온라인 행태정보 수집·분석해 맞춤형 광고 제공...개인정보 침해 우려 커져
사업자는 개인정보보호 가이드라인 준수, 이용자는 통제권 행사할 수 있어

[보안뉴스 오다인 기자] 올해 전 세계 온라인 광고 시장은 753억 달러 규모로 747억 달러 규모의 TV 광고 시장을 앞질렀다. 전통 매체인 TV가 온라인 매체에 밀리기 시작한 건 한두 해 전의 일이 아니지만, 온라인 광고 시장이 급속하게 성장하는 데엔 다른 이유가 있다. TV 광고는 불특정 다수를 대상으로 하지만, 온라인 광고는 개인별 맞춤형으로 제공되기 때문이다.

20일 서울 삼성동 코엑스에서 열린 2017 개인정보보호 페어(PIS FAIR)에서 차윤호 한국인터넷진흥원 개인정보제도팀 팀장이 주목한 것도 바로 이 부분이다. “온라인 맞춤형 광고와 개인정보보호는 언뜻 큰 관련이 없는 주제인 것 같지만 (개인정보보호 차원에서) 큰 이슈가 되고 있습니다.” 차 팀장은 온라인 맞춤형 광고가 각 개인의 행위정보를 분석한 뒤 알맞은 정보, 즉 최적화한 광고를 제공하기 때문에 개인정보와 밀접한 관련이 있다고 말했다.


방송통신위원회와 한국인터넷진흥원이 지난 2월 공동 발간한 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’을 보면, 온라인 맞춤형 광고란 ‘행태정보를 처리하여 이용자의 관심, 흥미, 기호 및 성향 등을 분석·추정한 후, 이용자에게 맞춤형으로 제공되는 온라인 광고’를 뜻한다. 여기서 행태정보란 ‘웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동정보’를 말한다.

즉, 웹사이트나 애플리케이션 이용 시 생성되는 각 사용자의 쿠키 등을 수집하고, 이를 공유하는 서드파티 웹사이트(트래커)에서 분석해 맞춤형 광고를 제공하는 식이다. 차 팀장은 온라인 행위 추적 실태에 대해 설명하며 “이용자가 많은 상위 웹사이트 평균 1개에 50개 이상의 쿠키가 붙어 있다”고 짚었다. “미국의 월스트리트저널(The Wall Street Journal)의 경우, 41개의 트래커가 붙어 있었으며 우리나라 모 매체의 경우 6개의 트래커가 붙어 있었습니다.” 차 팀장은 “우리나라는 아직 트래커가 많지는 않지만 점차 증가하는 상황”이라고도 덧붙였다.

이런 온라인 행위 추적은 사용자가 자신도 모르는 새 개인정보를 지속적으로 유출시키는 상황을 낳기 때문에 미국에서는 1999년부터 지속적인 논의가 이어져왔다고 차 팀장은 설명했다. 그 결과 미국 연방통상위원회(FTC: Federal Trade Commission)는 2007년 온라인 광고 타운홀 공개회의를 통해 3가지 핵심 원칙에 대해 합의하고, 2009년 ‘온라인 맞춤형 광고 자율 규제 원칙’을 제정하는 데 성공했다고 밝혔다.

FTC가 제시한 자율 규제 원칙은 4가지로, 1) 행태정보 수집사실 등을 고지하고 선택권을 제공하는 ‘투명성과 소비자 통제’의 원칙 2) 데이터를 적절히 보호하고 필요한 기간 동안만 보유해야 하는 ‘보안 및 제한적 데이터 보유’의 원칙 3) 사용목적이나 방법 등을 변경할 때 소비자에게 명시적으로 사전 동의를 구해야 하는 ‘프라이버시 정책 변경시 동의’의 원칙 4) 민감한 정보는 명시적 사전 동의를 얻은 뒤 사용하거나 수집 자체를 금지해야 하는 ‘민감 정보 사용시 동의(또는 금지)’의 원칙 등이 있다.

이어 차 팀장은 이용자 단말에 접근하거나 정보를 저장할 때 사전 동의를 구하도록 하는 유럽의 정보통신분야 개인정보보호 지침(2002/58/EC)과 이프라이버시 규정(ePrivacy Regulation)에 대해서도 설명했다. “유럽의 경우, 프라이버시를 굉장히 강하게 보호하고 있습니다. 서드파티 주체들에게 이용자 동의를 모두 받으라고 요청하고 있지만 그 실효성에는 의문이 있는 상황이라 하반기에 좀 더 구체적인 방향이 잡힐 것으로 보입니다.”

우리나라의 경우, 정보통신망법 제27조의 2(개인정보 취급방침의 공개)와 개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개)가 온라인 맞춤형 광고와 관련한다. 또한, 방송통신위원회는 2014년 11월에 ‘온라인 개인정보 취급 가이드라인’을 제시했으며, 관련 정부 부처에서 합동으로 2016년 6월에 ‘개인정보 비식별 조치 가이드라인’을 발표한 바 있다.

앞서 언급한 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’은 미 FTC와 유사하게 4가지 원칙을 담고 있다. 4가지 원칙은 1) 행태정보 수집·이용의 투명성 2) 이용자의 통제권 보장 3) 행태정보의 안전성 확보 4) 인식확산 및 피해구제 강화 등으로 크게 나뉘며, 각 원칙에 대한 세부 원칙이 포함돼 있다.

2017년 3월에는 ‘스마트폰 앱 접근권한 개인정보보호안내서’가 발행돼 현재 시행되고 있다고 차 팀장은 밝혔다. 이 안내서에 따르면, 스마트폰 앱에서의 개인정보보호를 위해 앱 서비스 제공자는 접근권한을 서비스에 필요한 범위 내로 최소화해야 하며, 동의를 받기 전에 필수적 접근권한과 선택적 접근권한을 구분해 고지한 후 각각 동의를 받아야 한다. 이와 더불어 앱 서비스 제공자 외에 운영체제 공급자, 스마트폰 제조업자, 앱 개발자 또한 접근권한에 대해 동의를 받을 수 있는 기능을 제공해야 하며, 동의한 권한에 대해 사후 철회 기능을 제공해야 한다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>