCPA, 한국의 개인정보보호법 강화, 쿠키 배너 의무화, 애플의 ATT(앱 추적 투명성) 같은 큰 변화를 겪었어요. 그런데도 "기본 기술"은 그대로예요. 마음만 먹으면 웹사이트는 여전히 이 정도는 다 알 수 있고, 데이터 브로커들은 그 정보를 사고팔아요. 오히려 AI가 들어오면서 "행동 패턴으로 사용자를 추론하는 능력"은 더 정교해지고 있어요.

이 작품이 무서운 진짜 이유는, "누가 나를 감시한다"가 아니라 "감시는 이미 모든 곳에서 일어나고 있는데 평소엔 그게 보이지 않을 뿐"이라는 점을 일깨우기 때문이에요. 평소엔 침묵하던 데이터 수집이 갑자기 "목소리"가 되니까 비로소 체감되는 거예요.

비슷한 작품과 흐름

이 계열의 대표작으로 Do Not Touch, The Listening Machine, 그리고 우리에게 좀 더 익숙한 케이스로는 Mozilla Foundation의 *Privacy Not Included 시리즈 같은 게 있어요. 데이터 시각화 쪽에선 Me and My Shadow(Tactical Tech) 같은 프로젝트가 "디지털 그림자"라는 개념을 일반인에게 풀어주는 역할을 해왔어요. clickclickclick.click은 이런 흐름 안에서 "가장 직관적이고 즉각적인 체험"을 만들어낸 사례로 기억돼요.

한국 개발자에게 주는 시사점

실무에서 우리가 자주 잊는 게 있어요. 분석 SDK를 그냥 "디폴트 옵션"으로 켜면 생각보다 훨씬 많은 정보가 수집된다는 거예요. 세션 리플레이를 켜놓고 입력 마스킹을 안 해두면, 사용자가 입력하던 비밀번호나 카드번호 일부가 그대로 녹화될 수도 있어요. 한 번쯤은 자기 서비스를 "이 사이트 운영자는 나에 대해 뭘 알고 있나?" 관점에서 점검해보길 권해요.

그리고 가능하다면 개인정보 최소 수집 원칙을 코드 레벨에서 강제해보세요. "필요해질지도 모르니까 일단 다 받아두자"가 가장 위험한 사고예요. 데이터는 자산인 동시에 부채라서, 가지고 있으면 언젠가 새요.

마무리

한 줄로 정리하면, "웹은 원래부터 우리를 관찰하고 있었고, 다만 평소엔 조용했을 뿐"이에요. 이 작품은 그 조용함에 잠깐 음량을 켜준 거예요.

여러분이 만드는 서비스는 사용자에게 "우리는 당신을 이만큼 관찰하고 있어요"라고 솔직하게 말할 수 있나요? 만약 못한다면 그건 어떤 부분인가요?