캘리포니아 소비자 보호법과 관련하여 최근 세포라라는 한 뷰티 전문 플랫폼 업체가 120만 달러라는 큰 벌금을 내게 됐다. 그런데 이것이 단순 ‘그 회사가 잘못했네’의 문제로 끝날 것 같지 않다. 파장은 훨씬 더 커 보인다.

[보안뉴스 문정후 기자] 최근 미국에서는 캘리포니아 소비자 보호법(CCPA)가 처음으로 강력히 시행되는 사건이 있었다. 이를 계기로 기업들이 고객 데이터를 관리, 활용, 저장하는 방식에 적잖은 변화가 시작될 수 있을 것으로 보인다. 특히 고객 정보를 서드파티와 공유하는 부분에 있어서도 좀 더 다른 방식의 사업 행위가 요구될 수도 있다.


뷰티 제품과 개인 건강 케어 전문 회사 세포라(Sephora)는 캘리포니아 주에 120만 달러의 벌금을 내는 데 최근 동의했다. 캘리포니아 주 검사인 롭 본타(Rob Bonta)가 세포라의 고객 정보 판매 행위가 불법이라고 기소한 것에 대한 결과다. 본타는 세포라가 고객 정보를 서드파티에 판매하지 않는다고 웹사이트에 명시해 놓았으면서 판매했다고 주장했었다. 또한 자신들의 개인정보가 판매되는 걸 원치 않는 고객들이 옵트아웃 할 수 있도록 쉬운 링크나 기능을 마련하지도 않았다고 밝혔다.

프라이버시 관련 전문가 그룹인 IAPP의 워싱턴 지부 총괄 코분 즈웨이펠키간(Cobun Zweifel-Keegan)은 “데이터 프라이버시와 수집, 거래, 유통과 관련된 규정들이 점점 엄격해지고 있다”고 말한다. “다만 급하게 바꾸려고 하지 않는 것도 입법자와 시행자들의 뜻입니다. 천천히 변화를 줌으로써 충격을 완화시키려 하는 것이죠. 하지만 그 천천히라는 것도 이제 제법 누적이 됐기 때문에 계속 이런 흐름을 무시하고 있던 사람이나 조직에겐 꽤나 당황스러울 수 있습니다.”

즈웨이펠키간에 의하면 “입법 및 사법 기관이 법에 대하여 알리는 기간을 충분히 가졌다고 생각하고 있으며, 따라서 이제는 시행에 집중하는 단계가 찾아왔다고 판단한 것으로 보인다”고 이번 세포라 사건의 의의를 설명한다. “CCPA나 프라이버시 관련 법안과 정책들의 흐름을 잘 쫓아 왔던 사람이라면 아마 이런 태도의 변화가 그리 갑작스럽게 느껴지지 않을 겁니다. 심지어 언젠가 사법의 망치가 휘둘러질 것이라고 예상하고 있었겠죠.”

캘리포니아 주는 개인정보를 판매할 수 없다는 부분에 초점을 맞추고 있다. “고객의 개인정보를 광고 회사에 판매할 수 없다는 걸 제일 먼저 시행할 것이라고 일반 대중들은 예상하기 힘들었을 겁니다. 세포라 사건이 이런 식으로 전개되리라고 기대한 사람도 거의 없을 겁니다. 전 조용한 충격이 업계 전반에 걸쳐 전달되었을 거라고 생각합니다.” 데이터 분석 전문 업체 데이터그레일(DataGrail)의 CEO 다니엘 바버(Daniel Barber)의 설명이다.

“프라이버시와 데이터 분야 전문가들이 앞으로 골치 꽤나 썩을 것으로 보입니다. 광고 산업도 마찬가지로 궁지에 몰렸습니다. 이들은 고객의 정보를 수집하고 처리하려고 확보하는 걸 거래 행위라고 생각하지 않았거든요. 광고 플랫폼과 양지에서 합법적인 계약을 맺은 수많은 기업들이 ‘데이터 처리’를 논하지 ‘우리는 지금 서로 데이터를 판매하고 사들이는 것’이라고 인지하지 않고 있어요. 이제 앞으로 사업을 이어가려면 어떻게 해야 하는가, 데이터 처리와 판매의 경계선을 어떻게 그어야 하는가 때문에 많은 고민을 하게 될 겁니다.”

그렇다면 데이터 ‘판매’란 무엇인가?
바버의 설명처럼 데이터를 판매한다는 건 생각보다 복잡한 개념이다. “여러 가지 관점이 있을 수 있습니다. 예를 들어 정보가 돈 거래 없이 이 회사에서 저 회사로 교류되는 상황을 우리는 어떻게 봐야 할까요? 아마 대부분 돈 거래가 없었으니 판매가 아니라고 할 걸요? 그런데 이번 세포라 사건을 통해 이 부분이 애매해졌습니다. 아니, 캘리포니아 주 검사가 정보 판매라는 것의 정의를 뒤집기 위해서 이번 사건을 활용하고 있다는 사실이 거의 분명해 보일 정도입니다. 이제 이런 행위도 판매라고 캘리포니아 주 검사는 세포라 사건을 통해 주장하고 있는 것이지요.”

실제로 데이터 수집과 프라이버시는 갈수록 복잡한 개념이 되어가고 있다. 표적 광고로부터 벗어날 수 없다는 일반 사용자들의 불안, 자금의 이동 경로, 추측 가능성 등 각종 개념들이 하나 둘 추가되고 있기 때문이다. 이런 가운데 이번 세포라 사건에 나온 언어들을 통해 입법자들이 어떤 개념을 가져가려 하는지 짐작하는 게 가능하다. 

예를 들어 캘리포니아 주 검사는 세포라의 웹사이트와 앱에서 발견된 추적용 소프트웨어를 통해 서드파티 업체들이 소비자들을 모니터링하며 어떤 종류의 컴퓨터를 사용하고, 위치가 어디이며, 어떤 제품을 쇼핑카트에 추가했는지 파악했다고 주장했다. 그리고 이러한 정보를 분석함으로써 세포라가 좀 더 정확도 높은 광고를 내보낼 수 있게 됐다고도 말했다.

무슨 말일까? 직접적인 돈 거래 여부를 떠나 데이터를 다른 곳으로 송출해 분석하고, 그것으로 이득을 보았다면 그것만으로도 충분히 위법이라고 판단했다는 것이다. 데이터 분석을 대행하는 각종 플랫폼 사업자들에게 꽤나 불운한 소식이라고도 볼 수 있다. 데이터 보호와 프라이버시라는 것의 범위를 대단히 넓게 잡고 있는 것으로 보이기 때문이다.

참고로 캘리포니아 주의 검사들은 소셜미디어에 중독적 콘텐츠가 생성되고 활용되는 것을 막기 위한 움직임도 보이고 있으며, 미성년자들의 온라인 프라이버시 보호를 강화하려고 여러 가지 규정을 모색하고 있기도 하다. 즈웨이펠키간은 “요즘 입법부와 사법부는 아동들과 청소년들의 온라인 안전에 굉장히 열정적인 모습을 보여줍니다. 이는 단순히 아이들의 문제만으로 끝나지 않을 겁니다. 데이터 프라이버시와 보호, 처리 문제와도 면밀히 엮여 있다고 볼 수 있기 때문입니다.”

감시라는 용어의 차이
이번 기소문 중 눈에 띄는 것은 세포라가 서드파티 업체들의 데이터 분석 기능을 활용해 마케팅을 효과적으로 한 것을 두고 “서드파티 감시(third-party surveillance)’라는 표현을 사용했다는 점이다. 미국 연방거래위원회의 경우 같은 행위를 ‘상업적 감시(commercial surveillance)’라고 부른다. 일반 대중으로부터 데이터를 수집하고 분석하고 상업적인 목적으로 활용하기 때문에 상업적 감시라고 부른다는 게 연방거래위원회의 설명이다.

즈웨이펠키간은 “모든 조직들이 데이터 제어자 및 데이터 처리 플랫폼들과 계약서를 분명하게 작성해야 한다”고 말한다. “특히 데이터를 다루는 관계에 있다면 더더욱 역할과 목적, 어떤 데이터를 어떻게 활용하고 어떻게 처리하며, 어떤 식으로 후처리까지 이루는 지, 제한 기간은 얼마나 되는지를 확실히 해야 합니다. 이번 세포라 사건에서도 법이 어느 정도는 개인정보의 수집을 허용해 준다는 표현이 나왔거든요. 여러 조건이 맞아야 하는데, 이를 나중에 보다 깔끔하게 다투거나 시비를 가리려면 계약 단계에서부터 명확한 역할 분담과 프로세스 정의가 있어야 합니다.”

또 하나 중요한 건 이 모든 데이터 처리 과정에 있어서 고객의 동의가 선명하게 표현되어야 한다는 점이다. 아무리 안전하게 처리를 한다 하더라도 개인정보가 다른 누군가에게 수집되고 분석되는 게 싫은 사람들이 있을 수 있고, 이를 존중해야 한다. 그 존중이라는 건 옵트아웃 방법을 쉽고 간단하게 마련함으로써 드러낼 수 있다. “아무런 배경 지식이나 플랫폼에 대한 익숙함 없이도 누구라도 쉽게 개인정보 처리 현황을 파악하고, 그에 대한 의사 표현을 자유롭게 할 수 있어야 합니다. 꼭 옵트아웃 해야겠냐는 뉘앙스의 팝업과 질문이 너무 많이 뜨는 것도 방해 행위의 일종이라고 볼 수 있습니다.”

즈웨이펠키간은 세포라 판결 때문에 앞으로 모든 시장에서 데이터 수집, 분석, 보호, 프라이버시와 같은 개념을 새로 정리하려 할 것이라고 예상하고 있다. “단순히 돈 받고 넘긴 것만을 데이터 판매라고 보기 힘든 때가 다가오고 있습니다. 사용자 동의라는 것도 직관적으로 표현되어야만 할 겁니다. 그리고 이런 변화는 단순히 빅테크에만 한정된 게 아닙니다.”

글 : 조아오피에르 루스(Joao-Pierre S. Ruth), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>