개보위, 구글·메타에 총 1000억원 과징금... "충분한 동의없는 행태정보 수집 그만"

[IT동아 정연호 기자] 구글과 메타가 행태정보 수집 및 분석과 관련된 사실을 이용자에게 명확하게 알리지 않고, 사용 동의를 받지 않아 1천억 원이 넘는 과징금을 부과 받았다. 개인정보보호위원회(이하 개보위)에 따르면, 구글은 행태정보 수집 동의를 받을 때 이용자가 허용하는 걸 ‘기본값’으로 설정했으며, 메타는 행태정보와 관련된 구체적인 정책을 알리지 않은 채 동의를 받았다. 이용자의 관심과 취향을 알 수 있는 행태정보는 이를 분석하면 민감한 개인정보를 추출할 수 있기 때문에 문제가 된다.

지난 9월 14일, 개보위는 이용자 동의 없이 행태정보를 수집하고 온라인 광고에 활용하는 등 개인정보 보호법을 위반한 구글과 메타(전 페이스북)에 각각 692억 원, 308억 원의 과징금을 부과한다고 밝혔다. 이어 양사에 “이용자의 행태정보를 수집·이용하려면 이용자가 쉽고 명확하게 인지하여 자유로운 결정권을 행사할 수 있도록 내용을 알리고 동의를 받아야 한다”는 시정 명령을 내렸다.

개인정보 보호법15조에 따르면, 정보통신서비스 제공자는 이용자의 개인정보를 이용하고 수집하는 경우엔 수집 및 이용 목적, 수집하는 정보의 항목, 정보 보유 및 이용 기간을 고지하고 동의를 받아야 한다. 개인을 식별하는데 사용하기 어려운 행태정보는 그 자체로 개인정보라고 할 수 없다. 다만, 개인정보와 결합해서 개인을 식별할 수 있게 된다면 개인정보로 분류된다.

구글과 메타처럼 개인 계정에 행태정보가 연결돼 식별성이 높아졌다면, 개인정보처럼 행태정보도 수집 및 이용과정에서 명확한 동의가 필요하다. 이번 처분 결과는 행태정보를 수집하고 이용하는 광고 플랫폼 기업에 대한 국내 최초 제재이기 때문에, 앞으로 파장이 클 것으로 예상된다.

행태정보는 웹사이트 방문, 앱 사용, 구매 및 검색 이력 등 이용자를 파악하고 분석할 수 있는 온라인 활동 정보를 말한다. 플랫폼 사업자는 특정 기기에서 플랫폼에 접속할 때 해당 기기에 이용자를 식별하는 값을 생성한다. 이를 통해 행태정보를 자동으로 수집하는 것이다. 이용자가 행태정보 수집 도구가 설치된 사업자의 웹과 앱을 이용하면 타사 행태정보가 이용자의 기기에서 플랫폼으로 전송된다. 이러한 데이터를 종합적으로 분석해 이용자에게 맞춤형 광고를 송출한다.

정보보호 전문가들은 “맞춤형광고를 위해 행태정보를 지속해서 수집하고 이를 활용하는 과정에서 성적 취향이나 건강, 인종 등과 같은 민감소스를 추출할 수 있다”고 우려한다. 행태정보가 식별성이 낮다고 해도 장기간 축적하고, 이를 다른 정보와 함께 활용하면 개인을 식별할 수 있다는 문제가 발생한다.

개보위 조사에 따르면, 구글 이용자 82% 이상, 메타 이용자 98% 이상이 타사 행태정보 수집을 허용하도록 설정했다. 구글은 회원가입 시 바로 행태정보 수집과 관련된 사안을 알리지 않고 있으며, 기본값으로 설정된 ‘행태정보 수집 동의’를 해제하려면 옵션 더보기를 누르도록 했다. 개보위는 이를 “설정화면을 가려둔 채 기본값을 ‘동의’로 설정했다”고 판단했다.

메타는 페이스북 계정 생성 시, 694줄의 데이터 정책 전문에서 행태정보 수집 사항도 알리고 있다. 행태정보와 관련된 별도의 법적 고지 사항을 알린 뒤 동의를 받는 것이 아니며, 데이터 정책 전문은 한 번에 다섯 줄만 표시되는 스크롤 방식이라서 내용을 읽는 게 상당히 불편하다.

하지만, 구글은 유럽에서 회원가입을 할 땐 빠른맞춤 설정과 수동맞춤 설정 두 가지 선택지를 제공한다. 수동맞춤 설정에서 구글은 총 5단계에 걸쳐 단계별로 행태정보 등의 저장 여부와 보유 기간, 사용방식을 알려주고 이용자가 설정을 직접 고를 수 있게 했다. 구글 코리아 관계자는 국내와 해외 정책을 다르게 한 이유가 무엇이냐는 질문에 “유럽의 경우엔 GDPR을 따라 세분화한 것이다. 미국을 비롯한 해외 서비스의 경우엔 한국과 유사하다”고 답했다.

구글과 메타는 개보위 결정에 대해 “플랫폼들은 행태정보를 수집하는 도구를 제작해 배포했지만, 이를 설치하고 수집되는 항목을 선택하는 건 웹과 앱 사업자이다. 동의를 받는 주체도 웹사이트와 앱서비스 사업자여야 한다”고 주장하는 것으로 알려졌다.

개보위 관계자는 “제3사업자가 행태정보 수집도구를 설치했어도, 이를 통해 수집된 정보는 해당 사업자의 서버가 아니라 이용자 기기를 거쳐서 플랫폼 서버에 저장된다. 거기서 회원정보와 연계되는 것이다. 그 사람이 누군지를 식별하는 주체는 플랫폼 사업자다. 제3사업자는 정보를 보유하고 관리하지 않기 때문에, 플랫폼의 주장은 논리적으로 성립이 어렵다”고 이유를 밝혔다.

이용자 반발로 철회됐지만, 메타는 한국 기존 이용자를 대상으로 타사 행태정보 수집과 맞춤형 광고 표시 등에 필수 동의에 체크하지 않으면 페이스북과 인스타그램 서비스를 이용할 수 없게 한다고 밝혔었다. 개보위는 이와 관련해서도 조사를 진행 중이다. 쟁점은 타사 행태정보가 서비스 제공을 위해서 필요한 정보인지 여부다. 개인정보 보호법에 따르면, 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 제공을 거부해선 안 된다.

개인정보만큼이나 위험할 수 있다… 행태정보 별도의 법 필요해

유럽연합은 개인정보 보호법인 GDPR을 통해서 행태정보의 하나인 쿠키도 개인을 식별하는 정보로 보고 있으며, 이를 개인정보에 해당한다고 보고 있다. 서비스 이용자는 다른 개인정보와 마찬가지로 행태정보를 수집하기 전이나 수집하는 시점에 어떤 정보가 수집되고 이를 통해 무엇을 할지 고지받을 권리가 있으며, 쿠키 수집에 동의하지 않을 수 있다. 행태정보는 개인정보처럼 식별성이 높지 않기 때문에 일본은 법의 보호대상이 되는 개인관련정보라는 개념을 도입했다. 행태정보를 제공받은 자는 정보주체로부터 개인관련정보를 식별 목적으로 이용한다는 취지의 동의를 받아야 한다.

전문가들은 “행태정보만으로는 식별 가능성이 없지만, 다른 정보와 함께 사용되면 식별이 가능할 수도 있다”면서 “개인정보로 보든 그에 준하는 정보로 보든 현행 개인정보 보호법 규제 방식으로는 적절한 보호가 어렵다. 행태정보 유형, 사용 영역 및 방식 등에 따른 보호 필요성을 검토하여 행태정보 규제 체계를 법률로 마련할 필요가 있다”고 지적한다. 이를 위해서, 행태정보의 개념과 범위를 명확히 해야 한다는 의견도 나온다. 아직 행태정보의 개념과 범위를 해석할 때 모호함이 있어 이를 관리하는 방식이 통일되지 않았기 때문이다.

다만, 이 부분에 대해서도 행태정보를 현실적으로 규제가 가능한지 숙고가 필요하다는 반론도 나온다. 고려대학교 법학연구원의 최란 전임연구원은 ‘행태정보(Behavioral Information)의 법적 개념, 규제의 현황 및 그 한계에 관한 소고’에서 “빅데이터는 수집할 때 고정된 목적이 없고, 분석결과를 예측하기가 어려워 ‘특정한 목적으로 데이터 활용 금지’와 같은 금지규정이 큰 의미를 갖지 못한다”고 지적했다. 데이터양도 많고 이를 재사용, 다른 데이터와 결합, 비식별처리, 재식별처리 등등 과정을 반복하는 빅데이터 특성상 이용자에게 정보처리를 정확하고, 투명하며, 이해하기 쉽게 설명하는 게 가능한 건지 고민도 필요하다.

최란 연구원은 “개인에게 동의를 받는 행위가 보호가 아닌 위험에 대한 회피나 위험에 대한 방기로 전락할 수 있다”고 우려했다. 빅데이터는 발전 중인 기술로, 행태정보를 분석하면서 어떤 이익과 해악을 가져올지 아직 명확하게 알 수 없다. 개인의 자율성 및 프라이버시를 침해하는 것에 대한 우려가 높은 상황에서, 행태정보 사용 및 수집을 개인이 동의했으니 더는 보호할 필요가 없다는 태도로 대해선 안 된다는 것이다. 이는 현행 규제의 틀에서 진행되는 논의의 한계를 인정하고, 필요하다면 새로운 방식의 해결책을 찾아야 한다는 주장으로 해석할 수 있다.

국회입법조사처 ‘온라인 맞춤형 광고에서의 행태정보 보호’ 보고서는 행태정보 수집 및 이용하는 과정에서 이용자를 보호하는 방안을 계속 고민해야 한다고 했다. 보고서가 제안한 방식은 데이터를 수집할 때 최소수집원칙을 잘 지켰는지 점검을 강화하는 것과, 빅테크 플랫폼 기업의 맞춤형 광고 자체에 제동을 거는 것이다.

현재 유럽연합은 ‘핵심 플랫폼 사업자’를 대상으로 개인정보를 맞춤형 수집 광고에 이용할 때 다른 수단으로 수집한 정보를 개인정보와 결합하거나, 다른 서비스와 교차해 사용하는 걸 ‘디지털시장법’으로 금지하고 있다. 미성년자들에게도 맞춤형 광고를 할 수 없게 했다. 입법 최종 단계에 있는 디지털서비스 법은 초대형 온라인 플랫폼 서비스 제공자가 광고를 표시할 때, 광고 내용, 맞춤형 광고 여부, 맞춤형 광고에 사용된 주요 매개변수를 저장하고 공개하도록 요구하고 있다.

글 / IT동아 정연호 (hoho@itdonga.com)