"날 추적하지 마세요"라는 부탁의 역사
웹에서 추적을 거부하려는 시도는 사실 옛날부터 있었어요. 가장 유명했던 게 2009년쯤 등장한 브라우저의 DNT(Do Not Track) 헤더예요. 브라우저 설정에서 "날 추적하지 마"를 켜면, 웹사이트에 보내는 모든 요청에 "DNT: 1"이라는 신호가 같이 나가는 방식이었죠.
그런데 이게 왜 사라졌느냐면, 법적 구속력이 없었거든요. 광고 회사들이 이 헤더를 그냥 무시해도 처벌할 방법이 없었고, 결국 대부분의 사이트가 이걸 봐도 무시했어요. 결국 표준 자체가 흐지부지됐고, Apple은 Safari에서 "이 신호를 보내봐야 오히려 핑거프린팅(브라우저 식별)에 쓰일 수 있다"는 이유로 기능을 빼버리기까지 했죠.
그런데 최근에 donottrack.sh라는 프로젝트가 등장했어요. 이름은 옛 DNT를 떠올리게 하지만, 접근법은 좀 달라요. 단순히 "부탁"하는 신호가 아니라, 좀 더 법적 근거가 생긴 시대에 맞춰 새롭게 설계된 시도라는 점이 핵심이에요.
무엇이 달라졌나: GPC와의 연결고리
이번 시도의 배경에는 GPC(Global Privacy Control)라는 표준이 있어요. 미국 캘리포니아의 CCPA나 유럽의 GDPR 같은 개인정보보호법이 시행되면서, "사용자가 데이터 판매·공유를 거부할 권리"가 법적으로 보장되기 시작했거든요. GPC는 이 거부 의사를 자동화된 신호로 표현하는 표준이에요. 즉, 사이트가 GPC 신호를 무시하면 "부탁을 무시"한 게 아니라 "법을 위반"한 게 되는 거죠.
캘리포니아 법무부는 이미 Sephora 같은 회사를 GPC 무시했다는 이유로 실제로 제재한 적이 있어요. 이게 옛날 DNT와 가장 큰 차이예요. 부탁이 아니라 명령이 된 거죠.
donottrack.sh는 이런 흐름 위에서, 사용자가 자신의 추적 거부 의사를 더 효과적으로 표현하고 행사할 수 있도록 돕는 도구 모음으로 구성돼요. 브라우저 확장이나 단순 헤더 설정을 넘어서, 자동 양식 작성, 데이터 삭제 요청 보내기, 추적 시도 감지하기 같은 실용적인 기능들을 묶어내는 방향이에요.
어떻게 동작할까
구체적으로 보면 몇 가지 층으로 나뉘어요. 첫째, 신호 발신. 사용자의 모든 트래픽에 GPC와 DNT 헤더를 자동으로 붙여요. 둘째, 요청 자동화. CCPA/GDPR이 보장하는 "내 데이터를 보여달라", "내 데이터를 지워달라" 같은 권리를 행사하려면 보통 회사마다 별도 양식을 채워야 하는데, 이걸 자동으로 보내주는 도구를 제공해요. 셋째, 추적 차단. 단순히 차단만 하는 게 아니라, "이 사이트가 어떤 추적기를 쓰고 있고, 어디로 데이터를 보내는지"를 사용자에게 보여주는 투명성 기능도 같이 제공하는 식이에요.
결국 핵심은 "법적 권리를 일반 사용자가 일일이 행사하기엔 너무 번거로우니 자동화하자"는 거예요. 권리는 있어도 그걸 행사하는 비용이 크면 실질적으로는 권리가 없는 거나 마찬가지인데, 이런 도구가 그 비용을 낮춰주는 거죠.
비슷한 시도들과 어떻게 다른가
프라이버시 도구는 이미 많아요. uBlock Origin, Privacy Badger, DuckDuckGo Privacy Essentials 같은 게 광고와 트래커를 차단해주고, Brave 브라우저는 아예 기본으로 그런 차단 기능을 내장했죠. Proton, DuckDuckGo Email Protection 같은 서비스는 이메일 추적기를 막아줘요.
이런 기존 도구들이 "기술적으로 추적을 막는 데" 집중한다면, donottrack.sh의 접근은 "법을 도구로 활용하는 쪽"이에요. 차단해도 결국 새로운 추적 방법은 계속 나오니까, 아예 법적 거부 의사를 행사할 수 있는 인프라를 만들자는 거죠. 두 접근은 충돌하지 않고 오히려 보완적이에요.
흥미로운 점은 EU에서 AdGuard, NOYB 같은 단체들도 GPC 기반 자동화에 관심을 많이 보이고 있다는 거예요. NOYB는 막스 슈렘스라는 활동가가 이끄는 단체인데, GDPR 위반으로 빅테크들을 줄소송하면서 유명해졌죠. donottrack.sh 같은 도구가 더 보급되면, 이런 단체들이 집단소송을 걸기 위한 데이터 수집도 더 쉬워질 수 있어요.
한국 상황과 시사점
한국에는 개인정보보호법이 있고, 데이터 처리 거부권도 존재해요. 하지만 GPC 같은 자동화된 의사 표시 표준이 한국 법에서 어떻게 다뤄지는지는 아직 명확하지 않아요. 광고·마케팅 거부 의사를 일일이 사이트마다 따로 표시해야 하는 게 현실이고요.
웹 서비스를 운영하는 입장에서는 이런 흐름을 "불편한 규제"로만 보면 손해예요. 글로벌 사용자를 받는 서비스라면 GPC를 인식하고 처리하는 게 곧 컴플라이언스의 일부가 되고 있고, CMP(Consent Management Platform) 같은 동의 관리 도구를 도입할 때도 GPC 처리는 기본 기능으로 들어가고 있어요. 일찍 대응해두는 회사가 나중에 분쟁을 줄여요.
반대로 사용자 입장에서는 "이런 도구가 정말 효과가 있을까?"라는 의문이 들 수 있어요. 솔직히 단기적으로는 모든 사이트가 따라줄 거라고 기대하긴 어려워요. 하지만 GPC 무시 사례를 누적하고, 그게 법적 제재로 이어지는 흐름이 만들어지는 게 중요해요. 옛 DNT는 그 흐름을 만들 법적 토대가 없어서 실패했고, GPC는 그 토대 위에서 다시 시도되는 거니까요.
마무리
프라이버시는 "기술로 막는 것"과 "법으로 막는 것" 두 축이 같이 가야 해요. donottrack.sh는 그 두 축을 잇는 다리 같은 시도예요. 여러분은 본인의 데이터에 대해 "거부 의사"를 얼마나 자주 행사해 보셨나요? 그리고 서비스를 만드는 입장이라면, 사용자의 거부권을 정말 존중하는 구조로 시스템이 짜여 있다고 자신할 수 있으세요?
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
