현재 웹 기술에서 구현된 쿠키는 기본적으로 무작위로 생성된 고유 식별자를 저장하며, 이 식별자는 특정 웹사이트와 상호 작용하는 동안 사용자의 브라우저에 연결됩니다. 이러한 식별자는 본질적으로 개인 데이터를 포함하지 않지만, 일관된 식별자를 지속적인 웹 활동과 연관시키면 시간이 지남에 따라 상세한 행동 프로필을 집계할 수 있습니다. 증거는 다음과 같은 주요 결과를 보여줍니다:
- 쿠키의 고유 식별자는 세션 간 추적을 용이하게 합니다: 일단 할당되면 쿠키의 식별자는 재방문 브라우저를 인식할 수 있게 하여 사이트가 여러 방문과 행동을 단일 프로필에 연관시킬 수 있도록 합니다 (Mayer & Mitchell, 2012).
- 프로필 강화를 통해 개인 식별이 가능해집니다: 쿠키 자체는 이름이나 직접적인 식별자를 저장하지 않지만, 사용자가 제공한 데이터(예: 로그인, 양식 제출)와 연결되면 쿠키가 개인 신원의 대리 역할을 할 수 있습니다. 이러한 연결은 인증이 필요한 플랫폼에서 특히 널리 퍼져 있습니다 (Krishnamurthy & Wills, 2009).
- 제3자 쿠키는 개인 정보 보호 우려를 증폭시킵니다: 방문 중인 웹사이트가 아닌 다른 주체가 설정한 제3자 추적 메커니즘은 여러 도메인에 걸쳐 브라우징 데이터를 집계합니다. 이 데이터는 명시적인 사용자 동의 없이도 잠재적으로 침해적인 프로파일링 및 재식별을 가능하게 합니다 (Englehardt & Narayanan, 2016).
- 규제 프레임워크는 쿠키를 개인 데이터로 간주합니다: GDPR 및 CCPA에 따라 쿠키—특히 사용자 프로파일링이나 타겟 광고를 가능하게 하는 쿠키—는 개인 데이터로 취급됩니다. 이러한 식별자를 저장하거나 접근하기 전에 명시적인 동의가 의무화됩니다 (“Regulation (EU) 2016/679,” 2016).
- 경험적 연구는 식별 위험을 확인합니다: 연구에 따르면 쿠키 데이터를 계정 등록이나 제3자 브로커의 보조 정보와 결합하면 신뢰도 높은 사용자 식별률을 얻을 수 있음이 확인되었습니다 (Acar et al., 2014).
요약하자면, 원시 쿠키 값은 명시적인 식별자가 아니지만, 지속적인 식별자가 행동 및 자발적으로 제공된 정보와 결합되면 사실상의 개인 식별로 이어질 수 있습니다. 이 위험은 제3자 데이터의 집계와 사용자 인식 또는 통제의 부족으로 인해 높아집니다.
