1초도 안 됐는데, 내 정보가 업체들에 실시간 공유된다니

한국의 공론장은 다이내믹합니다. 매체도 많고, 의제도 다양하며 논의가 이뤄지는 속도도 빠릅니다. 하지만 많은 논의가 대안 모색 없이 종결됩니다. 소셜 코리아(https://socialkorea.org)는 이런 상황을 바꿔 '대안 담론'을 주류화하고자 합니다. 구체적으로는 ▲근거에 기반한 문제 지적과 분석 ▲문제를 다루는 현 정책에 대한 날카로운 비판을 거쳐 ▲실현 가능한 정의로운 대안을 제시하고자 합니다. 소셜 코리아는 재단법인 공공상생연대기금이 상생과 연대의 담론을 확산하고자 학계, 시민사회, 노동계를 비롯해 각계각층의 시민들과 함께 만들어가는 열린 플랫폼입니다. 기사에 대한 의견 또는 기고 제안은 social.corea@gmail.com으로 보내주시기 바랍니다. [기자말]

[소셜코리아 연속기획] 독과점 빅테크 두고만 볼 것인가

새로운 기술과 시장 지배력으로 무장한 빅테크 기업들이 우리 삶 속에 깊숙이 들어와 있습니다. 단지 편리하다는 이유만으로 수수방관하기에는 독과점으로 인한 폐해가 적지 않습니다. 유럽 등에서는 규제를 강화하고 있지만 우리나라는 아직 갈 길이 멉니다. 어떤 문제가 있고 어떻게 대처해야 할 것인지 살펴봅니다.

① 플랫폼의 독과점 실태와 규제
② 표적광고와 개인정보 보호
③ 인공지능을 둘러싼 논란
④ 인공지능 시대, 혁신과 규제 사이

올겨울에는 필리핀 여행이나 가볼까 하고 인기 있는 여행지를 검색했다가 어떤 사이트를 방문하든 필리핀 패키지여행을 홍보하는 배너 광고가 따라다니는 경험, 누구나 해봤을 것이다.

이것이 소위 말하는 표적광고, 혹은 맞춤형 광고다. 어떤 사람들은 누군가 나를 감시하는 것 같아 기분 나쁘다고 하고, 내 관심사에 맞춰 광고를 보여주니 편리하다는 사람도 있다. 그러나 내가 매일 방문하는 언론사 웹사이트나 쇼핑몰의 뒤에 전혀 관계없어 보이는 구글과 메타(구 페이스북)와 같은 빅테크(정보 기술 대기업)가 나의 인터넷 이용 행태를 수집하기 위해 도사리고 있다는 사실을 상상하는 것은 힘든 일이다.

바로 확인을 해보자. 페이스북 이용자라면 설정 메뉴에서 '페이스북 외부활동'을 찾아가 보자. 구글 이용자라면 계정 메뉴에서 '데이터 및 개인정보보호' 설정에 가면 된다. 메타와 구글이 내가 방문한 언론사 웹사이트, 쇼핑몰이나 온라인 서점, 스마트폰에서 실행한 숙박앱이나 배달앱 등의 기록을 수집하고 있는 것을 확인할 수 있다. 이러한 내 활동 기록이 페이스북이나 구글의 플랫폼에서 이뤄진 것이 아님에도 말이다. 심지어 내가 배달앱으로 어떤 음식을 주문했는지, 언론사 사이트에서 어떠한 기사를 클릭했는지, 언제 어디로 여행을 갔는지 등의 정보도 수집한다.

표적광고 위해 개인정보 수집·거래

▲디디에 렝데르스 유럽연합 집행위원회 법무위원장이 2023년 7월 4일 벨기에 브뤼셀의 EU 집행위원회에서 강화된 유럽 개인정보보호법(GDPR)을 설명하는 기자회견을 하고 있다.EPA/연합뉴스

디지털 광고는 빅테크의 주요 수익원이다. 2022년 메타 총수익의 97%는 디지털 광고로부터 나왔다. 구글 총수익의 81% 역시 광고 수익이었다. 통계 사이트 스태티스타에 따르면 구글과 페이스북은 2021년 전 세계 디지털 광고 시장에서 1, 2위를 차지하면서 50% 이상의 점유율을 보유하고 있다.

최근 디지털 광고 추세는 이용자의 취향이나 관심사에 기반한 표적광고 기술이 중심이다. 방대하면서도 미세한 이용자 개인정보는 표적광고의 효과를 높이고, 이용자의 규모는 광고주를 견인하는 요인이 된다. 이용자에게 무료로 제공되는 서비스는 이용자를 모아 개인정보를 수집하기 위한 미끼일 뿐이다. 빅테크의 진정한 고객은 광고주이고 이용자는 상품이 된다.

이용자가 어떤 사이트에 접속할 때 1초도 안 되는 짧은 시간에 이용자의 행태정보를 매개로 한 실시간 경매(RTB)가 이루어진다. 이용자의 행태정보가 광고업체에 공유되고 가장 높은 입찰을 한 광고주의 광고가 이용자에게 보여진다. 예를 들어, 등산에 관심이 있는 이용자가 접속을 한다면 등산용품을 판매하는 광고주가 가장 높은 가격을 부를 것이다. 이용자에게는 이렇게 낙찰된 업체의 광고만 보여지지만, 이용자의 행태정보는 경매에 참여한 모든 업체에 공유된다.

2022년 5월 아일랜드 시민자유위원회는 미국와 유럽에서 실시간 경매 데이터의 공유 규모에 대한 보고서를 발표했다. 이에 따르면 미국과 유럽에서 매일 각각 2940억 회, 1970억 회의 실시간 경매를 통해 이용자가 방문한 사이트와 위치가 추적·공유된다고 한다. 평균적으로 매일 한 개인의 행태정보가 노출되는 횟수는 미국에서 747회, 유럽에서 376회에 이른다. 구글은 미국에서 4798개 업체에 실시간 경매를 통해 개인정보를 공유한다. 이 단체는 이를 '사상 최대의 개인정보 유출'이라고 평가했다.

이렇게 수집된 개인정보는 데이터 브로커를 통해 다른 사업자에게 판매할 수 있다. 올해 3월 미국 <워싱턴포스트>는 보수적인 가톨릭 단체가 게이 성직자를 식별하기 위해 민간 데이터 브로커로부터 위치 정보를 수백만 달러를 들여 구입했다고 보도했다. 그러나 이렇게 유출될 경우에만 개인정보 침해가 발생하는 것은 아니다. 내가 전혀 인지하지 못하는 사이에 내 행태정보가 수집되고 공유된다. 내 취향과 관심사가 무엇인지 프로파일링되는 것 자체가 개인정보 침해다.

내게 보여지는 광고는 우연한 것이 아니며, 가능한 한 많이 상품 구매를 하도록 의도된 것이다. 때로는 내 정치 성향을 파악하여 특정 후보를 지지하거나 반대하도록 유도하는 정치 광고가 노출될 수도 있다. 2013년 에드워드 스노든이 폭로한 미 국가안보국의 인터넷 감시처럼, 빅테크나 데이터 브로커가 보유하고 있는 이용자 행태정보에 정보수사기관이 접근할 수 있다면 시민에 대한 국가 감시로 악용할 가능성도 있다.

해외는 표적광고 엄격히 규제

표적광고 과정의 개인정보 침해는 이미 국제적으로 심각한 문제로 인식되고 있다. 유럽에서는 e-프라이버시 지침에 따라 이용자의 단말기에 쿠키를 설치하는 경우 이용자의 동의를 받아야 한다. 쿠키란 이용자가 방문하는 웹사이트가 이용자의 웹브라우저를 통해 이용자의 PC와 같은 단말에 생성하는 작은 파일인데, 장바구니와 같은 편리한 기능을 위해서도 활용하지만 제3자 광고업체들이 이용자 행태정보를 기록하고 추적하기 위해 활용하기도 한다. 해외 웹사이트를 방문해 본 이용자라면 해당 사이트에 가입하지 않더라도 처음 방문했을 때 쿠키 수집에 동의 혹은 거부를 선택할 수 있는 창이 뜨는 것을 본 적이 있을 것이다.

프랑스의 개인정보 감독기구인 CNIL은 구글과 메타가 쿠키 동의를 제대로 받지 않았다는 이유로 여러 차례 과징금을 부과한 바 있다. 2021년 2월 벨기에의 감독기구인 APD는 표적광고를 위한 유럽 광고협회(IAB Europe)의 정책 도구인 TCF가 유럽 개인정보보호법(GDPR)의 다수 조항을 위반했다면서 25만 유로(약 3억 6천만 원)의 과징금을 부과했다. 2023년 1월 아일랜드 감독기구인 DPC는 메타가 적법한 근거없이 행태정보를 활용하여 표적광고를 했다는 이유로 3억 9천만 유로(약 5300억 원)의 과징금을 부과했다.

나아가 2024년 시행 예정인 유럽연합의 디지털서비스법(DSA)은 온라인 광고의 투명성을 위해 ▲ 해당 정보가 광고라는 사실 ▲ 광고 게시자 ▲ 광고주 ▲ 광고 대상 이용자를 결정하는 데 사용한 주요 매개변수 등을 공개하도록 하고 있으며, 정치적 견해와 같은 민감 정보를 이용한 프로파일링 및 아동의 개인정보 프로파일링에 기반한 표적광고를 금지하고 있다. 디지털시장법(DMA)은 사전 동의 없이 서로 다른 빅테크 플랫폼에서 취득한 개인정보의 결합을 금지한다.

미국 캘리포니아주는 올해 1월 시행한 프라이버시 권리법(CPRA)에서 사업자가 행태정보를 활용한 광고 목적으로 개인정보를 제3자에게 전송하거나 제공하는 것을 거부할 권리를 소비자에게 부여하고 있다. 2022년 발의된 미국 연방 개인정보보호법안(ADPPA)은 표적광고에 대한 거부수단을 제공하도록 하고, 미성년자에 대한 표적광고를 금지한다. 2022년에는 인종, 민족, 출신 국가, 성별, 종교 등 민감 정보나 데이터 브로커로부터 구매한 개인정보를 토대로 한 표적광고를 금지하는 감시광고 금지법안(BSAA)이 발의되기도 했다.

기로에 선 국내 표적광고 규제

▲'페이스북, 인스타그램의 강제적 동의 철회와 이용자 권리 보장 및 면담 요청 기자회견'이 2022년 7월 28일 오전 서울 종로구 Meta(메타) 국내 대리인 사무소앞에서 경실련, 민변 디지털정보위, 서울YMCA시민중계실, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹 주최로 열렸다.권우성

한국에서는 2017년 2월에 방송통신위원회가 '온라인 맞춤형 광고 개인정보 보호 가이드라인'을 발표했다. 그러나 이용자의 동의 없이 쿠키를 통한 행태정보 수집이 관행적으로 이루어져왔고, 이에 대한 감독기구의 대응도 없었다. 국내에서 표적광고 문제가 주목을 받게 된 것은 2022년 5월 메타가 개정된 개인정보 처리방침에 대한 동의를 강제하면서부터였다.

이용자의 개인정보를 광범위하게 수집하면서도 모두 '필수'로 선택하도록 하고 동의를 강제한 것이 이용자의 반발을 불렀다. 결국 메타는 동의 강제 절차를 철회했지만 이를 계기로 메타가 자신의 플랫폼(페이스북이나 인스타그램) 밖에서도 이용자의 행태정보를 광범위하게 수집하고 있다는 사실이 알려졌다.

마침 2022년 9월 14일 개인정보보호위원회는 구글과 메타가 맞춤형 광고 목적으로 동의 없이 타사 행태정보를 수집·이용한 행위에 대해 시정명령과 함께 약 1천억 원의 과징금을 부과했다. 구글과 메타가 제3자 사이트의 이용자 행태정보를 수집하면서도 회원 가입 시 동의 페이지에서 이를 명확히 알리지 않았다는 것이다.

이어 개인정보위는 같은 달에 온라인 맞춤형 광고의 제도개선 방안 마련을 위한 작업반을 구성했다. 작업반은 수차례 회의를 거쳐 '온라인 맞춤형 광고 행태정보 처리 가이드라인' 초안을 만들고 올해 초에 이해관계자의 의견수렴을 거쳤다. 이 가이드라인은 올해 중반에 발표할 예정이었으나 아직까지 무소식이다.

지난 7월 5일 한국인터넷기업협회 등 산업계 단체들이 가이드라인이 시행된다면 국내 온라인 광고 생태계가 큰 수렁에 빠질 것이라며 반발했기 때문이다. 이는 불법적인 개인정보 처리를 지속하겠다는 생떼나 다름없다. 그러나 가이드라인이 만들어지지 않는다고 불법적인 처리에 대한 책임이 없어지는 것은 아니다.

지금까지 산업계는 쿠키나 모바일 광고 식별자 등을 통해 수집하는 행태정보가 개인정보가 아니라고 주장해 왔다. 이름이나 연락처 등 이용자를 알아볼 수 있는 개인정보를 수집하지 않는다는 것이다.

국내 개인정보보호법에 따르면 개인정보란 성명, 주민등록번호와 같이 개인을 알아볼 수 있는 정보뿐만 아니라 '해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보'를 의미한다. 유럽연합의 개인정보보호법 역시 개인정보를 '식별된(identified) 또는 식별 가능한(identifiable) 자연인(정보 주체)과 관련한 일체의 정보'를 의미한다고 정의하고 있다.

그리고 "식별가능한 자연인은 직접 또는 간접적으로 특히 이름, 식별번호, 위치정보, 온라인 식별자를 참조하거나 해당인의 신체적, 심리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특이한 하나 이상의 요인을 참조함으로써 식별될 수 있는 자를 가리킨다"고 덧붙이고 있다.

개인정보로 규정되지 않는다면 개인정보보호법의 규제를 따를 필요가 없으므로 기업들은 개인정보의 범위를 좁게 해석하려 한다. 그러나 법에 의해서든 판례에 의해서든 유럽에서 IP주소, 쿠키 식별자, 휴대전화 광고ID 등이 개인정보임은 명확하다. 그러나 국내에서는 업체들이 이를 개인정보가 아닌 것으로 간주해 왔고, 규제기관 역시 이를 개인정보로 규정하지 않았다.

이용자 행태정보를 프로파일링해서 서로 다른 개인의 취향과 관심사에 따라 서로 다른 광고를 내보내면서 개인정보가 아니라는 것은 마치 술은 마셨지만 음주운전은 아니라는 주장과 다를 바 없다. 개인정보의 정의에서 볼 수 있다시피, 이름이나 연락처와 같은 직접 식별자만이 개인정보가 아닐뿐더러, 광고업체에 중요한 것은 내 취향과 관심사이지 이름이나 연락처가 아니지 않은가. 또한 산업계는 표적광고가 이용자에게 유용하다고 주장하지만, 그렇게 유용하다면 이용자의 동의를 받아도 무방하지 않겠는가.

산업계가 반발한다고 개인정보위가 개인정보 보호원칙에서 후퇴하면 안 된다. 지금까지 개인정보위는 구글이나 메타와 같이 이용자 행태정보가 이용자의 계정과 연결되는 경우에 대해서는 명확하게 개인정보로 규정하고 개인정보보호법 위반에 대해 규제를 했지만, 쿠키를 통한 행태정보 수집에 동의가 필요한지 여부에 대해서는 모호한 입장을 보였다.

올해 말에 발표할 것으로 보이는 가이드라인에서 개인정보위가 쿠키, 광고식별자, IP주소 등을 통한 이용자 행태정보 수집과 표적광고를 위한 실시간 경매가 개인정보보호법을 준수하는 방식으로 이루어지도록 명확한 방향을 제시하기를 기대한다. 또한 표적광고 규율을 위한 국제 규범과 조화할 수 있는 방향이어야 할 것이다.

빅테크의 개인정보 독점이 무서운 이유

빅테크만이 표적광고를 하는 것은 아니지만 표적광고의 문제는 빅테크 이슈와 연결된다. 앞서 언급했듯이 구글, 메타 등 빅테크의 주요 수익원이 디지털 광고라는 측면에서도 그렇고, 더 방대하고 세밀한 개인 행태정보를 보유하고 있어야 표적광고의 효용성이 높아지므로 빅테크가 표적광고 사업에 있어서도 유리한 위치에 있을 수밖에 없기 때문이다. 나아가 빅테크는 표적광고를 위해 자신의 독점적 지위를 남용하여 이용자에게 과도한 개인정보 수집에 대한 동의를 강요해 왔다.

메타는 맞춤형 광고를 위한 개인정보 제공을 이용자가 거부하면 아예 페이스북이나 인스타그램 서비스를 이용하지 못하도록 했다. 지난 2월 개인정보위는 이에 대해 시정명령을 내리고 660만 원의 과태료를 부과했다. 제3자 웹사이트나 앱에서의 이용자 행태정보 제공은 페이스북이나 인스타그램 이용을 위한 필요 최소한의 정보가 아닌데, 이용자에게 선택권을 부여하지 않은 것은 개인정보보호법 위반이라는 것이다.

이렇게 메타가 이용자에게 과도한 개인정보 수집에 대한 동의를 강제할 수 있는 것은 메타가 소셜네트워크 시장에서 독점적인 지위를 가지고 있기 때문이다. 이러한 이유로 독일에서는 시장 감독기관인 연방카르텔청이 2019년 2월 메타에 대해 경쟁법 위반 시정명령을 내렸고 이듬해 대법원에서 확정되었다.

메타, 구글, 그리고 네이버와 카카오의 개인정보 독점은 비단 표적광고 수익을 위한 것만은 아니며, 이용자의 개인정보 침해라는 폐해만을 야기하는 것도 아니다. 빅테크의 독점력은 방대한 이용자 기반으로부터 나온다. 이용자가 많은 곳에 입점업체가 몰리는 교차 네트워크 효과가 작용하기 때문이다.

빅테크는 독점력을 악용하여 자신의 플랫폼 내에서 경쟁업체에 비해 자사의 상품을 우대할 뿐만 아니라, 인접시장으로 독점을 확대한다. 이때 이용자 행태정보는 표적광고를 위한 것일 뿐 아니라 경쟁업체와 시장에 대한 귀중한 정보이기도 하다. 따라서 이용자 개인정보의 보호는 인권 보호 차원에서도 중요하지만, 빅테크의 독점력 남용을 방지하기 위해서도 중요하다는 점을 인식할 필요가 있다.

필자 소개 : 이 글을 쓴 오병일은 진보네트워크센터 대표, 정보공유연대 IPLeft 대표, 정보인권연구소 연구위원으로 활동하고 있습니다. 20여 년간 인터넷 표현의 자유, 프라이버시권, 망중립성 등 정보인권 옹호를 위한 활동을 해왔으며, 최근에는 인공지능과 빅테크 규제에 관심을 갖고 있습니다.

덧붙이는 글 이 글은 <소셜 코리아>(https://socialkorea.org)에도 게재됐습니다. <소셜 코리아> 연재 글과 다양한 소식을 매주 받아보시려면 뉴스레터를 신청해주세요. 구독신청 : https://socialkorea.stibee.com/subscribe

#개인정보보호 #빅테크 #구글 #메타 #추적광고

패밀리사이트

공유하기