WebXR과의 연동 논의가 깊어지면서, WebGPU는 가상 세계를 향한 문을 활짝 열고 있었다. 하지만 바로 그 순간, 유럽 연합(EU)의 데이터 보호 규제 기관으로부터 날아온 한 통의 공식 질의서는, 그 문을 통과하려는 모든 이들에게 새로운 종류의 책임을 요구했다.
질의서는 GDPR(일반 데이터 보호 규정)의 ‘처리 목적 제한 원칙’과 ‘잊혀질 권리’에 대한 것이었다. 그리고 그 중심에는 WebGPU의 강력한 식별 능력, 즉 ‘핑거프린팅(Fingerprinting)’ 문제가 있었다.
크롬의 개인정보보호(Privacy) 팀 리더, 이사벨이 드미트리를 긴급하게 호출했다.
“드미트리, 상황이 심각합니다. EU 규제 당국은 WebGPU가 사용자를 식별하고 추적하는 강력한 도구로 악용될 수 있다는 점을 심각하게 우려하고 있습니다.”
이사벨이 설명하는 문제는 이러했다.
웹사이트는 requestAdapterInfo나 device.limits와 같은 API를 통해, 사용자의 GPU 모델, 드라이버 버전, 그리고 하드웨어가 지원하는 수많은 기능과 제한 값들에 대한 정보를 얻을 수 있었다.
이 정보들을 조합하면, 거의 모든 사용자를 고유하게 식별할 수 있는 ‘디지털 지문’을 만들어낼 수 있었다.
쿠키(Cookie)가 차단된 환경에서도, 광고 회사는 이 GPU 핑거프린트를 이용해 사용자의 인터넷 활동을 몰래 추적할 수 있었다. 이것은 웹의 익명성을 근본적으로 위협하는 행위였다.
“저희는 지금까지 이 문제를 막기 위해, requestAdapterInfo가 반환하는 정보를 최소화하는 등의 노력을 해왔습니다. 하지만 규제 당국은 그것만으로는 부족하다고 말합니다. 그들은 더 근본적인 해결책을 요구하고 있습니다.”
이사벨은 질의서의 핵심 내용을 짚었다.
“그들은 ‘왜 웹사이트가 사용자의 명시적인 동의도 없이, 사용자의 하드웨어 정보를 마음대로 수집할 수 있는가?’라고 묻고 있습니다. 그리고 만약 수집했다면, ‘사용자가 그 정보의 삭제를 요구할 권리가 있는가?’라고 묻고 있습니다.”
이것은 기술의 문제가 아니라, 철학의 문제였다.
개발자의 편의성과 디버깅을 위해 제공했던 정보들이, 이제는 사용자의 프라이버시를 침해하는 무기가 되어 돌아온 것이다.
드미트리는 깊은 딜레마에 빠졌다.
만약 requestAdapterInfo와 같은 API를 완전히 제거한다면, 개발자들은 안드로이드 파편화 문제에 대응할 수 있는 유일한 수단을 잃게 된다. 애플리케이션의 안정성이 크게 저하될 것이다.
하지만 현재 상태를 유지한다면, WebGPU는 프라이버시를 침해하는 기술이라는 오명을 쓰게 되고, 최악의 경우 유럽 시장에서 사용이 제한될 수도 있었다.
W3C에서는 이 문제를 두고 격렬한 토론이 벌어졌다.
프라이버시를 옹호하는 진영과, 개발자의 자유를 옹호하는 진영이 팽팽하게 맞섰다.
“모든 민감한 정보 접근에는 권한 요청(Permission Prompt)이 필요하다!”
“권한 요청 팝업이 너무 많아지면, 사용자들은 ‘피로감’을 느껴 모든 것을 무시하게 될 것이다! 이것은 진정한 해결책이 아니다!”
모두가 명쾌한 해답을 찾지 못하고 있을 때, 드미트리는 제3의 길을 제안했다.
“우리는 이 문제를 ‘전부 아니면 전무(All or Nothing)’로 접근해서는 안 됩니다. 우리는 ‘신뢰도’에 따라 차등적인 정보를 제공하는 모델을 만들어야 합니다.”
그는 새로운 개념을 설명했다.
“웹사이트가 처음 requestAdapter를 호출하면, 브라우저는 가장 기본적인, 핑거프린팅에 사용될 수 없는 최소한의 정보만을 담은 ‘비식별 어댑터(Unidentified Adapter)’를 반환합니다. 예를 들어, ‘고성능 GPU’ 또는 ‘저전력 GPU’ 정도의 정보만 주는 거죠.”
“만약 개발자가 디버깅이나 최적화를 위해 더 상세한 정보(GPU 모델, 드라이버 버전 등)가 필요하다면, 그들은 adapter.requestDetailedInfo()와 같은 새로운 함수를 호출해야 합니다. 그리고 바로 이 순간, 브라우저는 사용자에게 알림을 표시하는 겁니다.”
그의 아이디어는 권한 요청 팝업처럼 사용자 경험을 방해하지 않으면서도, 투명성을 확보하는 방식이었다. 주소창에 작은 아이콘을 띄워, ‘이 사이트가 당신의 하드웨어에 대한 상세 정보를 요청했습니다’라고 알려주는 것이다.
더 나아가, 그는 ‘잊혀질 권리’에 대한 해법도 제시했다.
“브라우저의 ‘인터넷 사용 기록 삭제’ 기능에 새로운 옵션을 추가합시다. ‘사이트별 하드웨어 정보 접근 기록 삭제’. 사용자가 이 버튼을 누르면, 브라우저는 해당 사이트에 더 이상 상세 정보를 제공하지 않도록 초기화하는 겁니다.”
드미트리의 제안은, 기술적인 해결책과 정책적인 고려 사이에서 절묘한 균형점을 찾으려는 시도였다.
그것은 핑거프린팅 문제를 완벽하게 해결하지는 못했다. 하지만 사용자에게 무슨 일이 일어나고 있는지 알리고, 그 흐름을 제어할 수 있는 최소한의 권한을 돌려주었다.
이 제안은 프라이버시 워킹 그룹과 GPU 워킹 그룹의 긴밀한 협력을 통해 점차 구체화되기 시작했다.
드미트리는 이 과정을 통해, 플랫폼을 만든다는 것의 또 다른 무게를 깨달았다.
그것은 단순히 코드를 짜고 기능을 만드는 것을 넘어, 자신이 만든 세상 속에서 살아가는 사용자들이, 원치 않는 추적으로부터 자신을 보호하고, 디지털 세상 속에서 ‘잊혀질 권리’를 행사할 수 있도록, 그들의 존엄성을 지켜줄 의무까지 포함하는 것이었다.
그의 책임은 이제, 기계의 성능을 넘어 인간의 권리라는 더 높은 차원으로 확장되고 있었다.
