[개인정보 동의 아닌 동의, 언제까지]②철퇴 맞은 구글·메타…네카오는 괜찮을까?

(서울=뉴스1) 이정후 기자 = 이용자 동의 없는 맞춤형 광고가 도마 위에 올랐다. 구글과 메타는 사전에 동의받지 않은 타사 행태정보를 수집하고 이를 명확히 알리지 않아 개인정보보호위원회(개보위)로부터 총 1000억원의 과징금 철퇴를 맞았다. 개보위는 네이버와 카카오 등 국내 사업자들을 대상으로 조사를 이어간다는 방침이다.

지난 14일 개보위는 구글과 메타에 대한 제재를 발표하면서 네이버와 카카오도 비슷한 사례가 있는지 추가 조사할 계획이라고 밝혔다. 웹이나 애플리케이션(앱)에 행태정보 수집 도구를 설치한 사업자들도 조사 대상에 올렸다.

온라인 광고 플랫폼의 행태정보 수집 및 이용과 관련해 구글과 메타가 첫 제재를 받은 만큼 개보위의 향후 결과 발표에 국내 기업들의 관심이 집중될 전망이다.

◇네이버·카카오 "구글·메타와 사례 달라"…개보위 "조사 중"

이번 조사에서 구글과 메타는 이용자의 행태정보를 타사 서비스로부터 수집하면서 동의를 받지 않은 것으로 드러났다. 행태정보란 웹 사이트 및 앱 방문·사용 또는 구매·검색 이력 등 이용자의 관심이나 성향을 파악할 수 있는 온라인 활동 기록을 말한다. 이용자의 특성을 파악할 수 있어 맞춤형 광고에 쓰이고 있다.

개보위에 따르면 네이버와 카카오 역시 타사 행태정보를 수집하고 있다. 하지만 이용자가 누구인지 식별할 수 없는 '기기 기반' 데이터를 수집한다는 게 주장의 골자다. 기기 기반 데이터는 스마트폰, 노트북 등 개별 기기에 따라 수집되는 정보로 이용자가 누구인지 특정하지 않는다.

이용자 동의 절차는 회원가입 시 필수 동의 항목으로 제공하는 '개인정보 수집 및 이용 동의' 약관을 통해 받고 있다. 해당 약관에는 '서비스 이용 과정에서 IP주소, 쿠키, 기기정보, 서비스 이용기록이 수집될 수 있다'고 명시하고 있다.

네이버와 카카오는 이렇게 수집한 기기 기반 데이터가 이용자 식별이 가능한 계정 정보와 결합해 맞춤형 광고를 제공하지 않기 때문에 구글과 메타와는 다른 사례라고 주장한다. 개보위는 이 주장이 사실인지 추가 조사에 나섰다.

다만 개보위는 기기 기반 방식이라 하더라도 방대한 양의 데이터가 쌓이면 이용자 식별 가능성이 높아질 수 있다고 지적한다. 스마트폰 보급률이 높아지면서 최소 한 명이 한 대의 기기는 사용하기 때문에 사실상 기기의 데이터가 개인의 데이터가 될 수 있다는 이유에서다.

하지만 기기 기반 데이터를 개인정보라고 정의할 수 있는 기준이 현재까지는 명확히 존재하지 않아 이번 조사 발표에서 네이버와 카카오 등 국내 기업들은 해당하지 않은 것으로 알려졌다.

◇필수 항목인 '개인정보 수집' 동의…정말 필요한 정보일까

개보위는 플랫폼 기업이 '개인정보 수집 및 이용 동의'를 필수 동의 항목으로 설정한 점에 대해서도 조사 중이다. 지난 7월 메타는 페이스북 이용자에게 개인정보 동의를 필수로 받겠다고 밝혔다가 이용자들의 반발로 철회한 바 있다.

개보위 측은 메타의 정책 철회와 관련해 "개인정보보호법 제39조의3 제3항은 이용자가 필요 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스의 제공을 거부해서는 안된다고 규정하고 있다"며 "타사 행태정보 등이 서비스 제공을 위해 반드시 필요한 정보인지 검토하고 있다"고 밝혔다.

네이버와 카카오를 비롯해 많은 기업들도 회원가입 과정에서 개인정보 수집 및 이용 동의를 필수 조건으로 받고 있다. 이를 통해 확보한 데이터는 맞춤형 광고 및 콘텐츠 제공에 쓰이는데 추후 별도의 방법을 통해 맞춤형 광고 수신을 거부할 수 있다는 입장이다. 하지만 이용자가 이용약관을 꼼꼼히 살펴보지 않는다면 개인정보 수집으로 인한 맞춤형 광고는 사실상 '동의'가 기본값처럼 인식될 수 있다.

염흥열 순천향대학교 정보보호학과 교수는 "이용자로부터 동의를 받았고 어떤 정보가 수집된다는지 분명하게 안내했으면 개보법 위반으로 보기는 어려울 것 같다"면서도 "필수로 수집한 개인정보에 대해서는 왜 필수 항목인지 사업자가 입증해야 할 것"이라고 말했다.

맞춤형 광고 수신을 거절하기 위한 웹 페이지의 접근성이 낮다는 점도 지적된다. 대부분의 웹 사이트들은 사이트 가장 하단에 '개인정보처리방침' 링크를 첨부해 맞춤형 광고에 대해 안내하고 있다. 하지만 이에 대한 관심이 낮은 이용자들은 회원가입 이후 맞춤형 광고를 인지하지 못하고 계속해서 노출될 가능성이 크다.

염 교수는 "이용자가 동의를 쉽게 받았다면 취소도 동일한 수준으로 행사할 수 있도록 해야 한다"며 "안내 페이지를 잘 안내할 의무가 있다"고 짚었다.

◇구글·메타 처분 계기 삼아 진전된 변화 필요해

이번 구글과 메타에게 내려진 제재를 기회로 삼아야 한다는 목소리도 나온다. 개인의 권리 보호와 산업 발전 사이에서 광고 목적의 개인정보를 어디까지 수집할 수 있는지 명확히 정의해야 한다는 의견이다.

최경진 가천대 법학과 교수는 "맞춤형 광고라는 영업 형태가 많아지면서 이용자들도 이를 수용해서 쓰는 경우가 많이 있기 때문에 이번 조사 결과를 통해 발전적인 맞춤형 광고 관련 규정을 논의해야 한다"고 밝혔다.

양청삼 개보위 조사조정국장도 14일 관련 브리핑에서 "(이번 조사 결과를 계기 삼아) 정보 주체를 두텁게 보호하는 궁극적인 방법으로 플랫폼 동의 의무는 물론, 사업자들도 개인정보처리방침에 게재하는 것보다 한발 더 진전된 책임이 필요하다"고 말했다.

양 국장은 "이번 조사결과에 따른 처분은 타사 행태정보 수집과 관련해서 여러 가지 큰 변화를 가져오게 하는 첫 출발점"이라고 평가하며 "올해와 내년에 걸쳐서 지속적으로 관련 내용에 대해 개선 및 조사할 예정"이라고 밝혔다.

leejh@news1.kr