전체 페이지를 읽으시려면
회원가입 및 로그인을 해주세요!
불행히도 우리가 보는 광고는 우연이 아니다. 그리고 구글 혼자 하는 일도 아니다. 방대한 개인정보를 보유한 플랫폼 사업자와 광고업계의 철저한 비즈니스 관계 아래, 이들이 사용하는 데이터의 주인인 우리가 겪는 현실이다. 이용자에 관한 정보를 수집, 분석해 가장 구매 가능성이 높은 광고를 내보내는 기술을 맞춤형 광고 또는 표적 광고(targeted advertising)라고 한다. 이용자가 주로 어떤 사이트에 언제 방문해 어떤 상품을 검색하고 장바구니에 담았는지 등의 행태 정보를 수집하고 이를 광고업자와 공유하는 것이다.
이렇게 개인정보를 수집하고 다른 사업자와 공유하려면 개인정보 주인에게 동의를 받아야 한다. 검색 결과가 광고로 나타나는 건, 회원으로 가입할 때 해당 내용을 포함하고 있는 개인정보처리방침에 동의했기 때문이다. 특정 기업의 특정 서비스에서 수집한 데이터만 처리되는 것도 아니다. 권한을 얼마나 허용하는지에 따라 다양한 분야의 여러 서비스에서 활성화된 정보를 수집해 관심사나 취향도 분석할 수 있다. 주로 컴퓨터나 스마트폰의 웹사이트나 앱에 축적된 쿠키를 바탕으로 이용자의 검색 및 활동 이력을 파악한다.
구글이 내 목소리를 감시하는 것 같다는 의혹은 어떻게 나왔을까? 이 문제는 인공지능 스피커가 상용화되면서 불거졌다. 인공지능의 성능을 개선하려면 데이터가 필요하다. 그래서 인공지능 스피커 이용약관에는 서비스 성능을 개선하기 위해 이용자의 음성 정보를 수집할 수 있다는 내용이 포함된다. 이용약관에 동의하지 않으면 서비스를 사용할 수 없다. 음성 정보를 반드시 제공해야 한다는 뜻인데, 이용자의 프라이버시 선택권이 너무 좁아지는 것은 아닐까? 이에 사업자들은 음성 정보를 수집하되 누구 목소리인지 알 수 없도록 비식별 조치를 취하기도 한다. 수집은 하지만 안전하게 관리하고 있으니 걱정하지 말라는 것이다. 그럼에도 여전히 이용자 입장에서는 거대 빅테크 기업들이 내부에서 어떤 정보를 어떤 목적으로 처리하고 있는지 알기 어렵다. 다른 데이터와 결합해 금방 나를 찾아낼 수 있을지 누가 아는가? 포괄적인 동의를 받아 방대한 데이터를 편하게 처리하고 싶어 하는 기업과 내 사생활 및 개인정보권을 보호하기 위한 이용자의 싸움이 이 문제의 본질이다.
이렇게 수집한 데이터로 돌아가는 광고 시스템은 더욱 교묘하다. 구글이나 메타 등 대부분의 플랫폼 사업자들은 수집한 데이터를 활용해 광고 경매를 벌인다. 이 시스템을 실시간 경매 시스템(RTB, Real Time Bidding)이라고 한다. RTB의 원리는 이렇다. 우리가 인스타그램 앱을 실행하면 메타는 나의 성별, 취향 등 정보를 광고업체에 제공한다. 분석 결과, 내가 최근 해외여행에 관심이 많은 것으로 확인되었다면 해외여행 상품을 판매하는 광고주 중 가장 높은 가격을 부른 사업자에게 낙찰되고, 우리는 그 업체의 광고를 보게 된다. 이 과정은 피드가 로드되는 수백만분의 1초 안에 벌어진다.
2022년 아일랜드 시민자유위원회의 실시간 경매 데이터 공유 규모 분석에 따르면, 미국과 유럽에서는 매일 각각 2940억 회, 1970억 회의 RTB를 통해 이용자가 방문한 사이트와 위치가 공유되고 있다. 구글은 미국에서만 RTB를 통해 4789개 업체에 개인정보를 공유한다. 2022년 미국 워싱턴대학교 등 공동 연구진이 발표한 보고서에 따르면, 아마존은 알렉사와 에코를 통해 수집한 이용자 정보를 최대 41개의 광고업체와 공유하고 있었다. 지난해 3월 <워싱턴 포스트>는 미국의 한 가톨릭 보수 단체가 동성애 데이트 앱을 사용하는 성직자를 추적하기 위해 온라인 광고업자에게 최소 400만 달러(한화 약 53억원)를 지불했다고 보도하기도 했다.
한 가지 다행이라면, 최근에는 이런 흐름에 변화가 생기고 있다는 것이다. 애플은 2021년부터 앱 추적 투명성(App Tracking Transparency) 정책을 시행하고 있다. 새로 설치한 앱을 시행할 때, 다른 회사의 앱이나 웹에 걸친 사용자의 활동을 추적하도록 허용하겠냐는 창이 뜨는 것은 이 이유 때문이다. 추적 금지를 요청하면 이 앱은 이용자의 스마트폰에 설치된 다른 앱과 웹 활동을 추적할 수 없다. 구글도 올해부터 제3자 쿠키 제공을 중단한다고 발표했다.
개인정보보호 규제 강화는 이미 세계적 추세다. 유럽연합(EU)은 2016년 일반개인정보보호법(General Data Protection Regulation)을 통해 전 세계 개인정보보호 규제의 흐름을 바꿨다. 2022년에는 디지털서비스법(Digital Services Act)을 통해 미성년자에 대한 표적 광고를 금지하고, 광고 제공에 사용된 방법 등을 공개하도록 하면서 온라인 광고의 투명성 의무를 강화하기도 했다. 정치적 견해나 종교적 신념 등 민감한 정보를 활용한 프로파일링 광고는 금지된다. 규제 강화에 따라, 전 세계 개인정보보호 감독 기구들은 대형 플랫폼업체들에 천문학적 과징금을 부과하고 있다. 아일랜드 감독 기구는 지난해 1월, 메타가 행태 정보를 불법으로 활용해 표적 광고를 했다는 이유로 3억9000만 유로(약 5300억원)의 과징금을 부과했다. 2022년 한국 개인정보보호위원회도 구글과 메타에 역대 최대 규모인 1000억원의 과징금을 부과했다. 구글은 타사의 행태 정보를 수집, 이용한다는 사실을 알리지 않고 설정 화면을 가려둔 채 ‘동의’를 기본값으로 설정해두고 있었다. 이런 방식은 한국 이용자에게만 적용됐다. 메타는 계정 생성 시 이용자가 알아보기 어려운 수준으로 데이터 정책을 게재하고 동의를 받았다. 두 회사 모두 사실상 이용자의 실질적인 동의를 받지 않고 행태 정보를 수집해 광고주 등 제3자에게 제공하고 있었던 셈이다.
디지털 시대에 데이터는 돈이 된다. 돈이 되는 일에는 온갖 치열한 고민과 기술이 동반된다. 데이터의 핵심은 결국 개인정보다. 그러므로 우리는 개인정보에 대한 인식을 달리할 필요가 있다. 검색하지 않은 물건의 광고는 내 피드에 절대 뜰 수 없다. 어떤 방식으로든 내가 표현했거나 활동했기 때문에 관심사가 광고에 반영되는 것이다. 사이버 공간에서는 많은 것이 기록된다. 검색 기록뿐만이 아니다. 캘린더, 위치 정보, 지도 앱에 표시해둔 위시리스트, 앱스토어 결제 내역, 주로 교류하는 SNS 팔로워 등 모든 것이 남는다. 사이트 옆에 뜬 광고는 나의 온라인 활동을 면밀히 추적하고 분석해 경매를 거쳐 누군가에게 제공한 결과라는 냉혹한 현실을 알아야 한다.
그렇다면 어떻게 해야 할까? 공개하고 싶지 않은 정보는 공개하지 않도록 구체적인 통제권을 강화해야 한다. 정부가 이미 마이데이터 서비스로 이 개념을 설계하고 있지만 어디까지나 정보의 주인인 내가 직접 나서는 것부터 시작이다. 우선 인터넷 사용 기록인 쿠키를 주기적으로 삭제하면 좋다. 웹 브라우저나 앱 설정을 통해 간단히 할 수 있는 일이다. 구글 계정 관리 탭에서는 ‘광고 개인 최적화 사용’ 설정을 해제할 수 있다. 구글 크롬의 시크릿 모드를 사용하면 방문 기록과 쿠키, 캐시가 남지 않는다. 앱을 설치할 때에도 이 앱이 내 스마트폰의 어떤 데이터에 접근하는지 면밀히 살펴봐야 한다. 굳이 사진이나 연락처에 대한 접근까지 허용할 필요가 있을까? 다른 앱에서 활동한 정보를 왜 요구할까? 개인정보처리방침을 한 번이라도 제대로 읽고 동의한 적이 있나? 이런 질문들을 지속적으로 던질 필요가 있다. 검색하지 않은 물건의 광고가 내 피드에 뜬다는 것은, 그만큼 내가 내 정보를 막 다루고 있었다는 의미로도 해석될 수 있다. 물밑에서는 데이터를 둘러싼 생존 경쟁이 벌어지고 있다. 사생활 침해를 우려하면서 이들의 경쟁에 내 정보를 공짜로 내줄 필요는 없지 않은가?
윤상필은 고려대학교 정보보호대학원 연구 교수로, 데이터와 인공지능, 정보 보호 및 사이버 안보 관련 법제도와 정책을 연구하고 있다. 저서로 <사이버보안 취약점의 법적 규제>가 있다.
Credit
- EDITOR 김현유
- WRITER 윤상필
- ILLUSTRATOR MYCDAYS
- ART DESIGNER 주정화
CELEBRITY
#리노, #이진욱, #정채연, #박보검, #추영우, #아이딧, #비아이, #키스오브라이프, #나띠, #하늘, #옥택연, #서현
실시간으로 업데이트 되는
에스콰이어의 최신소식