인터넷 트래킹부터 이용자를 보호하기 위한 전 세계의 움직임

[보안뉴스= 채승완 한국인터넷진흥원 개인정보정책단 단장] 120개의 눈동자가 당신의 PC 모니터를 지켜보고 있다면 여러분들은 무엇을 할 수 있습니까? 아침 일찍 따뜻한 머그잔의 온기와 커피향을 느끼며 PC앞에서 하루를 시작하려던 당신은 컴퓨터 자판으로 향하던 손길이 머뭇거려집니다. 내가 매일 어떤 사이트에 들어가는지 그리고 무엇에 관심이 있고 어떤 상품을 구매했는지를 60개 사업자가 추적·분석하고 있다는 것을 알게 되면 당신의 온라인 행동이 망설여지게 될 것입니다.


허무맹랑할 것 같은 이 모습은 이미 현실이 되고 있다. 2015 테크놀로지 사이언스에서 실시한 웹 프라이버시 센서스에 따르면 세계에서 방문자가 많은 상위 100개 웹사이트에서 6,280개의 HTTP 쿠키가 발견되었다. 즉 온라인상 이용자의 행태정보를 수집할 수 있는 쿠키가 사이트당 평균 60개씩 웹브라우저에 설치되고 있는 것이다.

물론 모든 쿠키가 이용자의 행태정보를 수집하는 것은 아니다. 로그인 상태를 유지하고, 구매를 위해 선택한 물건을 장바구니에 보관하는 등 이용자 편의를 위해 사용되는 쿠키도 많이 있다. 하지만 최근 맞춤형 광고, 개인화 서비스 등이 확대되면서 이용자 행태정보를 수집하는 쿠키와 기법들이 증가되고 있어 인터넷상 프라이버시 침해 위험을 줄이고 건전한 인터넷 생태계를 만들기 위한 보호정책이 필요하다는 우려의 목소리가 커지고 있는 상황이다.

인터넷 트래킹으로부터 이용자 보호를 위한 해외 동향
미국, 유럽 등 주요 국가들은 온라인상 이용자 트래킹 기술의 발전과 적용 확대에 따라 이용자 프라이버시 보호를 위한 정책을 지속적으로 만들어 왔다. 미국의 경우, 연방거래위원회(FTC) 주도로 1999년부터 전자상거래에서 프라이버시 보호를 위한 정책 연구를 지속하고 있으며, 2007년 온라인 광고 타운홀 공개회의에서 그동안 인터넷산업 발전을 위해 이용자 온라인 행태정보가 필요하며 특정 개인이 식별되지 않는다는 산업체 주장과 인터넷상 프라이버시 침해가 높다는 시민단체의 주장에 극적인 합의를 통해 3가지 기본 원칙을 정하게 된다.

첫째, 이용자 온라인 행태정보를 이용하는 맞춤형 광고에는 소비자 이익도 존재한다. 둘째, 맞춤형 광고로 인한 이용자의 프라이버시 침해 우려가 존재한다. 셋째, 온라인 트래킹에 대한 투명성 확대와 소비자 통제권 강화가 필요하다. 이를 기반으로 연방거래위원회(FTC)는 온라인 맞춤형 광고 목적으로 이용자 행태정보 수집하기 위해서 사업자가 행태정보 수집사실을 이용자에게 알리고 통제권을 부여(Opt-out)하는 ‘온라인 맞춤형 광고 자율규제 원칙’을 제시했다(2009).

또한, 올해 초에는 사업자가 이용자의 여러 단말기를 동시에 추적하고 행태정보를 수집하는 문제를 개선하기 위한 ‘Cross-Device Tracking 보고서’를 발표했다. 이처럼 미국은 온라인상 이용자를 추적하는 기술 발전과 이에 따른 프라이버시 위험 증가 속도 맞춰 단계적인 보호정책을 만들어 가는 중이다.

반면, 유럽은 인터넷상 이용자 추적과 관련하여 미국보다 엄격한 보호정책을 취하고 있다. 정보통신분야 개인정보보호를 규율하는 지침(2002/58/EC)3 5조 3항에 따라 사업자가 서비스 제공에 필요한 목적이외의 광고, 마케팅 등의 목적으로 이용자 PC, 휴대폰 등 단말기에 쿠키를 설치하려면 이용자로 부터 명백한 사전 동의(Opt-in)를 받아야 한다. 이러한 규정의 이행을 돕기 위해 각 사이트에서 사전동의를 받을 수 있는 자바 스크립트까지 만들어 보급하고 있다.

하지만 유럽 내에서도 웹사이트에 과도한 동의 요구창이 발생하고, 이용자가 관련 내용을 확인하지 않고 습관적으로 동의하고 있어 실효성이 문제되고 있다. 또한 지침이 가지는 한계로 인해 EU 회원국 마다 관련 지침의 적용에 차이가 발생하여 이를 개선하기 위한 e-Privacy 법률 개정(안)이 만들어져 논의가 시작되고 있다.

국내 개인정보보호 체계에 대한 평가
우리나라도 인터넷상에서 이용자 트래킹으로 인한 프라이버시 피해를 방지하기 위해 정책 준비는 2009년부터 정책이 준비되기 시작됐다. 2010년에는 관련 가이드라인 마련을 위한 공청회를 가졌으나 국내 온라인 광고시장 상황을 고려할 때 과도한 규제라는 의견을 수렴하여 발표가 중단되고 중장기 정책연구를 지속했다.

그 사이 이용자 행태정보를 활용한 맞춤형 광고 기술의 고도화로 인해 세계 온라인 광고시장은 2017년 753억 달러로 TV 광고시장 매출(747억 달러)을 추월(PwC, 2016)할 만큼 성장했으며, 국내 광고시장 역시 온라인 광고가 차지하는 비율이 약 31%(3조 6천억 규모)에 달하는 등 광고시장이 온라인 광고 중심으로 개편되고 이에 따른 이용자의 온라인 행태정보 수집도 급증하는 양상이 나타났다.

정부는 행태정보 수집으로 인한 프라이버시 침해를 최소화하고 건전한 맞춤형 광고 환경 구축을 위해 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’을 올해 2월에 발표했다. 여기에는 광고 사업자가 준수해야할 주요 원칙 4가지가 포함되어 있다.

첫째, 행태정보 수집사실을 이용자에게 고지하고 개인정보와 결합할 경우 사전 동의를 획득해야 한다. 둘째, 이용자가 언제든지 행태정보 수집 및 맞춤형 광고를 거절할 수 있는 다양한 통제방법(Opt-out)를 제공해야 한다. 셋째, 행태정보를 안전하게 취급하기 위한 보안조치 마련하고 서비스 제공에 필요한 최소 기간만 저장해야 한다. 넷째, 이용자 및 광고주 등에게 온라인 맞춤형 광고와 프라이버시 보호 노력을 적극 알리고 안내하여야 한다.

이러한 원칙이 시장에 정착되면 이용자의 막연한 프라이버시 침해 우려를 해소하고 국내 광고 시장이 글로벌 기술 트랜드에서 낙오되는 문제가 해소될 수 있을 것이다.

이번 가이드는 이용자의 온라인 행태정보가 가장 많이 이용되는 온라인 맞춤형 광고를 대상으로 우선적 기준을 제시한 것이다. 하지만 최근 온라인 행태정보가 서비스 개발, 마케팅, 통계분석 등으로 활용이 확대되고 있어 좀 더 포괄적인 보호 정책이 필요하고, 법률적 기반도 갖추어야 하는 상황이다. 따라서 한국인터넷진흥원은 온라인 트래킹으로부터 이용자 보호를 위한 법제 개선 방안 연구를 올해 진행하고 있다.

인터넷 파놉티콘(Panopticon)과 개인정보보호
파놉티콘(Panopticon)은 영국의 철학자 제러미 벤텀이 많은 죄수를 효율적으로 감시하기 위해 고안한 원형 감옥이다. 가운데 위치한 감시탑의 조명이 원형 감옥을 회전하면 비추면 죄수들은 누군가 나를 지켜보고 있다는 두려움에 교도소 규율을 따르게 되는 것이다.

인터넷상에서도 누군가가 나를 지켜보고 있다고 생각하면 개인의 행동이나 선택이 자유롭지 못하게 될 수 있다. 이것은 인터넷 생태계 발전에 근원이 되는 다양한 의견과 서비스의 개발을 제한하게 된다. 또한, 이미 대다수 개인은 SNS 등을 통하여 인터넷상에 자신에 관한 많은 정보를 공개하고 있어 이러한 정보와 행태정보가 결합하여 사용되면 감시탑의 조명보다 치명적인 두려움이 될 수 있다.

따라서 인터넷상에서 이용자 트래킹이 프라이버시를 침해하지 않고 이용자에게 도움이 되는 다양한 서비스 발전이 지속될 수 있도록 사회적 합의에 기반한 신뢰받는 보호정책이 지속적으로 마련되어야 할 것이다.
[글_ 채승완 한국인터넷진흥원 개인정보정책단 단장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>