저를 이렇게까지 알고 있을 줄 몰랐어요.최근 구글 브라우저 설정을 바꾸려다 맞춤형 광고 페이지를 발견한 김모 씨(30회사원)는 깜짝 놀랐다. 사이트에 그의 나이는 물론 결혼 여부, 자녀 유무, 반려동물, 주택 소유 여부, 취미, 회사명까지 모두 올라와 있었기 때문이다. 페이지는 바로 구글이 맞춤형 광고를 제작하기 위해 사용자 정보와 관심 분야를 추정한 곳이다.
아이폰 사용자 김 씨는 구글에 별도 정보를 제공하는 줄 몰랐다. 하지만 유튜브를 시청하고 크롬으로 정보를 검색하는 등 단순히 구글을 사용한 결과 구글은 그에 대해 상당한 양의 정보를 알아낼 수 있었다. 김씨는 “이렇게 정확하게 나올 줄 몰랐다”며 “구글이 생각보다 너무 많은 양의 정보를 갖고 있어 놀랐다”고 말했다. ▷구글이 나에 대해 얼마나 알고 있는지 궁금하다면
그럼, 검색 엔진인 구글이 사용자 정보를 수집하는 이유는 무엇일까?바로 구글이 검색 엔진인 동시에 거대한 광고 플랫폼이기 때문이다.구글이 제공하는 온라인 광고 서비스 인”구글 아즈”에서는 맞춤형 광고도 서비스한다.맞춤형 광고는 고객의 개인 정보 및 검색 기록 등을 반영하고 특정 기업의 광고를 사용자 맞춤형으로 흘리는 것을 말한다.실제로 구글의 모회사인 알파벳의 매출은 대부분이 광고로 나온다.알파벳이 지난 달 2일(현지 시간)발표한 자료에 따르면 제4분기 전체 매출은 569억달러(약 64조 4051억원)로 광고 매출은 462억달러(약 52조 2937억원)이었다.전체 매출 중 광고가 차지하는 비중이 무려 81%나 되는 셈이다.딱의 고객에게 다가가겠다는 구글 아즈의 홍보 문구처럼 구글이 관련성이 높은 고객에게 더 가까워지기 위해서는 정보 수집이 필수적이다.소비자가 어떤 광고를 필요로 하는지를 찾아 광고주와 매칭 시켜야 하기 때문이다.이 때문에 구글은 사용자 스마트 폰 사용 내역, 인터넷 사용 내역, 유저가 직접 제공한 정보 등을 토대로 관심사를 유추한다.물론 정보를 수집하는 것은 구글만이 아니다.맞춤형 광고를 제공하는 광고 플랫폼 사업자의 대부분은 사용자 정보를 수집한다.애플의 경우 앱 스토어, 애플 뉴스, 주식 앱에 제공되는 광고 때문에 개인 정보를 수집한다.페이스북도 유저의 사료에 나타나는 광고를 더 세세하게 설정하기 때문에 개인 정보를 수집한다.페이스북은 특히 제4분기 매출 281억달러(약 31조 8120억원)중 광고 수익이 272억달러(약 30조 8040억원)에도 과연 광고 의존도가 높은 편이다.
광고 사업자가 사용자의 스마트폰 활동 내역을 보다 쉽게 수집하기 위해서는 이들을 식별할 수 있는 정보가 필요하다. 구글, 애플 등 모바일 운영체제는 광고 사업자 프로파일링을 지원하기 위해 ADID(Advertising ID)·AAAID(안드로이드 Advertising ID)·IDFA(ID For Advertise) 등으로 불리는 광고 식별자를 생성하고 있다. 광고 식별자는 모바일 기기별로 고유하게 부여되는 정보이기 때문에 이용자가 여러 앱을 이용하더라도 광고 사업자는 단일 광고 식별자를 매개로 다양한 정보를 수집하는 것이 가능하다.
구글이나 애플 등은 소프트웨어 개발 키트(SDK)을 활용하고 광고 식별자를 배포한다.스마트 폰 앱을 개발할 때 프로그램 코드에 운영 시스템이 제공하는 특정의 명령(API)를 삽입하면 운영 체계는 해당 앱에 광고 식별자의 값을 조회할 수 있다.API가 삽입된 모바일 앱은 광고 식별자와 자신이 수집한 정보를 함께 서버 도메인에 전송하게 된다.광고 플랫폼 사업자는 이를 받고 편리하게 소비자 행동 정보를 분석할 수 있다.그럼 얼마나 많은 앱이 광고 플랫폼 사업자에게 정보를 송신하고 있을까.서울대 로스쿨 고·학스 연구 팀은 지난해 10월에 발표한 논문”국내 모바일 앱 이용자 정보 수집 현황 및 법적 쟁점”에서 대다수의 앱이 광고 식별자를 서버에 전송하고 있다고 밝힌 바 있다.연구 팀은 안드로이드로 가장 많이 다운로드된 유료·무료 앱 886개를 중심으로 광고 식별자 전송을 연구했다.그 결과 92.6%의 820개의 앱이 서버에 정보를 전송한 것으로 나타났다.가장 많이 송신된 서버는 구글과 페이스북, 게임 엔진 업체인 Unity3D로 나타났다.특히, 무료 앱의 절반 이상은 구글과 페이스북 서버에 광고 식별자를 보냈다.
모바일 앱이 이처럼 다수의 서버 도메인에 ADID를 전송하는 직접적인 이유는 ADID가 이용자를 프로 분철하기 위해서 복수의 서버로 활용되고 있는 것으로 보인다.우선 해당 모바일 앱이 다수의 광고 사업자로부터 광고를 수신하기 위해서 다수의 광고 사업자에게 ADID를 전송하는 경우가 있지만 직접 광고를 수신하기 위한 목적이 아니더라도 광고 사업자가 이용자 프로파일링을 통해서 행동을 분석하기 위한 목적으로 정보를 수집할 수도 있다.또 광고 목적 이외에도 앱 개발자가 앱 이용 통계를 조사하거나 앱 개선을 위한 이용자 행동을 파악하기 위한 경우에도 ADID를 활용하는 경우도 있을 것으로 보인다.-국내 모바일 앱 이용자 정보 수집 현황 및 법적 쟁점-
이외에도 광고 플랫폼은 맞춤형 광고를 더 촘촘히 하기 위해 계정을 만들 때 제공하는 정보와 앱 활동 내역, 쿠키 등을 수집한다. 쿠키는 편리한 브라우징을 위해 개발된 것으로 사용자 웹사이트 접속 내역, 로그인·활동 기록, 브라우저 설정 내역 등이 포함돼 있다.
전문가들은 스마트 폰 사용자가 계정을 만들거나 앱을 사용할 때 어떤 정보를 플랫폼에 주는지 잘 모르겠다고 지적한다.계정을 만들 때”동의” 해야 할 개인 정보 보호 약관이 긴 내용이 어렵고, 맞춤형 광고를 활성화할 기본 값으로 설정되어 있는 경우가 많다는 지적이다.구글의 경우 G메일 계정을 만들 때”옵션을 더 본다”을 클릭해야 맞춤형 광고 설정을 해제할 수 있다.만약 사용자가 옵션의 상세를 클릭하지 않고 계정을 만들면 본인도 모르는 사이에 원치 않는 정보를 구글에 넘길 수 있는 것이다.애플도 맞춤형 광고를 사용하는 것이 기본 값으로 설정되어 있어 해제하기 위해서는 스마트 폰 설정 칸에 들어가야 한다.개인 정보 보호 위원회 조정 위원을 맡고 있는 김·보라, 변호사는 “기업이 앱을 설계하는 시점에서 서비스 활용 서비스가 나오는 단계까지 전 과정에 걸쳐프라이버시 친화적으로 설계하는 법에 규정해야 한다”고 주장했다.앱 설계 자체를 스마트 폰 서비스를 잘 활용하지 못하는 사람도 개인 정보를 쉽게 보호할 수 있도록 해야 한다는 설명이다.유럽 연합(EU)의 경우 2018년부터 일반 데이터 일반 데이터 보호 규칙(GDPR)를 통해서 기업이 개인 데이터를 이용할 때 구체적으로 정보 처리 방침을 명확히 하는 것과 충분한 동의를 얻는 것을 명시하고 있다.이를 어길 경우 연간 매출액의 4%까지 벌금을 부과할 수 있다.실제로 구글은 2019년 프랑스에서 사용자의 개인 정보 처리 방침을 분명히 하지 않았다는 이유로 5000만유로(약 690억원)의 벌금을 부과된 바 있다.
애플에서 제공하는 개인정보 추적 차단 기능, 사진 | 애플 제공
GDPR시행 이후 기업도 개인 정보 보호를 위한 정책을 조금씩 바꾸고 있다.구글은 3일 앞으로 크롬 쿠키를 단계적으로 폐지할 예정이라고 밝혔다.구글은 앞으로 이에 대신하는 인터넷 기록 추적 기술을 개발하거나 사용하지 않을 계획이다.다만 광고주가 맞춤형 광고를 계속할 수 있도록”프라이버시 샌드 박스”를 도입하는 개별 이용자가 아닌 관심사 집단에 의한 광고를 낼 수 있도록 할 예정이다.애플의 경우 지난해 12월부터 APP스토어 앱 상세 페이지에 다운로드 하고자 하는 앱이 어떻게 개인 정보를 처리하는지 쉽게 알리는 자료를 제공하고 있다.올해 하반기부터는 앱이 다른 기업의 앱과 웹 사이트에 걸고 활동을 추적하려고 할 때, 의무적으로 승인을 받도록 설정할 예정이다.별도 팝업 창을 열고 사용자에게 일일이 개인 정보를 허가 여부를 묻는 방식이다.다만 수익의 대부분을 광고 플랫폼에서 벌고 있는 페이스북의 경우 애플의 개인 정보 추적 통제 기능에 반색이다.사용자가 광고 식별자의 추적을 불허하면 광고주는 더 이상 광고 식별자를 기반으로 한 광고 솔루션을 만들 수 없기 때문이다.페이스북의 마크·저커버그 최고 경영자는 지난 달 27일 열린 실적 발표에서 “애플은 이용자 때문에 새로운 정책을 시행한다고 하지만 실은 자신들의 영향력을 높이려는 의도”라고 비판했다.제작 서울·죠은융김·재현ㅣ디자인 김·경수 [email protected]
GDPR 시행 이후 기업들도 개인정보 보호를 위해 정책을 조금씩 바꾸고 있다. 구글은 앞으로 크롬 쿠키를 단계적으로 폐지할 예정이라고 3일 밝혔다. 구글은 앞으로 이를 대체할 인터넷 기록 추적 기술을 개발하거나 사용하지 않을 계획이다. 다만 광고주가 맞춤형 광고를 이어갈 수 있도록 ‘프라이버시 샌드박스’를 도입해 개별 이용자가 아닌 관심사 집단에 의해 광고를 낼 수 있도록 할 예정이다. 애플의 경우 지난해 12월부터 앱스토어 앱 상세페이지에 다운로드하려는 앱이 어떻게 개인정보를 처리하는지 쉽게 알려주는 자료를 제공하고 있다. 올해 상반기부터는 앱이 다른 기업의 앱과 웹사이트에 걸쳐 활동을 추적하고자 할 때 의무적으로 승인을 받도록 설정할 예정이다. 별도 팝업창을 열어 사용자에게 일일이 개인정보 허용 여부를 묻는 방식이다. 다만 수익의 대부분을 광고 플랫폼에서 벌어들이는 페이스북의 경우 애플의 개인정보 추적 차단 기능에 반기고 있다. 사용자가 광고 식별자 추적을 허용하지 않으면 광고주는 더 이상 광고 식별자를 기반으로 한 광고 솔루션을 만들 수 없기 때문이다. 마크 저커버그 페이스북 최고경영자는 지난달 27일 진행된 실적 발표에서 “애플은 이용자를 위해 새로운 정책을 시행한다지만 사실은 자신들의 영향력을 높이려는 의도”라고 비판했다. 제작 서정윤 김재현 ㅣ 디자인 김경수 [email protected]