오늘도 SNS 하셨나요, ○○가 줄줄 새는군요

빅테크 기업들 광고수익 위해 개인정보 무분별 수집
정부 “규제 가이드라인 제정”, 업계 “생태계 파괴”
EU는 빅테크 기업 포괄적 규제법안 5월부터 시행

2023년 2월 중국에서 열린 세계인터넷대회 행사장 앞을 관람객이 걷고 있다. 로이터 | 연합뉴스

[주간경향] 직장인 A씨는 최근 한 언론사 사이트에 들어가 기사를 읽던 중 깜짝 놀랐다. 읽어내려가던 페이지 한켠에 뜬금없이 공기청정기 제품 광고가 떠 있길래 별생각 없이 클릭해보니 한 유명 인터넷 쇼핑몰로 바로 연결됐다. 해당 상품은 두어 달 전 자신이 검색을 통해 살펴봤던 바로 그 상품이었다. 생각해보니 이런 경우가 한두 번이 아니었다. A씨는 “신기하면서도 누군가가 내 검색기록을 들여다보는 것 아닌가 하는 생각마저 들어 썩 기분이 좋지는 않았다”고 말했다.

기술적으로 볼 때 A씨는 ‘맞춤형 광고(표적·추적광고)’의 표적이 된 것이다. 맞춤형 광고는 온라인을 통해 수집된 방대한 정보를 바탕으로 서비스를 제공하고, 막대한 부를 창출하는 ‘빅테크’ 기업들의 주요 수익원이다. 대표적인 빅테크 기업으로는 구글, 메타, 네이버, 카카오 등이 있다.

이들 기업은 수집된 개인정보를 취합한 뒤 빅데이터 기술과 인공지능(AI) 등을 활용해 개인의 성별과 연령대, 취향과 관심사를 추론까지 해 광고에 이용한다. 광고 효과와 효율을 높인다는 빅테크 기업들의 설명과는 달리 맞춤형 광고는 2010년대 중반 등장 초기부터 개인정보침해 논란이 계속됐다. 기술 발달과 함께 추적 기법이 날로 구체화하면서 논란이 가중되자 개인정보보호위원회(개보위)는 ‘맞춤형 광고 가이드라인’을 곧 마련해 규제에 나설 예정이다. 시민사회단체들은 개인정보 문제 외에도 공정경쟁 훼손, 독점권 남용 등의 문제를 들어 빅테크 기업을 포괄적으로 규제하는 전담법안을 마련해야 한다고 지적한다.

날고 교묘해지는 개인정보수집 ‘기법’

“사악해지지 말자(Don’t be evil)”. 구글이 2000년에 내건 창업 기치(motto)다. 범위를 국내로 좁히면 2008년 구글코리아가 첫 기자간담회에서 가장 먼저 꺼낸 말이기도 하다. 당시 국내 IT 업계에 ‘생태계’란 말조차 낯선 시기에 구글코리아는 “모두가 공존할 수 있는 건전한 생태계를 구글이 만들어가겠다”고 말했다.

그리고 약 14년이 흐른 2022년 9월 27일. 개보위는 전체회의를 열고 개인정보보호법을 위반한 구글에 692억원의 과징금을 부과했다. 구글이 사용자들의 동의 없이 개인정보를 수집해 맞춤형 광고에 이를 활용했다는 이유에서다. 개인정보법 위반으로 부과된 단일 과징금 규모로 역대 최대금액이자 맞춤형 광고에 대한 첫 번째 과징금 부과 사례였다. 같은날 ‘페이스북’과 ‘인스타그램’을 서비스하는 ‘메타’도 동일한 혐의로 308억원의 과징금을 부과받았다.

구글은 2015년 모회사인 ‘알파벳’ 체제로 넘어가면서 기치에서 ‘사악해지지 말자’를 지웠다. 구글은 정말 사악해진 것일까. 사실 개보위가 구글과 메타에 내린 과징금 처분은 아직 ‘법적인’ 결론이 나지 않았다. 구글과 메타 모두 지난 3월 개보위 처분을 받아들일 수 없다며 행정소송을 냈다. 개보위는 구글과 메타가 사용자의 타사이트 접속 기록 등을 수집하면서 동의 절차를 제대로 거치지 않거나 교묘하게 해당 정보의 수집내용을 감췄다고 본다. 구글과 메타는 “절차대로 했다”고 맞서는 중이다.

법원에서 어떻게 결론이 날 것인지와는 별개로 구글의 사례는 오늘날 빅테크 기업들이 개인정보를 어떻게 수집하고 활용하는지를 적나라하게 보여준다는 점에서 의미가 크다. 네이버, 카카오 등 국내 빅테크 기업들도 개인정보 무단 수집 의혹 등으로 조사를 받거나 제재를 받았다. 대부분의 사용자는 플랫폼이나 메신저, SNS 서비스 등을 ‘무료’로 이용하는 대신 자신의 어떤 정보를 해당 업체에 넘겨주게 되는지 제대로 알지 못한다. 보통 서비스 가입 시 개인정보 이용 동의 과정에서 ‘수집정보’ 등 내용이 표시되지만 이를 주의 깊게 살펴보는 사용자들은 드물기 때문이다.

구글만 해도 서비스를 이용하는 인터넷주소(IP주소), 기기 및 브라우저 정보 등 기본정보(사용자 제공정보)를 비롯해 사용자의 검색단어, 시청 동영상, 구매 활동 등은 물론 사용자가 교류하는 사람이 누군지 등의 행태정보까지 수집한다. 2022년 1월 국내 페이스북 사용자 162명은 본인 및 사용자의 ‘페이스북 친구’ 정보를 제3자에게 무단 제공했다는 의혹을 제기하며 운영사인 메타를 상대로 집단 손해배상 소송에 나서기도 했다.

최근에는 개인정보 이용 동의를 받는 과정에서 교묘하게 수집 사실을 속이거나 민감한 수집정보 내역 등을 숨기는 등 일명 ‘다크패턴’을 이용하는 서비스 업체들도 등장했다. 개인정보 유출을 막기 위해 약관을 꼼꼼히 살피는 등 가입 단계부터 주의가 요구된다.

굳이 회원가입을 하지 않더라도 인터넷 ‘쿠키’를 통해 사용자의 다양한 접속 및 이용기록이 수집되기도 한다. 본래는 사용자의 접속 환경을 기록해 재접속 시 여러 편의를 제공하기 위한 차원에서 도입된 기술이다. 인터넷 초창기 시절부터 쿠키를 통한 개인정보 과다 수집 논란은 이어져 왔다. 한 IT 업계 전문가는 “해외 사이트의 경우 접속 시 쿠키 수집에 ‘동의’ 여부를 사전에 구하는 추세”라며 “국내는 쿠키 수집에 있어 규제가 없기 때문에 동의를 구할 필요가 없고, 사용자들도 어떤 정보가 수집되는지 알기 어렵다”고 말했다.

실시간 경매로 팔리는 소비자 개인정보

스마트폰의 사용 내역 정보도 수집된다. 사용자가 스마트폰으로 접속할 때 구글(구글 플레이)의 경우 ‘ADID’, 애플(앱스토어)의 경우 ‘IDFA’라는 고유 식별번호(광고식별값)를 부여한다. 이를 통해 해당 스마트폰에서 무엇을 검색했고, 구매했는지 등의 정보가 수집된다. 이렇게 수집된 정보는 표적광고를 위한 기본 데이터로 활용된다. 광고식별값을 통해 정보를 수집하는 과정에서 사용자 동의문제 논란이 일자 2021년 구글은 사용자가 기기에서 ADID를 지울 수 있도록 정책을 바꿨고, 애플도 같은해 광고를 하려는 사업자가 사전에 IDFA 이용 동의를 사용자로부터 받도록 규정을 고쳤다.

빅테크 기업들이 이렇게까지 사용자 정보 수집에 열을 올리는 이유는 광고 수익 때문이다. 글로벌 시장조사기관인 스태티스타의 집계를 보면 2022년 1분기 메타 수익의 97%가, 구글 수익의 81%가 디지털 광고에서 나왔다. 네이버와 카카오도 매출의 절반 이상이 광고에서 나온다. 웹과 모바일을 통해 광범위하게 수집된 사용자들의 개인정보는 ‘실시간입찰(RTB)’이라는 광고기법으로 발전했고, 이를 통해 빅테크 기업들은 막대한 수익을 올리기 시작했다.

기존에는 광고주가 광고를 집행할 매체나 플랫폼과 직접 접촉하거나 중간에 대행사 등을 끼고 광고를 집행하는 방식이었다. RTB는 표적광고를 위해 도입된 일종의 광고플랫폼이다. 광고주가 목표로 하는 타깃층(소비자)과 매체를 놓고 실시간으로 입찰을 통해 광고집행권을 따내는 방식으로 운영된다.

당연히 광고주가 원하는 타깃층을 최대한 추적 가능하게 제공하는 RTB일수록 광고 단가가 비싸게 낙찰된다. 이 과정에서 빅테크 기업들은 그간 축적해온 온갖 다양한 사용자 정보를 동원한다. 데이터를 분석해주는 개인정보 관련 전문가나 이를 중개하는 전문 브로커들도 등장한다. 기업들 입장에서는 효과적인 광고 집행을 위한 절차로 보일지 몰라도 일반 소비자가 볼 때는 사용자들의 개인 관련 정보가 실시간 경매되는 것과 다름없다.

현재 RTB는 구글, 메타, 애플, 아마존 등 해외는 물론 네이버, 카카오 등 국내 빅테크 기업들 대부분이 운영 중이다. 개인정보 노출 문제에 대해 이들 기업은 한목소리로 “활용되는 정보는 모두 개인을 특정할 수 없는 ‘비식별 정보’라 문제가 없다”고 말한다.

하지만 비식별 정보라도 다양하게 수집되고 분석 및 결합하는 과정에서 충분히 특정한 개인정보로 바뀔 수 있다는 우려가 끊이지 않는다. 김보라미 법무법인 니케 변호사는 지난 6월 28일 열린 빅테크 포럼에서 “표적광고 데이터 브로커가 파편화된 개인정보를 취합해 미국 유명 가톨릭 신부의 성적 취향을 알아내는 등 개인이 특정화되는 사례가 발생하고 있다”며 “RTB에 너무 많은 사람이 개입하기 때문에 이들에게 어떤 정보가 제공되는지, 해당 정보를 어떻게 관리해야 하는지 등의 문제가 심각한 상황”이라고 말했다.

미국 워싱턴포스트는 올 3월 미국의 한 가톨릭 보수단체가 동성애 데이터앱을 쓰는 성직자를 추적하기 위해 데이터 구매 등의 목적으로 온라인 광고업자에게 최소 400만달러(약 53억원)를 지출했다고 보도하기도 했다.

EU는 5월부터 본격 규제, “국내 논의도 시작해야”

국내 맞춤형 광고 규제가 없진 않다. 방송통신위원회는 2019년 ‘온라인 맞춤형 광고 가이드라인’을 만들어 배포했다. 가이드라인에서는 그러나 빅테크 기업들이 수집하는 광범위한 개인행태정보 등이 개인정보인지 명시하지 않았다. 빅테크 기업들이 “비식별 정보”라고 주장하는 배경이다. RTB를 통한 맞춤형 과정에서 수많은 제3자들의 개입과 이를 통한 데이터 공유·유통 문제 역시 고려되지 않았다.

논란이 지속되자 개보위는 지난해 9월 “제도 개선에 착수하겠다”고 발표했다. 관련 전문가 및 업계와 수차례 간담회 등을 갖고 새로운 ‘맞춤형 광고 가이드라인(안)’을 최근 완성했다. 실제 배포 및 적용까진 다소 시간이 걸릴 전망이다. IT 업계와 광고 업계 등이 반발하고 나섰기 때문이다. 한국디지털광고협회·한국인터넷기업협회 등은 지난 7월 5일 성명을 내고 “온라인 광고는 디지털 경제를 유지·촉진하는 핵심 동력”이라며 “가이드라인이 시행되면 국내 온라인 광고 생태계는 큰 수렁에 빠지게 될 것”이라고 밝혔다. 개보위 관계자는 “성명 내용 중 일부 사실과 다른 내용도 있다”며 “이르면 7월 중 발표 예정이었는데, 추가 의견 수렴 등으로 발표가 다소 늦춰질 수 있다”고 밝혔다.

깨진 유리창 뒤편으로 구글 로고가 보인다. 로이터 | 연합뉴스

시민사회단체들은 이참에 빅테크 기업들을 포괄적으로 규제할 수 있는 법안 마련에 나서야 한다고 주장한다. 개인정보침해 문제를 비롯해 빅테크 기업들이 막강한 온라인 영향력을 앞세워 공정경쟁을 저해하고 독점권을 남용하는 등 횡포를 부리고 있다는 이유에서다. 중소기업이나 영세사업자들이 플랫폼의 영향력에 종속돼 불이익을 당하거나 ‘알고리즘 뉴스’ 등과 같은 서비스로 미디어 다양성이 훼손되는 등의 문제도 나타나고 있다는 지적이다.

EU는 이 같은 문제들을 들어 지난 5월부터 ‘디지털 시장법’과 ‘디지털 서비스법’ 시행에 들어갔다. 디지털 시장법은 ‘서로 다른 서비스 간 개인정보 통합 금지’, ‘경쟁 사업자 대비 자사 상품 우대 금지’, ‘플랫폼 이용사업자에 대한 부당한 횡포 금지’ 등을 규정하고 있다. 디지털 서비스법에는 또 ‘특정 다크패턴 사용 금지’, ‘온라인 광고 투명성 보장 의무 부여’, ‘아동에 대한 표적광고 금지’ 등이 포함됐다.

오병일 진보네트워크센터 대표는 “그간 국내 포털·IT 산업 등을 보호·육성해야 한다는 명목으로 개인정보침해나 공정거래 훼손 등 본질적인 문제는 외면해왔다”며 “유럽에선 이미 빅테크 기업이 가진 문제의 심각성을 인식하고 규제를 시작한 만큼 (우리도) 지금부터라도 논의를 시작해야 한다”고 밝혔다.

김남근 참여연대 정책자문위원장(변호사)은 “거대 플랫폼 기업들이 독과점적 지위를 구축한 뒤 자사우대, 끼워팔기, 최혜대우(낮은 납품가) 요구, 타서비스 이용제한 등 다양하게 지배력을 남용하면서 오히려 새로운 혁신과 투자가 저해되고 있다”며 “사후 규제는 늦기 때문에 사전에 일정규모 이상의 플랫폼을 지정해 규제하는 방안 등 입법 마련에 나서야 한다”고 밝혔다.

송진식 기자 truejs@kyunghyang.com