통합 검색어 입력폼

내 개인정보는 1초만에 '광고 타깃'이 됐다

조회수 2021. 2. 20. 10:00 수정
번역beta Translated by kaka i
번역중 Now in translation
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 다양한 분야의 재밌고 유익한 콘텐츠를 카카오 플랫폼 곳곳에서 발견하고, 공감하고, 공유해보세요.

어떻게 알았는지 사려고 했던 물건은 늘 광고에 나타난다. 제주도 여행지를 알아보면 저렴한 항공권이 페이스북에 뜨고, 구두를 알아보고 있을 땐 마음에 드는 구두가 유튜브 광고에 나타난다. 인스타그램에는 매일 “오늘 하루 몇 년 생에게만 뮤지컬 공짜”라는 광고가 나온다. 누구나 한 번쯤은 이런 경험을 해봤을 것이다. 스마트폰이 나를 감시하고 있는 건 아닐까? 이런 생각이 드는 것도 당연하다. 스마트폰은 내 생활 패턴은 물론 소비 패턴과 생각, 신상정보까지 거의 모든 것을 알고 있기 때문이다.

개별 사용자의 선호에 맞춰 광고가 보이는 걸 ‘맞춤형 광고’라고 부른다. 전통 미디어 광고는 불특정 다수를 대상으로 진행됐다. 이 잡지를 주로 구입하는 소비자가 어떤 특성을 가지고 있는지 대략적인 정보는 있지만 그 소비자 한 사람 한 사람이 무엇을 좋아하는지에 대한 정보는 없기 때문이다. 온라인과 스마트폰은 다르다. 인터넷 기록을 토대로 소비자 행태를 분석할 수 있고 이를 통해 니즈를 알아내는 것도 어렵지 않다. 소비자가 좋아할 만한 걸 보여주다 보니, 맞춤형 광고는 클릭할 확률도 높아진다. 광고주 입장에서는 광고 집행을 효과적이고 합리적으로 할 수 있는 셈이다.

출처: 게티이미지뱅크

맞춤형 광고를 집행하는 기업은 사용자의 온라인 기록을 바탕으로 그 이용자의 취향과 행태를 분석한다. 들어가는 데이터에는 성별과 나이처럼 유저가 직접 설정한 데이터도 포함된다. 이를 바탕으로 기업은 이용자가 무엇을 좋아하는지 알아내고 그에 맞는 광고를 보여준다. 구글을 예로 들어 설명하면, 구글에서는 구글에 추가한 정보뿐만 아니라 구글 이외의 웹사이트 및 앱에서 로그인 된 상태로 활동한 내역을 바탕으로 관심분야를 설정한다. 구글이 내게 어떤 광고를 보여주는지 궁금하다면 여기를 클릭해 알아볼 수 있다.

하지만 개인정보 측면에서도 한 번 생각해 보자. 과연 SNS는 내가 몇 년생인 줄 어떻게 알고 관련 광고를 보여줬을까? 항공권이 필요하다는 사실과 구두를 사기 위해 인터넷 쇼핑을 하고 있다는 건 어떻게 알았을까. 맞춤형 광고를 위해 수집되는 내 데이터는 과연 안전하게 관리되고 있으며, 기업이 개인정보를 수집하는 행위에는 법적인 문제가 전혀 없는 것일까? 과연 스마트폰과 애플리케이션을 믿고 정보를 올려도 괜찮은 것일까? 개인정보분쟁조정위원회에서 조정위원을 맡고 있는 김보라미 변호사를 만나 이야기를 들었다.

Q.맞춤형 광고를 위해 기업이 정보를 수집하는 행위, 뭐가 문제일까요?

크게 두 가지 이유가 있습니다. 먼저 서비스의 목적과 무관하게 정보를 많이 수집해야 합니다. 정보를 굉장히 많이 수집해야 합니다. 두 번째는 소비자가 사실은 이렇게까지 자기를 추적하는지 모르는 경우가 대부분이에요.


미국에서는 이런 일이 있었어요. 슈퍼마켓에서 임신 관련 쿠폰을 집으로 보내 준 거예요. 이걸 왜 보내줬나 생각하고 있었는데, 알고 봤더니 딸이 임신한 거였죠. 관련된 정보를 어떻게 수집하고 가공했는지는 모르지만 예측하지 못했던 방법으로 이 사람이 어떤 특성을 갖고 있는지 알게 되는 거예요.

해당되는 맞춤형 광고 정보들은 그냥 한 회사만이 축적되는 게 아니라 제3자에게 제공할 요인이 상당히 높아집니다. 여러 가지 측면에서 문제가 될 수 있는 소지가 상당히 많습니다. 그런데 기업 입장에서는 맞춤형 광고를 하고 싶은 욕구가 굉장히 있기 때문에 동의라든지, 사용하는 목적 등을 조금 더 완화시켜달라고 요구를 많이 하고 정보를 모아서 판매하는 데이터 브로커 회사의 설립을 많이 요구하고 있죠.

특히 인공지능(AI)과 빅데이터로 개인을 식별하고 추적하는 게 쉬워졌습니다. 또 개인이 어떤 성향을 갖고 있는지 파악하는 것도 쉬워졌어요. 그 방법을 이용해 기업들은 개인이 전혀 예상하지 못하는 방법으로 그를 추적할 수 있는 거죠. 이런 측면에서 개인정보 침해적인 요소가 상당히 높아질 수밖에 없습니다.

Q.맞춤형 광고를 위해 수집하는 데이터 즉, 개인정보가 광범위하다고 들었습니다. 법적 문제는 없는 걸까요?

개인정보에 대해 여러 의견이 있지만, 개인정보는 크게 두 가지로 설명할 수 있을 것 같아요. 첫째로 개인정보는 정보 주체가 계속 모든 처리·프로세스에서 관여할 수 있는 속성이 있습니다. 내가 A기업에 정보를 줬다고 가정해볼게요. A기업이 만약 동의를 받고 내 정보를 B기업에 제공했다 치더라도, 저는 언제든 B기업에 "내 정보를 쓰지 마세요, 파기하세요"라고 말할 수 있어요. 내 손을 떠났다고 통제를 못하는 게 아니라, 어디에 가든 통제를 할 수 있는 게 개인정보에요.


두 번째는 개인정보 처리 과정을 보면 알겠지만 정보주체와 정보주체 반대에 있는, 처리하는 곳의 관계가 대등하지 않아요. 대부분의 경우 정보주체는 개인이에요. 그러다 보니 대등한 관계에서 합리적으로 설명을 듣기가 어렵습니다. 만약 기업 간에 계약을 한다고 가정해볼게요. 그럼 둘 다 변호사를 붙여서 계약서를 쓸 때 꼼꼼히 살펴보고, 뭔가 위험한 건 없는지 검토해 처리하잖아요. 개인정보는 그렇게 할 수 없는 거에요.

유럽연합(EU)에서는 제가 설명드린 첫 번째 속성인 '어떠한 경우에도 정보주체가 개인정보를 통제할 권리'를 보장하고 있어요. 그리고 정보주체 스스로가 그 문제에 대해 평등한 입장에서 협상할 수 있는 협상력이 없기 때문에, 이를 보호할 수 있는 조치도 같이 들어가 있어요. 민감한 정보가 너무 많이 수집되는 형태로 프로파일링이 이뤄진다면 영향평가를 하도록 합니다. 영향평가를 통과하는 경우에만 프로파일링을 할 수 있는 거죠. 또한 인권 침해적인 부분에 대해서는 아예 프로파일링을 금지시키는 후견 조치들이 들어 있어요. 아쉽게도 우리나라 법에는 이런 내용들이 들어가 있지 않아요.

Q.프로파일링 광고에 들어가는 정보는 전부 비식별화 조치를 한 가명정보인 것으로 알고 있습니다.

2016년 비식별화 가이드라인이 만들어졌어요. 정보를 결합할 수 있는 것에 대한 가이드를 범부처에서 만들었죠. 위험한 내용이 많았고, 안전하지 않았어요. 식별이 가능할 수 있는 수준도 있었고요. 결국 몇몇 시민단체에서 관련 내용을 형사고발했고 문제가 되니까 그 비식별화 가이드라인은 쓸 수 없게 됐어요. 기업 쪽에서는 안심할 수 없는 상황이 된 거죠. 이걸 썼을 때 우리가 면책된다고 확신할 수 없으니까요.


그래서 2018년 4차산업혁명위원회에서 이해관계자를 모아 토론을 하고 그 과정에서 가명처리라는 개념이 나왔어요. EU에서 개인정보를 가명처리하는 개념이 도입됐으니, 그걸로 합의를 보자는 결론이었죠. EU 법제를 참조해 우리도 만들어보자고 시작이 된 거죠. 당시 문재인 대통령도 "EU 가명정보 개념을 도입해 활용을 촉진하고 보호조치를 같이 도입해 안전하게 해야 한다"고 말씀을 하셨어요. 사실 개인정보는 활용만 가능하고 보호조치가 없으면 사람들이 불안해서 개인정보를 쉽게 꺼낼 수가 없어요. 활용도 촉진될 수 없죠. 보호와 활용은 같이 가야 하는 거고 보호는 당연히 전제하에 있어야 하는 거예요.

2018년 11월, EU의 개인정보보호법(GDPR)에 준해서 만들자고 신용정보법, 개인정보보호법 개정안이 나왔어요. 그런데 법률안을 살펴보니 활용과 관련된 게 가명정보라고 오해하셨던 것 같아요. 사실 GDPR에서 가명정보는 활용의 목적이 아니고 안전장치의 하나로 도입을 한 건데 한국의 개인정보보호법은 가명정보가 되면 막 쓸 수 있는 것처럼 오해를 줄 수 있는 것처럼 되었어요.

두 번째는 굉장히 중요한 보호조치들이 다 빠져 있었어요. 개인정보라는 것은 A, B, C, D 등 회사를 건너가도 언제든 문제 제기를 할 수 있고 가명처리를 하더라도 기술적으로 가능하다면 내가 파기라든지 할 수 있어야 하거든요, 물론 예외도 있겠지만. 그런데 개인정보 주체의 권리는 가명정보화 되면 아예 행사를 할 수 없다고 끊어버리더라고요.

그래서 사실은 가명정보라는 게 활용과 관련된 개념으로만 도입됐고, 보호조치는 하나도 도입이 안 된 거예요. 그 즈음에 법 개정안을 두고 당정청이 회의를 했어요. 그날 어떻게 합의를 봤냐면, 급하니까 2018년에 가명정보 개념 입법화하는 걸 먼저 통과시키고 2019년에 보호조치를 추가로 통과시킨다고 합의를 했어요.

2018년이 지나 2019년이 됐어요. 그럼 보호조치를 넣어서 입법을 했어야 하잖아요. 그런데 2019년에 보호조치가 하나도 개정되지 않은 상태로 넘어갔고 2020년 1월 9일, 2018년에 발의됐던 그 법안 그대로 본회의에서 통과가 됐습니다. 지금 2차 개정안도 보호조치보다는 활용과 관련된 조항을 조금 더 명확하게 하는 데 방점이 있어요. 말씀하신 프로파일링 관련한 보호조치는 사실 언제 들어올지 저도 굉장히 궁금합니다.

Q.그렇다면 가명정보를 결합하면 개인을 특정할 수도 있다느 말인가요?

사실 지금 데이터 처리 기술이 굉장히 많이 발전했어요. 관련 장비도 너무 저렴해졌고요. 그래서 지금은 한 회사가 전 지구의 역사와 관련된 데이터를 보관할 수도 있어요. 그렇다면 데이터를 한 회사가 전부 다 처리해서 프로파일링 할 수도 있는 셈이죠.

이 과정에서, 가명처리를 해서 당장 이 정보만 보면 식별이 안 되지만 또 외부에 있는 타 정보와 결합하면 식별이 가능해질 수 있거든요. 그렇기 때문에 언제든 처리 절차마다 영향평가를 하고 정보 주체가 내 정보가 식별됐을 때 언제든 통제를 가할 수 있도록 보호 조치가 같이 가줘야 하는 거죠.

한 번 가명처리가 됐다고 해서 그게 안심할 수 있는 수준이라고 그 누구도 말할 수 없지 않을까 하는 생각이 있어요. 가장 중요한 건 바이오 데이터인 것 같아요. 기업도 정부도 바이오 데이터에 대해 여러 차례 말하고 있는데 이게 상당히 위험해요. 바이오 데이터야말로 식별 가능성이 너무 높거든요. 그래서 이게 가명처리를 해서 안 보이게 한다고 한들 개인정보가 식별되지 않게 만드는 게 과연 가능할 것인가라는 의문이 들어요.

Q.만약 법을 보완해야 한다면?

저는 우선 법에서 가장 큰 문제가, 디자인 단계에서 프라이버시를 고려하도록 하는 것들이 하나도 들어가 있지 않다고 생각해요. 이번에 카카오맵 문제가 터졌을 때 카카오에서는 현행법상 위법이 아니라고 했어요. 당황스럽더라고요. 카카오맵에 메모로 남기는 게 전부 개인정보가 아닐 수는 있지만, 개인정보가 있을 수도 있잖아요.

그런 경우에는 최초 설계 단계부터 개인정보를 수집하는 것으로 해서 프로그램을 만들었어야 하는데 전혀 프라이버시 친화적으로 프로그램이 설계돼 있지 않거든요. 그런 개념이 첫 번째로 도입돼야 하고, 설계 단계부터 수집하기 전에 서비스라든지 활용이라든지 서비스가 나가는 단계까지 프라이버시 친화적으로 설계해야 하는 개념이 도입돼야 하고요.

두 번째는 지금은 가명정보가 되면 정보주체는 어떤 권리도 행사할 수 없도록 되어 있거든요. 이거는 예외 조항을 구체화시키거나 정보주체가 행사할 수 있는 경우에는 권리를 행사할 수 있다고 구체화되지 않으면 사실 내 정보가 가명처리화되는 과정도 알기 어렵지 않을까 싶어요.

세 번째는 영향평가입니다. 저는 아주 중요하다고 생각해요. 대규모로 정보를 수집한다든지, 민감정보라든지, 또는 특정 지역 사람들을 추적하기 위해 정보를 수집할 때에는 영향평가를 해서 처리 과정들, 위험한 프로세싱은 걸러내주고 이런 것들을 해야 하는데 그런 방법이 하나도 도입돼 있지 않기 때문에 체계적으로 도입되는 게 급선무인 것 같습니다.

기사 서정윤 ㅣ 디자인 김경수
제작인턴 이소영 동국대
inter-biz@naver.com
이 콘텐츠에 대해 어떻게 생각하시나요?