[AI요약] 개인의 방문 이력, 앱 사용 내역, 구매 및 검색 이력 등의 데이터는 플랫폼 시장 경제가 부상하며 마케팅에 필수적인 요소로 부상하고 있다. 이러한 정보를 ‘행태정보’라고 한다. 문제는 경우에 따라 행태정보가 어떻게 수집·결합되느냐에 따라 개인정보로 규정돼 법적인 제재 조치를 받을 수 있다는 것이다.

개인의 방문 이력, 앱 사용 내역, 구매 및 검색 이력 등의 데이터는 플랫폼 시장 경제가 부상하며 마케팅에 필수적인 요소로 부상하고 있다. 하지만 이러한 정보들은 그 차체만으로는 우리나라에서 법적으로 개인정보로 인정받지 못하고 있다.

다만 앞서 ‘플랫폼 사업자가 꼭 알아야할 개인정보보호법 중요사항은?’에서 다뤘던 것처럼 우리나라 개인정보보호법상의 개인정보는 가변적인 특성을 가지고 있다. 즉 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보라면 경우에 따라서 개인정보로 규정될 수 있다는 말이다. 이때 쟁점은 ‘쉽게 결합할 수 있는지 여부’인데, 이는 다른 정보의 입수 가능성 등을 개인이 알아보는데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다고 돼 있다.

이러한 정보를 ‘행태정보’라고 한다. 재차 강조하자면 이러한 행태정보 활용에 있어서 문제는 경우에 따라 개인정보로 규정돼 법적인 제재 조치를 받을 수 있다는 말이다. 플랫폼 사업자라면 꼭 유의해야 할 사항이 아닐 수 없다.

이에 최근 드림플러스 강남 메인홀에서 개최된 ‘슬기로운 법률 세미나’에서는 올해 마지막 순서로 ‘플랫폼 사업자가 알아야 할 개인정보보호법의 모든 것’을 주제로 한 온오프라인 세미나가 열렸다.

이날 두 번째 연사로 등장한 김동환 법무법인 디라이트 변호사는 ‘행태정보 및 프라이버시 보호에 관한 논의’를 주제로 개인정보보호법 상 행태정보 활용의 주의점을 짚어냈다.

행태정보가 가장 많이 사용되는 곳은 맞춤형 광고

“통상적으로 이용되는 개념으로 행태정보는 웹사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 등의 성향을 파악하고 분석할 수 있는 온라인상의 이용자 활동 정보를 의미합니다. 예를 들어 제가 포털 사이트에서 웹서핑을 하거나 동영상 사이트에서 영상을 보면서 어떤 키워드로 검색을 했는지 등 저희 온라인 상 행태를 분석한 정보가 저장되는 것이죠.”

김 변호사는 이와 같은 행태정보가 가장 많이 사용되는 분야로 ‘맞춤형 광고’를 꼽았다. 행태정보로 수집된 개인의 성향, 관심사에 맞춰 이용자가 방문하는 웹페이지 마다 관련 상품과 유사한 제품 광고가 제시되는 광고다. 여기에 더해 이러한 행태정보는 간혹 설문조사를 위해 특정 집단의 행태정보 조건을 충족하는 대상을 찾기 위해 사용되기도 한다.

김 변호사의 말에 따르면 이러한 행태정보를 수집하는 사업자를 크게 ‘온라인 맞춤형 광고 사업자’와 ‘매체 사업자’로 구분한다. 행태정보를 수집할 수 있는 플랫폼을 가지고 있는 사업자들이 대체로 하나 혹은 둘 다에 포함된다. 대표적인 것이 자사 플랫폼을 통해 광고도 하고 정보도 수집하는 구글을 꼽을 수 있다.

이제까지 사업자들은 개인의 행태정보를 사용자가 방문한 웹페이지에서 이용된 환경 설정 및 기타 정보를 사용자 컴퓨터에 파일 형태로 저장한 ‘쿠키(Cookie)’를 활용해 행태정보를 수집해 왔다. 이는 개별 사이트가 자체적으로 수집하는 퍼스트 파티 쿠키(1st Party Cookie)와 제3자가 수집하는 서드 파티 쿠키(3rd Party Cookie)로 나눌 수 있다. 그 외에도 플랫폼 사업자들은 광고 ID 등을 이용한 행태정보 수집을 진행하고 있다.

행태정보, 결합을 통해 개인을 식별할 수 있는 것이 문제

가장 문제가 된 것은 사용자를 추적해 맞춤형 광고에 활용되는 서드 파티 쿠키였다. 맞춤형 광고에 활용되는 점은 퍼스트 파키 쿠키도 예외가 아니었지만, 서드 파티 쿠키의 경우 명확한 개인의 동의 절차를 거치지 않았다는 점이 문제가 된 것이다. 이에 애플에서는 지난해 ATT(앱추적투명성)을 도입했고 구글은 크롬에서 서드 파티 쿠키 제공을 중단하겠다는 예고를 하고 있다.

이러한 조치는 미국을 비롯해 유럽 등 주요국에서 빅테크 계열 플랫폼 사업자들의 무분별한 행태정보 수집을 근절하기 위한 제재가 이어지며 등장했다. 실제 구글을 비롯한 메타 등은 우리나라에서도 개인정보보호법 위반으로 수백억원에 달하는 과징금이 부가된 바 있다. 프랑스 역시 사전동이 및 적절한 고지 없이 컴퓨터에 광고 목적의 쿠키를 저장했다는 이유로 구글에 1억 유로의 과징금을 부과했고, 독일은 메타의 페이스북이 제3자(계열사 포함) 웹사이트에서 이용자 행태정보를 수집하고 결합하는 것을 금지시켰다.

김 변호사는 “행태정보를 둘러싼 개인정보보호법 위반 이슈의 핵심은 개인의 명시적인 동의나 설명이 부족했다는 것”이라며 “우리나라에서는 2017년 온라인 맞춤형 광고 개인정보 가이드라인’이 나온 것이 전부로, 기본적으로는 행태정보 각각은 개인정보에 해당되지 않는다는 입장”이라며 말을 이어갔다.

“우리나라에서는 최근까지 구체적인 사안에 대해 개별적으로 식별 가능성을 판단해야 된다는 입장입니다. 다만 기술이 발달하고 민감한 행태정보가 결합되면 충분히 개인을 식별할 수 있는 상황이 되면서 최근 구글이나 메타의 과징금 사례를 통해 어느 정도 판단이 이뤄졌다고 볼 수 있습니다.”

이와 함께 김 변호사는 “구글이나 메타에 대한 과징금 부과 사례는 우리나라에서 맞춤형 광고 플랫폼을 대상으로 한 최초 사례”라며 “이에 각 기업들은 기존 행태정보를 활용한 맞춤형 광고의 대안을 모색하고 기술 개발을 이어가고 있다”고 덧붙였다.

“AI를 활용해 페이지의 성격을 분석하고 이 페이지를 구독하는 사람들이 좋아하는 광고를 제시하는 기술이 점점 고도화되고 있습니다. 그 외에도 개인이 자신의 관심사를 공개하고 관련 정보를 받는 식의 DID 방식, 아예 정보 전송 과정에서 동형암호 기술을 이용해 보안을 강화시켜 맞춤형 광고가 이뤄져도 제3자가 개인정보를 식별할 수 없게 하는 근본적인 기술 개발도 이뤄지고 있죠. 이렇듯 다른 방식으로 맞춤형 광고를 진행하는 기술이 개발되는 중이라서 내년 혹은 내후년 정도가 되면 또 많은 변화가 이뤄질 거라고 예상합니다.”