온라인 광고 시장과 개인정보보호

2019년 1월 2일 자 파이낸셜뉴스 기사는, “프랑스 정부가 구글에 개인정보보호규정(GDPR) 위반으로 5,700만 달러(약 643억 원) 과징금을 부과했다.”라고 보도하고 있습니다. 부과된 과징금액의 규모뿐만 아니라, 전 세계 스마트폰 OS 시장의 80% 이상 점유하는 기업, 구글에 부과했다고 하니, 일반인들에게도 충분히 자극적인 내용이었습니다.^[각주:1]

 

과징금 처분 사유에 대해서는 "구글이 이용자들에게 개인정보가 어떻게 수집되고 사용되는지 충분히 설명하지 않았다"면서 "또 개인정보를 이용해 특정 광고 대상자에 '타깃 광고'를 노출하는데, 이용자의 개인정보 제공 동의를 적절하게 받지 않았다."라고 프랑스 CNIL의 발표를 인용 보도했습니다.

이 기사를 배경으로, 온라인 광고 시장에서 어떠한 개인정보가 활용되는지에 대해 살펴보고, 발생 가능한 개인정보보호 컴플라이언스 이슈에 대해 알아보려고 합니다.

 온라인 광고 시장의 성장에 비례한 위험의 증가

온라인 광고 시장의 성장은 2018년 2월 구글의 매출 발표를 보고 쉽게 추정할 수 있습니다. 구글이 발표한 연간 매출액은 1천109억 달러(약 108조 원)이며, 이 중 80% 이상이 디지털 광고로부터 발생했다고 밝혔습니다.^[각주:2]

“구글은 검색엔진이지만, 사실은 광고 플랫폼이다.”라는 말을 실감하게 하는 발표였습니다. 일상적으로 접하는 뉴스 웹사이트, 블로그, 기타의 앱에서 흔히 보는 배너 광고는 대부분 구글이 제공하는 정보를 기반으로 하는 광고 플랫폼 위에서 작동하고 있습니다. 구글의 사례에서 보듯이, 온라인 광고 매출이 증가할수록 즉, 수집•활용되는 온라인 행태정보가 많아질수록 개인정보 컴플라이언스 위험도 더불어 증가하고 있습니다.

구글에서 제공하는 정보를 기반으로 하는 온라인 광고를 온라인 맞춤형 광고라고도 부르는데, 이용자의 온라인 이용 행태를 분석해 이용자의 욕구나 관심 분야에 맞는 타깃 광고를 제공하는 마케팅 기법을 말합니다.

2017년 2월 발표한 방송통신위원회의 「온라인 맞춤형 광고 개인정보보호 가이드라인」(‘이하 가이드라인)에서는 온라인 맞춤형 광고를 “행태정보를 처리하여 이용자의 관심, 흥미, 기호 및 성향 등을 분석·추정한 후 이용자에게 맞춤형으로 제공되는 온라인 광고”라 정의하고 있습니다.^[각주:3]

지금부터 구글의 과징금 사례의 원인이 된 온라인 광고 시장에서 개인정보 활용 방식과 잠재위험에 대해 구체적으로 살펴보겠습니다.

 온라인 맞춤형 광고 사업자와 매체 사업자

온라인 맞춤형 광고 사업자는 자사 또는 타사의 웹사이트 및 앱 등 온라인 매체를 통해 행태정보를 수집하고, 온라인 맞춤형 광고를 전송하는 사업자 (이하 “광고 사업자”)를 가리킵니다.

l 그림 1 온라인 광고 사업자 유형^[각주:4] 

 

한편, 온라인 광고 매체 사업자는 자사 웹사이트 및 앱 등 온라인 매체를 통해 행태정보의 수집을 허용하거나 온라인 맞춤형 광고가 전송되도록 하는 사업자 (이하 “매체 사업자”)를 가리킵니다. 매체 사업자의 예를 들면, 포털 업체, 온라인 쇼핑몰, 온라인 게임 회사, 온라인 미디어 등이 있습니다.

 온라인 맞춤형 광고 시장에서 유통하는 정보

온라인 맞춤형 광고 시장에서 수집하고 유통하는 정보는 어떠한 것이 있을까요?

온라인 맞춤형 광고 시장에서 유통하는 정보를 온라인 행태정보라 하고, 온라인 행태정보를 “웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동 정보”로 정의했습니다.

온라인 광고 시장에서는 이용자의 행태정보를 추적하기 위해 공통적으로 모바일 광고 ID, PC 브라우저 쿠키를 활용합니다. 광고 목적으로 사용하는 구글의 브라우저 쿠키를 보면, _ga라는 이름(key) 아래, 다음과 같은 값(value)을 저장 및 사용하고 있습니다.^[각주:5] Google Analytics에서는 이 정보를 Client ID라고도 부릅니다.

l 그림 2 브라우저 쿠키 및 안드로이드 모바일 광고 ID

예시와 같이, PC 쿠키 ID나 모바일 광고 ID(이하, 온라인 광고 식별자) 외에 광고 목적으로 DMP 솔루션이 수집하는 온라인 행태정보의 예시는 다음과 같습니다.

 

DMP 솔루션이 수집한 정보를 기반으로 충성, 이탈, 잠재고객 등에 대한 정보를 생성하고, 해당 온라인 광고 식별자를 포함해 DSP에 전달하게 됩니다. 온라인 광고 시장에서 DMP뿐만 아니라, 전체 구성요소가 이러한 온라인 식별자를 공유하고 있습니다.

 온라인 행태정보는 개인정보?

온라인 광고 시장에서 유통되는 온라인 행태정보는 개인정보일까요?

방송통신위원회의 가이드라인은, 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」의 개인 정보 보호 원칙을 기반으로 하기 때문에 ‘개인 정보’의 정의에 대해서는 해당 법의 정의를 동일하게 준용하고 있습니다.

한편 가이드라인에서 정의하는 ‘온라인 행태정보’는 이용자가 온라인에서 수행한 일련의 활동에 관한 정보로서 개인을 식별할 수 있거나 없는 경우 모두를 의미하며, 온라인 행태정보 자체로는 개인을 식별할 수 없다 하더라도 개인 정보와 결합되어 개인을 식별할 수 있다면, 이는 개인 정보의 영역에 속하도록 그 의미를 열어 두고 있습니다.^[각주:6] 다시 말하면, 온라인 행태정보는 결합되는 정보에 따라 개인정보가 될 수도 있고 아닐 수도 있습니다.

추가로 온라인 행태 정보 중 쿠키가 개인정보에 해당하는지 여부에 대해서도 다양한 논의가 있습니다. 과거에는 쿠키가 웹 사이트를 보다 편리하게 이용하도록 하는 단순 파일에 불과했지만, 빅데이터 플랫폼을 기반으로 다양한 정보와 연결되어 개인을 식별하는 것이 가능해지면서 개인정보 규제 대상의 포함 여부에 대한 논쟁이 더욱 활발해졌고, 유럽의 규제 GDPR 아래 광고 목적으로 수집하는 쿠키와 광고 ID 등의 온라인 식별자는 명시적으로 동의가 필요한 개인정보로 간주하고 있습니다.

한편 구글이나 애플이 허용하는 온라인식별자(광고 ID)의 활용목적을 아래와 같이 제한하며, 그 외의 목적으로 광범위하게 사용하는 것을 원칙적으로 금지하고, 개인 식별정보와 결합하는 경우, 명시적 동의를 구하도록 하고 있습니다.^[각주:7]

App 개발자에게 허가된 광고 ID의 활용 범위

• 구글: '문맥 광고, 게재 빈도 설정, 전환 추적, 보고 및 보안, 사기 감지'

• 애플: '광고 제공, App 설치 유도, App에서 특정 행위를 유도'

 온라인 행태정보 활용 시 규제 Risk

온라인 행태정보를 활용하는데 있어 잠재적인 위험은 어떠한 것이 있을까요? 가이드라인에서 제시하는 광고 사업자가 준수해야 할 개인정보보호 원칙을 기준으로 규제 Risk를 살펴보도록 하겠습니다.

첫째, 온라인 행태정보 수집과 이용의 투명성입니다. 광고 사업자 또는 매체 사업자는 이용자가 온라인상에서 자신의 행태정보가 수집•이용되고 있다는 사실을 언제든지 쉽게 확인할 수 있도록 온라인 맞춤형 광고와 관련된 사항을 상세히 안내해야 합니다. 그뿐만 아니라 광고 사업자는 행태정보를 수집•이용하는데 있어 온라인 맞춤형 광고에 필요한 최소한의 행태정보만을 수집해야 합니다.

더욱이 개인의 권리를 침해할 수 있는 ‘민감 정보’는 수집하지 않도록 해야 합니다. 특히 광고 사업자가 온라인 행태정보와 개인 식별정보를 결합하는 경우에는 이용자에게 해당 사실과 사용 목적, 결합되는 정보 항목, 보유 기간 등을 알리며 ‘사전 동의’를 받아야 합니다. 또한, 만 14세 미만의 아동에 대한 행태정보 수집 금지, 제삼자에게 제공하는 경우 해당 사항의 고지 등을 안내하고 있습니다.

이와 관련해 서두에 소개한 구글의 사례를 짚어보겠습니다. CNIL이 제시한 과징금 상세사유는 타깃 광고를 위해 수집하는 개인정보의 항목, 처리 목적과 보관 기간이 과도하게 여러 개의 온라인 문서에 분산되어 적시되어 있고, 부가적으로 정보를 확인하기 위해서는 추가적인 버튼 클릭이나 링크 연결 등 5~6번 이상의 액션을 해야 확인할 수 있다고 지적하고 있습니다.^[각주:8]

또한 구글이 수집하는 방대한 정보가 정보 주체가 명확하게 인식할 수 있는 범위를 넘어섰다고 보고 있으며, 처리목적과 수집 항목에 대한 설명이 모호하고, 일반적이라고 지적했습니다. 또한 일부 정보에 대해서는 보유 기간을 명시하지 않았다고 기술하고 있습니다.

한편 구글이 타깃광고를 위해 정보 주체로부터 받은 동의에 대해서도 유효성이 인정되지 않는다고 지적합니다. 두 가지 사유를 제시하는데 첫째는 타깃광고에 대한 동의를 구하는 화면이 찾기 쉽지 않을 뿐 아니라, 동의 여부가 디폴트 체크된 상태였다고 합니다. 둘째는 음성인식, 타깃광고 등 다수의 처리목적에 대해 포괄적으로 동의를 받았다는 내용입니다.

국내의 경우 EU와는 달리, 온라인 맞춤형 광고를 위한 행태정보 활용이 별도의 동의 없이 허가되어 있고, 개인 식별정보와 결합되지 않는 한 느슨한 형태의 가이드라인 준수를 권장하고 있습니다. 향후에는 글로벌 규제와 유사한 방향으로 변화가 있을 것으로 전망합니다. 온라인 광고 시장의 참여 주체는 가이드라인에 따라 온라인 행태정보 수집 활용 시 다음과 같이 정보를 제공해야 합니다.^[각주:9]

둘째, 이용자의 통제권을 보장해야 합니다. 가이드라인에 따르면 광고 사업자는 이용자가 온라인 행태정보의 제공 및 맞춤형 광고 수신 여부를 선택할 수 있는 통제수단과 이용 방법을 제공해야 합니다. 광고화면 통제, 쿠키 및 인터넷 이용기록 삭제•차단 방법 등, 이용자에게 적극적으로 해당 방법을 안내해야 합니다.

셋째, 온라인 행태정보의 안전성 확보입니다. 광고 사업자는 행태정보를 부정 사용 등의 위험으로부터 보호하기 위해 기술적·관리적 보호조치를 취해야 합니다. 광고 사업자는 법률에 의한 특별한 요구가 없는 한 행태정보를 목적 달성에 필요한 ‘최소한의 기간’ 동안만 보관하고, 목적 달성 후에는 즉시 파기하거나 분리저장 등의 안전조치를 취해야 합니다.

그 보유 기간 및 목적에 대해서도 명확하게 안내가 이루어져야 하며, 특히 보유 기간은 이용자가 쉽게 이해할 수 있도록 정확한 기간이 명시되어야 합니다.

법률적 규제가 명확하지 않기 때문에, 통상 DMP 솔루션이 사용하는 온라인식별자의 사용기한이 최대 2년까지 가능한 경우를 흔히 볼 수 있습니다. 지정한 기간이 목적달성을 위해 지나치게 길지 않은지 검토가 필요하며, 수집한 해당 정보의 파기나 보관정책이 가이드라인에 부합하는지, 이용자에게 적절하게 안내가 이루어졌는지를 확인해야 합니다.

넷째, 인식확산 및 피해구제 강화입니다. 광고 사업자는 이용자나 광고주 등에게 온라인 맞춤형 광고와 온라인 행태정보 보호에 관한 사항을 적극적으로 안내하고, 이용자의 문의와 개인정보 침해 피해 신고 등 처리하기 위한 피해구제 기능을 마련해야 합니다.

「온라인 맞춤형 광고의 행태정보 규제 현황 및 시사점」(정수연 저)에서 지적하고 있듯이, 국내 가이드라인은 온라인 행태정보의 구체적인 개념과 범위를 해석함에 있어 모호한 부분이 존재하고, 규제준수의 강제성이 약해, 자발적인 가이드라인 준수를 유도하는 수준에 머물러 있습니다.

그런데도 온라인 광고 시장의 참여 주체들은 온라인 행태정보 활용에 대한 국내외 규정의 차이를 명확히 이해하고 개인의 권리를 침해하지 않도록 행태정보 수집•이용 방식을 적용해야 합니다.

이용자 관점에서는 가이드라인의 권고대로, 다양한 모바일 앱과 웹사이트에서 수집되는 광고 목적의 온라인 행태정보에 대한 잊힐 권리 및 추적을 거부할 권리를 행사하며, 주기적으로 정보 수집용 스크립트 및 소프트웨어, 쿠키 삭제, 광고 ID 초기화 등을 수행해 개인정보 오남용 및 유출 피해를 예방해야 합니다.

글 l LG CNS 보안컨설팅1팀

* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

1. https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc [본문으로]
2. 구글, 인터넷 기업 첫 연매출 1천억 달러 돌파. 모바일한경, 2018. 2월 2일자 기사 https://plus.hankyung.com/apps/newsinside.view?aid=2018020297621&category=&sns=y [본문으로]
3. 온라인 맞춤형 광고의 행태정보 규제 현황 및 시사점, 정수연, 한국지식재산연구원, 제 30 권 3호 통권 663호 [본문으로]
4. 온라인 맞춤형 광고 개인정보보호 가이드라인, 방송통신위원회, 2017년 2월 [본문으로]
5. https://www.bounteous.com/insights/2017/08/17/how-google-analytics-uses-cookies-identify-users/ [본문으로]
6. 온라인 맞춤형 광고의 행태정보 규제 현황 및 시사점, 정수연(한국지식재산연구원), 한국경제포럼, 제 30 권 3호 통권 663호 [본문으로]
7. https://play.google.com/about/monetization-ads/ads/ad-id/, http://minsone.github.io/mac/ios/how-to-using-idfa-without-advertisement-on-google-analytics-in-ios [본문으로]
8. https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc [본문으로]
9. 온라인 맞춤형 광고의 행태정보 규제 현황 및 시사점, 정수연(한국지식재산연구원), 한국경제포럼, 제 30 권 3호 통권 663호 [본문으로]