Home > 전체기사

온라인 맞춤형 광고, ‘구글’과 ‘메타’ 행위에 규제 장치 필요

  |  입력 : 2022-10-03 13:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2017년 마련한 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’ 구체화해야
행태정보 유형, 사용영역과 방식 등 분석해 행태정보 규제 체계 법률 마련 시급


[보안뉴스 김영명 기자] 개인정보보호위원회는 지난달 중순, 구글과 메타가 이용자의 동의 없이 개인정보(이용자의 타사 행태정보)를 수집해 온라인 맞춤형 광고에 활용해 1,000억원 남짓의 과징금을 부과했다.

[이미지=utoimage]


국회입법조사처의 정보 소식지 <이슈와 논점>은 최근 ‘온라인 맞춤형 광고에서의 행태정보 보호’라는 제목의 글을 게재하며, 온라인 활동 과정에서 이용자의 최소수집원칙 준수 강화와 함께 행태정보 규제체계 점검을 통한 빅테크 플랫폼 기업의 별도 규제 적용 방안에 대해 언급했다.

지난해 미국 온라인 시장의 약 64%를 구글(26.4%), 메타(24.1%), 아마존(14.6%) 등 빅테크 플랫폼 사업자가 차지한 것으로 조사됐다. 빅테크 플랫폼 사업자는 이용자의 행태정보를 추적 및 분석해 관심사에 맞는 정보를 제공하는 맞춤형 광고 기술을 사용하며 많은 이용자로부터 방대한 행태정보를 수집하고, 이를 통해 온라인 광고시장에서 지배력을 과시하고 있다.

개인정보보호위원회는 조사 결과에서 구글과 메타의 타사 행태정보 수집·이용 사실에 대해 구글은 기본값은 ‘동의’로 설정하고, ‘옵션 더 보기’ 버튼을 눌러야 나올 수 있도록 기본설정을 가려뒀다. 메타는 데이터 정책 전문을 한 번에 다섯 줄만 보이는 좁은 화면으로 제대로 보이지 않도록 알렸으며, 일괄적으로 동의만 받을 뿐 타사 행태정보의 수집·이용에 대한 별도의 고지가 없었다.

국내 이용자 대부분은 구글과 메타의 타사 행태정보 수집을 허용하고 있는데, 그나마 긴 데이터 정책 전문을 보여주며 포괄적 동의를 받는 메타에 대한 동의율이 98% 이상으로, 구글(82% 이상)보다 더 높은 것으로 나타났다.

해외 주요국은 빅테크 기업의 이러한 꼼수를 통한 개인정보, 관심사, 위치정보 수집이 과도하게 노출되는 것에 대해 무분별한 개인정보 수집이라고 판단하고 맞춤형 광고에 제동을 걸고 있다.

프랑스는 우리 개인정보보호위원회의 결정과 비슷한 판단을 2019년에 이미 내린 적이 있다. 당시 구글은 ‘옵션 더 보기’를 눌러야만 맞춤형 광고 이용에 대한 내용이 표시되고, ‘동의’를 기본값으로 설정해 가리는 등의 행위로 암묵적 동의를 받았다. 프랑스 개인정보보호 감독기구인 CNIL(Commission nationale de l´informatique et des libertés)은 이에 대해 구글이 개인정보 동의 절차에서 GDPR(General Data Protection Regulation)의 투명성 원칙을 위반하고 이용목적을 충분히 설명하지 않았다고 판단해 5,000만 유로(당시 약 642억원)의 과징금을 부과했다.

CNIL은 ①개인정보 처리 방침은 정보주체가 정보 처리에 수반되는 범위와 결과가 무엇인지 미리 알 수 있도록 제공돼야 하는데, 구글의 개인정보 처리 방침은 여러 번 클릭해야 하고 정보가 파편화되어 있으며 제공되는 정보들로는 이용자들이 그 결과를 충분히 이해하기 어려워 투명성 원칙을 위반했고, ②불명확하고 이해하기 어려운 방식으로 정보를 제공하고 ‘옵션 더 보기’를 무조건 눌러야 정보를 확인할 수 있도록 하면서 ‘동의’에 기본설정을 했기 때문에 이용자의 유효한 동의라고 보기 어렵다고 판단했다.

독일도 2019년 2월 메타가 인스타그램과 같은 계열 서비스와 제3자 웹사이트에서 이용자 행태정보를 수집하고 결합하는 것을 금지했으며, 벨기에 개인정보보호 감독기구 APD(Autorité Protection des Données)도 올해 2월 유럽온라인광고협회(IAB Europe)에 맞춤형 광고 솔루션 이용자에게 동의 여부를 고지하는 내용이 너무 일반적이고 모호하다며 과징금을 부과하고 시정조치를 했다.

온라인 행태정보 보호, ‘최소수집원칙’ 준수 필요
국회입법조사처는 온라인 맞춤형 광고에서의 행태정보를 보호하기 위해 △최소수집원칙 준수 강화 △행태정보 규제체계 점검 △빅테크 플랫폼 기업의 행태정보 활용 제안 등 3가지를 제안했다.

먼저 ‘최소수집원칙 준수 강화’에서는 맞춤형 광고의 사용자 동의를 유효하게 하기 위해서는 이용자에게 수집 방침을 쉽고 명확하게 알려줘야 하며, 수집 범위에서는 최소수집원칙을 준수해야 한다는 것이다. 또한, 플랫폼 기업이 행태정보 수집 미동의 시 이용자에게 서비스 사용을 전면 금지해 이용자에게 동의를 강요하는 상황을 방지해야 한다. 메타도 초반에는 국내 이용자에게 행태정보 수집·이용에 대한 별도 동의를 받지 않고 있다가 최근 광범위한 행태정보 수집에 동의하지 않으면 서비스 이용을 중단하겠다는 정책을 내놓았다. 다만 반대 여론에 밀려 꼬리를 내리기는 했지만, 충분히 ‘동의’의 형식을 빌려 이용자의 정보를 수집할 위험성이 남아 있다.

개인정보 보호법(법률 제16930호)은 목적이 필요한 범위 내에서 최소한의 개인정보를 수집하도록 하고 있으며(제3조 제1항), 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 정보통신 제공자가 그 서비스의 제공을 거부할 수 없도록 규정(제39조제3항)하고 있다.

두 번째로 ‘행태정보 규제체계 점검’에서는 행태정보가 방대하게 수집되고 개인 계정과 연결되면 개인정보가 노출되거나 침해될 가능성이 높아 별도의 보호가 필요하다.

이에 대해 유럽연합(EU)에서는 이용자 행태정보 추적의 근간이 되는 쿠키에 대한 별도 규정(ePrivacy Directive)을 두고 있으며, 미국의 ‘캘리포니아 소비자 프라이버시 법(California Consumer Privacy Act)’은 쿠키를 고유 식별자 또는 고유한 개인 식별자의 한 유형으로 명시하고 있다.

일본은 올해 4월부터 시행된 ‘개인정보보호에 관한 법률’에서 ‘개인관련정보’ 개념을 도입했다. 개인정보와 다른 개인관련정보는 생존하는 개인에 관한 정보이면서 개인정보, 가명가공정보, 익명가공정보 중 그 어디에도 해당하지 않는 범위로 정했는데, 인터넷 열람과 검색 이력, 위치정보, 쿠키정보 등이 이에 해당한다. 또한, 제3자로부터 개인관련정보를 제공받아 다른 정보와 결합해 개인을 식별해 사용할 가능성이 있는 자는 정보주체로부터 사전 동의가 필요하다.

세 번째로 ‘빅테크 플랫폼 기업의 행태정보 활용 제한’에서는 빅테크 플랫폼 기업의 활동 특성상 행태정보 수집이 꾸준히 이뤄지기 때문에 맞춤형 광고에 대한 별도의 규제를 마련해 개인정보 침해 가능성을 차단해야 한다.

EU는 오는 2023년부터 시행될 예정인 새로운 플랫폼 규제 체제에서 기업의 맞춤형 광고에 제동을 걸었다. 이 규제는 ‘디지털시장법(Digital Market Act)’으로 게이트키퍼(gatekeeper) 역할을 하는 핵심 플랫폼 기업은 수집한 개인정보를 맞춤형 광고에 이용하거나, 다른 수단으로 수집한 개인정보와 결합해 다른 서비스와 교차 사용하는 것을 금지하고 있다.

이용자의 명확하고 명시적이며 정보에 입각한 별도의 동의가 있을 때만 예외적으로 맞춤형 광고를 할 수 있지만, 미성년자에 대해서는 철저하게 금지하도록 조치했다. 이 법은 글로벌 온라인 플랫폼 서비스 제공자가 온라인 인터페이스에 광고를 표시할 경우 광고 내용, 맞춤형 광고 여부, 맞춤형 광고에 사용된 주요 매개변수 등을 저장하고 공개하도록 요구했다.

국회입법조사처는 “우리나라도 2017년 방송통신위원회가 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’으로 행태정보 처리 시 준수사항을 제시했지만, 행태정보 유형, 사용영역과 방식 등을 세분하지 않고 있다”며 “행태정보 유형, 사용영역과 방식 등에 따른 보호 필요성을 검토해 행태정보 규제 체계를 법률로 마련해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)