P3P 규약의 이해 > 개발자팁

매출이 오르면 내리는 수수료! 지금 수수료센터에서 전자결제(PG)수수료 비교견적 신청해 보세요!

개발자팁

개발과 관련된 유용한 정보를 공유하세요.
질문은 QA에서 해주시기 바랍니다.

P3P 규약의 이해 정보

기타 P3P 규약의 이해

본문

 

엔피씨입니다. 

 

여러분은 P3P 규약에 대해서 알고 계시나요?

Platform for Privacy Preferences Protocol 의 약자이고, 개인정보보호정책이라고 읽는 이 규칙은 

그누보드의 common.php 파일 상단에 설정되어있는 header 값입니다.

 

header('P3P: CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA POL HEA PRE LOC OTC"');

 

하지만 어디를 둘러보아도 해더에 쓰여진 P3P규약에 대한 풀이가 없고, W3C의 영문 문서밖에 찾을 수 없어서 답답했었습니다. 이 규약을 모른다고 해서 문제가 되지는 않습니다. 오히려 복사 붙여넣기 해도 아무런 문제가 안생길 정도로 대한민국은 표준화 되어있습니다. 

 

그러나!

 

저처럼 궁금증이 생겼거나 심심하여, 알아보고자 하시는 분이나 커스터마이징 해서 쓰고 싶다는 분이 있을까 해서 적게 되었습니다. 인용된 내용은 한국정보통신기술협회 '[2006-858]개인정보보호정책 설정 및 협상 규격.hwp'파일내용과 'W3C P3P'항목, 그리고 위키피디아 등 여러곳에서 참고하였습니다.

 

P3P 프로토콜은 아래와 같이 이루어져 있습니다.

 

P3P: CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA POL HEA PRE LOC OTC"

 노란색(P3P)

 P3P 선언

 분홍색(CP)

 개인정보보호정책 엘리먼트

 연두색(Access)

 개인정보 접근제어

 주황색(Category)

 카테고리

 

이 중에서 연두색 부분을 보면 대부분의 사이트 들이 'ALL'로 되어있는데, 식별자에 포함되어 있는 항목들에 대해서는 접근을 허용한다는 것입니다. 항목들은 여러가지가 있는데 기본적으로 어떠한 정보든지 브라우저가 접근할 수 있게 하겠다는 방침입니다. 접근제어 항목에는 아래와 같은 것들이 있습니다.

 

 

Access ( 개인정보 접근제어 )

 NOI

 nonident

 식별된 데이터를 웹 사이트가 수집하지 않음

 ALL

 all

 식별된 데이터 접근 허용

 CAO

 contact-and-other

 식별된 온라인 및 대인 접촉 정보와 식별된 기타 특정 정보에 대해 접근 허용

 IDC

 ident-contact

 식별된 온라인 및 대인 접촉 정보에 대해 접근 허용

 OTI

 other-ident

 식별된 기타 특정 정보에 대해 접근 허용

 NON

 none

 식별된 데이터 접근 불가

 

그 다음으로 작성되는 주황색 영역이 카테고리입니다. 카테고리는 '이 사이트에서 어떠한 정보에 접근하게 될지 간략하게 알려주는 역할'을 합니다. 여기서 특이한 점이 있는데, 카테고리에는 또 다른 하나의 옵션이 있습니다. 소문자로 적혀있는 부분이 그 부분인데요, 저는 이것을 승인여부라고 부릅니다. 우선은 카테고리 부터 짚고 넘어가도록 하겠습니다.

 

 

Category ( 개인정보의 분류 )

 PHY

 physical

 대인 접촉 정보

 현실에서 개인을 접촉 및 찾게 해주는 정보 (전화번호, 주소 등)

 ONL

 online

 온라인 접촉 정보

 온라인에서 사용자를 접촉 및 찾게 해주는 정보 (아이디, 메일 등)

 UNI

 uniqueid

 고유 식별자

 개인을 지속적으로 식별 또는 인지하기 위해 발행하는 정보

 PUR

 purchase

 구매 정보

 제품이나 용역의 구매에 의해 생성되는 정보 (지불정보 포함)

 FIN

 financial

 금융 정보

 개인의 금융 정보 (계좌현황,거래정보,지불기록,신용직불카드등)

 COM

 computer

 컴퓨터 정보

 접속한 단말기의 정보 (IP,도메인,브라우저,운영체제등 agent)

 NAV

 navigation

 내비게이션

 브라우저 데이터 (방문 페이지 기록,페이지 머문 시간기록 등)

 INT

 interactive

 인터렉티브 데이터

 검색엔진으로 전송되는 쿼리, 계좌정보, 활동 로그 등

 DEM

 demographic

 인구통계, 경제 데이터

 개인 특성 데이터 (성별,연령,우편번호,위치정보)

 CON

 content

 컨텐츠

 이메일 내용, 게시물, 채팅대화 로그 등

 STA

 state

 상태관리 메커니즘

 사용자 자동인식 메커니즘 (세션, 쿠키 등)

 POL

 political

 정치적 정보

 집단 또는 단체 소속정보 (종교, 조합, 전문가협회, 정당 등)

 HEA

 health

 보건 정보

 보건 데이터 (정신적 건강, 성적 성향, 의료정보, 의료품구매 정보)

 PRE

 preference

 선호도 데이터

 개인선호도 데이터 (색상, 음악취향 등)

 LOC

 location

 위치 데이터

 어떤 개인의 현재 물리적 위치 식별 및 추적 정보 (GPS 등)

 GOV

 government

 정부 발행 식별자

 개인을 지속적으로 식별하는 목적으로 정부에서 발행된 식별자

 OTC

 other-category

 기타

 위 정의에 속하지 않은 기타 유형의 데이터

 

주로 카테고리는 대문자 3글자로 이루어집니다. 위에 언급한 대로 승인여부에 대해서는 아래와 같은 옵션이 소문자로 붙습니다.

 

승인여부

 a

 always

 항상 허용

 i

 opt-in

 사용자가 일괄 허용

 o

 opt-out

 사용자가 일괄 거부

 

 

쉽게 설명하려고 노력하였지만, 저 역시 이제서야 보고 확인하면서 의미를 축약하여 썼기 때문에 이해를 시켜드리기에 충분하지 않았을 수도 있습니다. 그럼에도 이 자료를 통해 좀더 많은 분들이 P3P를 이해하는데 도움이 되길 바랍니다.

 

---------------------------------------------------------------

 

출처 및 참고자료

 

위키백과 : 옵트인 , 옵트아웃

깃허브 : 그누보드5 / common.php

한빛미디어 - "P3P:개인정보 입문" 게시글 

W3C - "The Platform for Privacy Preferences 1.0 (P3P1.0) Specification"

한국정보통신기술협회 - "표준번호 : TTAS.KO-12.0051/개인정보보호정책 설정 및 협상 규격 한글파일"

 

 

 

추천
5

댓글 6개

좋은 정보 감사합니다~^_^

그누보드 P3P 를 W3C 에 있는 설명대로 풀이하면 아래처럼 되는군요.

header('P3P: CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA POL HEA PRE LOC OTC"');

P3P 선언 : 정책 = 식별된 데이터 접근 허용

PURPOSE(목적,용도) = CURa ADMa DEVa TAIa
CUR -> current / ADM -> admin / DEV -> develop / TAI -> tailoring(재단)

RECIPIENT(받는사람) = OUR -> ours

RETENTION(보유) =
BUS -> business-practices(상업적 관습) / IND -> indefinitely(무기한으로)

CATEGORY(분류) = 본문 설명

복잡네요~ㅎ
댓글감사합니다.
밤늦게 적다보니 내용을 대거 빠트렸네요. 감사합니다 !

이 규약은 회원가입약관의 개인정보보호정책과 유사합니다.
그래서 정부에서는 한국형 P3P를 규격화 하여 생성기를 만들려고 하였죠.

그 첫번째 시도가 , 과거 개인정보보호법이 계도기간에 있을 때 KISA에 레이어로 붙어있던 개인정보처리방침 생성기 였습니다.
http://privacy.go.kr/a3sc/per/inf/perInfStep01.do

과거에는 이것을 생성하면 xml 파일 이나, 소스도 보여줬던 것 같았는데 가물가물하네요.

실제로 정책을 수립할 사이트관리자가 알기 쉽게 잘 풀어서 생성기를 만들면
괜찮을것 같다는 생각을 했습니다.
개인정보처리 사이트 링크 주소가 자꾸 변경되어서 그냥 저장해 놓은 파일 수정해서 만들곤 했었는데.. 드디어 주소를 알게 되었네요ㅎㅎ

제 기억에는 html 소스를 제공해준 걸로 알고 있습니다.
아 역시 가물가물한 기억이였는데 감사합니다!
or.kr에서 운영했던 정부나 지자체 서비스가 안보일때는 go.kr로 검색해보시면 어느정도 나옵니다.

정부가 날로 주워먹는 기분이 들지만.. : )
전체 1,261
개발자팁 내용 검색 기타에서

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT