온라인 맞춤형 광고 가이드라인(안)의 검토 및 정책제안
1. 가이드라인 개정을 둘러싼 최근의 상황
2022년 2월, 한 주요 매체는 개인정보보호위원회(이하 ‘보호위원회’)가 ‘맞춤형 광고 개인정보 보호 가이드라인(이하 ‘본 가이드라인’)’을 대대적으로 정비할 예정이라며, “위원회는 맞춤형 광고를 포함한 국내 시장의 침탈적 개인정보 침해 행위를 지난해 집중 조사한 상태로, 올해 상반기 중 그 결과를 공개할 예정이다. 이 실태 조사를 기반으로 하루가 다르게 변하는 시장 상황에 맞춰 ‘맞춤형 광고 개인정보 보호 가이드라인’이 새롭게 정비되는 것이다.”라고 취재 내용을 밝혔다.[1] 반년 가량 경과한 2022년 9월 14일, 보호위원회는 구글(Google LLC)과 메타(Meta Platforms, Inc.)를 대상으로 위법행위에 대한 시정명령과 더불어 약 1천억원의 과징금을 부과하기로 의결했다. 온라인 맞춤형 광고 플랫폼의 이용자 행태정보 수집·이용과 관련된 첫번째 제재이자, 개인정보 보호 법규 위반으로는 가장 큰 규모의 과징금이었다. 2023년 2월 8일, 보호위원회는 타사 행태정보 제공을 거부하면 페이스북 및 인스타그램 서비스를 가입해 이용할 수 없도록 한 개인정보보호법 위반행위에 대해 시정명령 및 660만원의 과태료 부과 등의 처분을 의결했다. 같은 해 7월 26일에는 메타 아일랜드(Meta Platforms, Ireland Limited)와 인스타그램(Instagram LLC)에 대해 각각 65억 1천 7백만원과 8억 8천 6백만원의 과징금을 부과하는 한편, ‘페이스북 로그인’ 기능에 행태정보 수집 도구를 결합시켜 사업자 및 이용자 모르게 타사 행태정보를 수집한 메타를 대상으로 3개월 내 자진 시정 계획을 공식 제출해 옴에 따라, 시정 후 그 결과를 보호위원회에 보고하도록 의결했다.
이와 같은 일련의 조치는 맞춤형 광고 가이드라인 개정안의 공개에 앞서 보호위원회가 사전에 그 필요성에 대한 ‘정지(整地)’ 작업을 한 것으로 볼 여지가 있다는 평가가 나올 정도로 체계적으로 이뤄졌다. 그러나 가이드라인 공개에 대한 산업계의 반발은 예상보다 강했다. 2023년 7월 5일, 한국디지털광고협회 등 5개 단체는 이번 정부에서 추진하는 온라인 맞춤형 광고 행태정보 처리 가이드라인 제정에 우려를 표명하는 공동 성명서를 발표했다. 디지털 경제를 유지·촉진하는 핵심 동력인 온라인 광고에 있어 다양한 광고매체와 수많은 광고 기법이 있음에도 이에 대한 정확한 분석과 판단 없이 추진되는 본 가이드라인은 혁신에 역행하고 국내 경제산업 전반에 수많은 악영향을 미칠 것이라는 점이 주된 우려로 제시되었다. 이들 단체는 “변화하는 광고시장에 대한 환경분석과, 가이드라인이 대한민국 경제성장 전반에 미칠 파급효과에 대한 연구”를 먼저 실시해 줄 것을 요청하면서, 가이드라인의 제정 자체에 대한 반대가 본 성명의 목적이 아님을 분명히 하였다. 시민사회도 논란에 뛰어 들었다. 같은 해 7월 11일, 참여연대를 비롯한 6개 시민단체는 산업계 성명에 대한 반박 성명을 내놓았다. 산업계의 성명은 불법적인 이용자 행태정보 수집을 계속하게 해달라는 생떼에 다름없고, 산업계 성명에 대해 보호위원회가 밝힌 입장도 개인정보보호법에서 벗어난 가이드라인을 만드는 것처럼 오해를 살 수 있다는 것이었다. 이에, 산업계의 우려는 무엇이고, 정부는 어디에 초점을 맞춰 정책방향을 검토하는 것이 적절할지 살펴볼 필요가 있다.
2. 가이드라인의 실행에 따른 우려사항
본 가이드라인(안)의 구성에 참여한 산업계 관계자에 의하면, 산업계는 다음과 같은 실행상의 우려를 가지고 있는 것으로 확인이 된다.
1) 가이드라인의 성격에 대한 혼란
가이드라인이란 행정기관이 일정한 행정목적 달성을 위해 필요한 기준과 절차를 정한 규범으로 그 법적 성격은 대부분 법적 구속력이 없는 행정지도라고 할 수 있다. 다만 행정지도로서 가이드라인의 경우에도 일정한 법적 행위에 대한 사실상의 세부적인 평가기준으로 역할을 하면서 실질적으로 법적 구속력을 지니는 경우가 많다.[2] 본 가이드라인(안)의 내용 가운데 적잖은 부분이 개인정보보호법이 정한 사항 이외의 의무를 부여하거나, 이에 따라 필요한 조치를 수행한 경우라 할지라도 법적 보호를 보장하지 못하는 것에 대해 산업계가 불안감을 전한 것으로 알려졌다. 이는 지난 2017년 11월, 12개의 시민단체가 행정자치부 등 6개 부처 합동으로 제정한 ‘개인정보 비식별 조치 가이드라인(2016. 6.)’에 따라 빅데이터 서비스를 제공한 20개 기업과 이에 관여한 비식별화 조치 전문기관 4곳을 개인정보보호법 등 위반으로 검찰에 고발하였고, 이로 인해 2년 가량 해당 가이드라인에 기반한 데이터 처리가 전면 중단되다시피 한 사례를 떠올리게 한다. 2019년 6월 27일, 서울고검이 시민단체의 고발건에 대한 항고를 최종 기각함에 따라 위법에 대한 논란은 일단락되었다. 그럼에도, 데이터 산업의 발전에 대한 전세계의 거센 경쟁 상황에서 2년 가량의 시간을 헛되이 낭비한 본 사례가 온라인 광고 생태계에 있어서도 유사한 상황을 만들어내지 않을까 하는 우려를 낳는 것은 당연하다 할 것이다. 보호위원회는 가이드라인이 총 18차례에 걸쳐 회의를 진행하면서 합의안을 마련한 것이며, 특히 2023년 4월부터 6월까지 10차례에 걸쳐 (추가로) 의견을 수렴하기도 했다고 설명하지만, 시행도 되기 전에 산업계의 반발이 나오면서 실제 충분한 논의를 거쳐 합의에 이른 것인지조차 장담하기 어려운 상황이 되었다. 만약, 가이드라인이 공개된 후, 법적 근거에 대한 도전이 다시금 제기된다면 우리는 또 다른 상당한 기간을 하릴없이 낭비할 수밖에 없을 것이므로 사전에 충분한 검토가 필요할 것이다.
2) 규모 있는 실행가능성의 담보 곤란
광고 지면을 제공하는 퍼블리셔(웹·앱 서비스 제공자)와 광고를 제공하는 광고사업자, 그리고 이들 광고사업자가 실제 광고를 노출하는데 필요한 제반 사항을 지원하는 광고지원사업자 등의 실제 광고 제공 방식, 역학과 책임 관계, 시장상황 등을 적절히 파악하지 못한 상황에서 이용자에게 통제권을 부여하기 위한 안내 및 동의 확보의 책임을 퍼블리셔와 광고사업자간 ‘협의’로 미뤄둔 것에 대한 우려도 확인된다. 이는 실행 과정에서 매우 다양한 문제를 야기할 것으로 보인다. 대표적으로, 퍼블리셔(1st party)와 광고사업자(3rd party)를 이용자가 구분하기 어렵다는 점을 고려하지 못하는 것에서 발생할 수 있는 문제점이 있다. 예를 들면, 보호위원회는 광고에 관여하는 SDK를 제공하는 광고사업자가 퍼블리셔의 영역인 웹·앱 서비스 내에 직접 팝업을 띄우거나, 양자간 협의를 통해 퍼블리셔로 하여금 여러 광고사업자에 관한 내용을 종합·정리하여 통합 팝업창을 띄우는 등 여러 방식이 가능하다고 설명한다. 그런데, 전자의 방식은 제3자인 광고사업자가 당사자 영역인 웹·앱 서비스에서 이용자와 직접 상호작용하도록 하는 것을 제도적으로 허용(보장)하면서, 악성 SDK를 운용하는 제3자로 하여금 이용자의 기기에 대한 통제권을 확보하여 개인정보 침해, 금융거래 사칭, 사생활 감시 등 이용자의 기기에 대한 백도어를 열어줄 위험이 있다. 후자의 방식은 특정 웹·앱 서비스에 관여하는 광고 사업자가 얼마나 다수인지에 따라 퍼블리셔로 하여금 광고 실행에 대한 부담을 기하급수적으로 증가시킬 수 있다. 이는 산업경쟁력 저하는 물론이고 실행 가능성에 대한 담보를 불가능하게 한다. 일례로, 광고 서버 및 트래킹에 대한 기술적 트래킹을 실시한 결과, 국내 대표 이커머스 기업의 C서비스는 총 60개의 광고 서버 요청과 47개의 트래킹 요청을 수행하는 것을 확인할 수 있었다. 국내 대표 언론사 H서비스는 총 221개의 광고 서버 요청과 130개의 트래킹 요청을 수행했다.[3] 이들 광고를 제공하는 광고사업자에 대한 선택의 부담을 이용자에게 전적으로 부담시키는 것이 현실적으로 실행 가능한 것인지 의문이다.
더군다나, 실제 이용자와 직접 상호작용하지 않으면서 광고 노출을 지원하는 수 많은 광고지원사업자에 대한 일체의 사항을 개별 퍼블리셔가 일일이 협의하고 정리하는 것은 현실적으로 불가능에 가깝다. 상당수의 퍼블리셔는 자신들의 서비스 영역에서 제공되는 광고가 어떤 광고사업자나 광고지원사업자에 의해 제공되는지 전혀 알지 못하고 있기도 하다. 이런 경우, 퍼블리셔는 결국 신뢰할 수 있는 최소한의 광고사업자와의 계약 외엔 모두 중단할 수밖에 없으며, 이는 산업계를 소위 ‘테크 자이어트’ 위주로 재편하는 결과로 이어질 수밖에 없다.
3) 난해한 가이드라인
기존 방송통신위원회가 내놓은 온라인 맞춤형 광고 개인정보보호 가이드라인(2017. 2.)의 내용을 큰 폭에서 변화시켜 신규로 제정하는 수준으로 가이드라인의 내용을 변경하면서, 보호위원회는 ▲온라인 식별자의 개인정보 해당성 판단 기준 ▲ADID(MAID, 모바일 광고 식별자)의 처리 유의사항 ▲온라인 맞춤형 광고 안내 방법 제시(퍼블리셔 직접 수집 vs. 퍼블리셔 제공 vs. 광고사업자에 제공) ▲맞춤형 광고 표시 확대(기존에 제외한 당사자 광고까지 포함) ▲예외적으로 처리가 허용되는 행태정보 요건 등에 관한 사항을 새롭게 또는 기존과 달리 제시한다. 그런데, 그 내용이 지나치게 복잡하고 다양한 해석 가능성을 열어 놓는데다, 일부는 법이 정한 규율을 넘어선 경우도 있어 이를 어떻게 이해하고 어느 수준에서 적용해야 하는 것인지를 판단하기란 매우 곤란한 것으로 알려져 있다.
예를 들어, 개인행태정보 처리의 투명성 및 통제권 제공을 위해 본 가이드라인은 ‘통제권 행사를 위한 기능’을 제공하도록 요구한다. 맞춤형 광고의 안내 표식을 클릭하면 안내화면으로 이동하게 되는데, 이 때 이용자는 방문한 웹·앱 서비스에 광고를 노출하는 여러 광고사업자에 행태정보 제공을 허용할 것인지 설정할 수 있는 toggle 버튼을 접하게 된다. 이 화면에서 이용자는 자신이 직전에 열람한 광고를 어느 사업자가 제공하는지 확인할 수 없고, 해당 사업자에게 제공되는 행태정보 항목을 구체적으로 파악할 수도 없다. 퍼블리셔 입장에서 이런 화면을 구현하는 것 자체도 모든 광고사업자(또는 광고지원사업자)와 협의를 거쳐야 하므로 그 난이도가 매우 높다. 이용자 또한 의사결정에 필요한 충분하고 정확한 정보를 제공받을 수 없어 ‘정보에 기반한 동의(informed consent)’를 할 수도 없게 된다.[4]
4) 소규모, 신규 사업자의 시장진입 난관
위 항목 3.에서 설명한 바와 같이 이용자는 자신의 선택에 대한 구체적인 정보를 제시받지 못한 채, 광고사업자에게 제공되는 정보 항목, 정보제공의 목적 등과 더불어 광고사업자 브랜드 명과 함께 toggle 버튼(on/off)을 제공받는다. 이런 경우, 이용자는 기존에 자신이 친숙하거나, 관계를 형성하고 있거나, 충분한 규모를 확보하여 정보를 잘 보호할 것으로 신뢰할 만한 브랜드에게만 정보 제공을 허용할 수밖에 없다. 결국, 시장에 브랜드를 충분히 알리지 못한 소규모 광고 사업자 내지 신규로 시장에 진입하는 사업자는 경쟁에 있어 절대적으로 불리함을 안고 갈 수밖에 없게 된다.
또한, 복잡해진 규정을 준수하려는 퍼블리셔는 개인정보나 행태정보 수집 등에 대한 부담을 자신이 신뢰할 수 있는 대형 사업자에게 맡기거나, 정보를 제공하는 사업자를 극단적으로 제한할 것이다. 이는 소규모 광고사업자나 신규 진입 사업자를 고사시키게 된다. 이런 상황을 고려했을 때, 기존에 온라인 광고 산업에서 대규모 네트워크를 확보한 글로벌 기업에 절대적으로 유리한 ‘판’이 만들어질 수밖에 없으며, 국내 광고 테크 기업들은 시장에서 퇴출될 상황에 놓이게 될 것으로 보인다.
5) 국내 기업의 이중고
기존 PC 서비스는 모바일 혁명을 겪으면서 이용자의 급감을 경험한 바 있다. 국내 주요 온라인 사업자들은 모바일:PC 서비스 이용자가 6:4에서 9:1의 비율에 달할 정도로 모바일 서비스 이용자의 수가 절대적인 상황을 경험하고 있다. 그런데, Apple은 앱추적투명성(ATT, App Tracking Transparency)을 적용하여 이용자의 명시적 동의를 받지 않은 앱으로 하여금 IDFA 기반으로 추적(tracking)을 하지 못하도록 정책을 수립·집행하고 있다. Google 또한 제3자 쿠키에 대한 지원을 Chrome에서 배제하기 시작했고, 각종 Privacy Sandbox APIs를 통해 광고 성과 측정에 필요한 제한된 정보에 대한 접근만을 허용할 예정이다. 해당 정책은 Google의 모바일 운영체제인 Android에도 적용된다. 이미 모바일에선 맞춤형 광고를 포기하거나, 기존과 비교하여 급감한 수준의 제한적 정보만을 이용하여 이용자의 관심에 부합할 것으로 생각되는 광고를 제공해야 하는 상황이 된 것이다.
이미 거대 글로벌 테크 자이언트들이 정한 엄격한 기준(특히, OS 레벨)을 준수하느라 진이 빠져버린 국내 사업자들이 시장에 어떠한 영향을 미칠 것인지 충분히 분석되지 않은 가이드라인을 준수하느라 리소스를 쏟아 붓게 된다면, 시장의 역동성은 큰 폭의 변화를 겪게 될 것이다. 일부는 그 과정에서 국내 광고 생태계가 붕괴를 경험할 것이라는 우려를 제기하기도 한다. 산업계가 “변화하는 광고시장에 대한 환경분석과, 가이드라인이 대한민국 경제성장 전반에 미칠 파급효과에 대한 연구”를 선행할 것을 요구한 것은 이러한 배경이 기저에 깔려 있기 때문인 것으로 보인다.
3. 나가며
행태정보의 누적과 그에 따른 개인식별가능성, 그리고 이용자에게 명확한 정보를 제공하지 않거나 선택권을 충분히 보장하지 않는 방식의 맞춤형 광고 등에 대한 문제가 해소되어야 한다는 점은 산업계 누구라도 공감하지 않을 수 없다고 말한다. 보호위원회가 구글과 메타에 대한 처분에 더하여 가이드라인 개정까지 나선 것은 이러한 공감과도 맥이 닿아 있는 것으로 보인다. 그러나, 온라인 광고는 온라인 생태계를 떠받치는 가장 중요한 수익원이며, 이를 통해 창출된 가치가 혁신의 열매를 정보주체인 이용자에게 가져다주는 선순환 구조를 이루고 있다는 점에서 그에 대한 규제는 신중하게 접근할 필요가 있기도 하다.
보호위원회가 온라인 광고에 관하여 글로벌 기업 대상으로 처분한 사례에서 확인된 문제점이 국내 사업자에게도 동일하게 나타나는지, 확인된 문제점에 대한 핀셋 규제가 시장에 유의미한 변화를 야기하기에 부족한지, 규제로 인해 국내 온라인 생태계에 미칠 파급과 그로 인한 정부의 정보 주권의 확립 노력은 어떻게 영향받게 될 것인지 등에 대해 다각도로 접근할 필요가 있다.
인공지능 시대를 맞이하여 보호위원회는 개인정보의 보호와 산업의 활성화의 적절한 균형을 맞추기 위해 2003년 8월 3일 「인공지능 시대 안전한 개인정보 활용 정책 방향」을 발표한 바 있다. 이를 통해 기존에 수집한 데이터의 추가적 이용이 가능한 사례와 그 기준을 제시하기도 했다. 데이터가 없이 인공지능 사업이 발전할 수 없듯, 온라인 광고를 통한 안정적 수익 없이는 퍼블리셔가 인공지능 사업에 필요한 데이터(콘텐츠)를 지속적으로 만들어낼 수도 없게 된다. 규제가 미치는 영향은 생태계의 가치사슬 전반에 그 영향을 생각보다 크고 다양하게 미칠 수 있다는 점에 주목할 필요가 있다.
[1] 매일경제(2022. 2. 17.). 개인정보위, 맞춤형 광고 새 지침 내놓는다. Available: https://www.mk.co.kr/news/it/10223352
[2] 머니투데이(2022. 9. 20.). [투데이 窓]가이드라인 행정의 명암. Available: https://news.mt.co.kr/mtview.php?no=2022091914173483033
[3] 이는 FOU Analytics의 PageXray 서비스(https://pagexray.fouanalytics.com/)를 이용하여 2023년 8월 28일 15:45에 수행한 스캐닝의 결과로서, 홈페이지 URL을 기준으로 기본 스캔(default scan)을 실시한 것에 따른 결과값이다. 실행 시점에 따라 결과는 일부 달라질 수 있다.
[4] 이용자에게 노출되는 안내 화면에는 ‘(광고사업자에게) 제공하는 행태정보의 항목’이 포함되어 있는데, 이 항목은 이용자가 방문한 웹·앱 서비스에 광고를 노출하는 전체 광고사업자에게 제공되는 ‘모든 항목’이 기재되는 형식이다. 이 경우, 전체 항목 가운데 일부만을 제공받는 광고사업자는 개인정보나 행태정보를 최소화하여 처리하고 있음에도 마치 모든 항목을 제공받는 것으로 오인받게 된다. 만약 퍼블리셔가 광고사업자에게 제공하는 행태정보 항목을 각 광고사업자별로 일일이 구분하여 노출해야 한다면, 각각의 광고사업자와 제공하는 정보에 관한 협의를 거쳐야 해서 절차적, 기술적으로 큰 어려움을 겪게 될 것으로 보인다.