자바스크립트 태그는 웹사이트에 다양한 타사 서비스를 통합해 분석, 사용자 추적, 결제, 소셜 미디어, 챗봇, 성능 측정 등을 가능하게 해 온라인 운영을 혁신적으로 개선하는 유용한 도구다. 그러나 이 태그는 민감한 정보를 수집하고 유출할 수 있는 위험을 동반한다. 많은 기업들이 태그가 어떤 데이터를 수집하는지 제대로 파악하지 못해 보안과 규정 준수 위험이 발생한다. 이를 방지하기 위해 클라이언트 측 보호와 철저한 태그 관리는 필수적이다.

클라이언트 보호 플랫폼 기업 제이스크램블러(Jscrambler)와 디멘저널 리서치(Dimensional Research)가 공동으로 자바스크립트 태그가 초래하는 위험과 노출에 대한 연구 보고서 "타사 태그의 위험: 자바스크립트의 클라이언트 측 보안 위험 및 규정 준수 과제"를 발표했다.

보고서에 따르면 기업들은 타사 태그가 정보를 수집한다는 것은 이해하고 있지만, 단 13%만이 그들이 어떤 정보를 수집하는지 확신하고 있으며, 단 26%만이 태그가 사용자 개인정보를 다른 조직에 유출한다는 것을 알고 있다.

보고서의 주요 내용은 다음과 같다.

민감한 정보 수집 태그, 규정 준수 및 보안 위험 초래

응답자의 거의 전원(97%)이 타사 태그가 민감한 정보나 개인 정보를 정기적으로 수집하고 있다는 사실을 알고 있다고 답했다. 또한, 응답자의 49%는 지난 12개월 동안 이러한 태그가 수집해서는 안 되는 데이터를 수집했음을 인정했으며, 여기에는 사이트 트래픽, 웹사이트 양식 데이터, 로그인 정보, 주문 정보, 소셜 미디어 정보, 고객 계정 세부 사항 등이 포함된다. 뿐만 아니라, 응답자의 26%는 민감한 데이터가 다른 조직으로 유출되었다는 사실을 인지하고 있다.

구글 태그 매니저의 위험 사례

구글 태그 매니저(GTM)는 태그 사용의 가치를 가장 잘 보여주는 예시인 동시에 사용자가 관련된 위험을 충분히 이해하지 못하고 있음을 강조한다. 연구에 따르면, 응답자의 90% 이상이 GTM을 알고 있지만, 단 33%만이 팀이 추가 승인 없이 타사 태그와 코드를 자율적으로 추가할 수 있다는 사실을 인식하고 있어 주요한 규정 준수 및 보안 위험을 초래한다. 다소 긍정적인 사실은 47%가 GTM이 프라이버시 및 규정 준수 위험을 초래할 수 있다고 확인했다는 점이다.

디지털 스키밍 방지 및 태그 감사는 필수

타사 벤더 태그 사용의 규정 준수 문제가 점점 더 중요해짐에 따라, 응답자의 61%가 디지털 스키밍 방지 도구가 PCI DSS 규정 준수를 달성하는 데 핵심적이라고 응답했다. 이는 특히 결제 카드 데이터를 수집하는 웹사이트에서 디지털 스키밍 공격을 방지하기 위해 설계된 PCI DSS 요구 사항 6.4.3 및 11.6.1과 관련하여 중요하다. 이 두 요구 사항의 준수 마감일은 2025년 3월 31일이다.

긍정적인 점은 응답자의 57%가 타사 태그의 데이터 수집 허가 및 규정 준수를 보장하기 위해 태그 감사를 시행하고 있다는 것이다. 타사 태그의 동작과 데이터 소비를 통제하는 것은 PCI DSS, DORA, GDPR, HIPAA와 같은 다양한 표준, 규정 및 법률을 준수하는 데 중요한 역할을 한다.

클라이언트 측 보호는 필수

데이터 보호 정책은 엄격한 시행과 확장성을 요구하지만, 응답자 기업의 36%만이 데이터 스키밍을 방지하기 위한 정책과 도구를 보유하고 있다. 예를 들어, 응답자의 4분의 1은 자사의 챗봇에서 민감한 데이터가 다른 타사와 공유되지 않음을 보장할 수 없다.

문제를 해결하기 위해, 응답자의 68%는 클라이언트 측 보호 및 규정 준수 솔루션이 타사에 의해 사용자 데이터가 수집되거나 스키밍되거나 유출되지 않도록 보호하기 위해 배포되어야 한다고 동의했다. 더 나아가, 97%의 압도적인 응답자가 클라이언트 측 보호 및 규정 준수 솔루션이 자사에 유용할 것이라고 응답했다. 이 합의는 클라이언트 측 보호 조치의 필요성을 강조하고 있다.

제이스크램블러의 CEO이자 공동 창립자인 루이 리베로(Rui Ribeiro)는 "오늘날 거의 모든 웹사이트는 자바스크립트를 사용하여 타사 서비스를 원활하게 통합하고 분석, 사용자 추적, 결제, 소셜 미디어, 커뮤니케이션, 지원 채팅 기능 및 챗봇, 성능 측정 등을 활용하여 온라인 운영을 변혁하고 있다."라며, "하지만 이러한 도입에는 대가가 따른다. 대부분의 기업은 이러한 태그들이 어떤 정보를 수집하고 있으며, 어떤 민감한 고객 데이터가 유출되고 있을지 전혀 알지 못한다. 기업은 이러한 태그의 혜택을 계속 누리면서 사용자 데이터를 제3자가 수집하거나 스키밍하거나 유출하지 못하도록 클라이언트 측 보호 및 규정 준수 솔루션에 투자해야 한다."고 조언했다.

이 보고서는 중견 기업 및 대기업에서 웹사이트 책임을 맡고 있는 327명의 전문가를 대상으로 한 글로벌 설문조사 결과를 포함하고 있다. 설문조사 참가자는 IT, 사이버 보안, 제품 관리, 마케팅 등 다양한 직군에 걸쳐 있으며, 5대륙에 걸친 다양한 직급의 응답자들로 74%는 자사 웹사이트의 기술적 측면에 대한 책임을 맡고 있다.