[아시아경제 차민영 기자] 전세계 온라인 광고 시장에서 막대한 지분을 차지하는 빅테크 기업들이 이용자 개인정보를 은밀하게 수집하고 있다는 비판이 나오고 있다. 구글과 메타(구 페이스북)가 지난달 국내 '개인정보보호법' 위반으로 1000억원의 과징금 철퇴를 맞았지만, 이를 계기로 우리 정부도 이용자 보호와 행태정보 수집 과정 점검을 강화해야 한다는 지적이다. 해외에서도 빅테크 플랫폼 기업들의 맞춤형 광고를 위한 개인정보 수집에 제동을 걸고 있다.

국회입법조사처는 2일 '온라인 맞춤형 광고에서의 행태정보 보호'라는 제목의 보고서에서 구글·메타 등의 사례를 들며 이 같이 지적했다.

앞서 구글과 메타는 개인정보보호위원회로부터 지난 9월 14일 총 1000억원의 과징금 처분을 받았다. 국내 이용자 동의 없이 타사 행태정보를 수집하고 온라인 맞춤형 광고에 활용해 개인정보보호법을 위반했다. 개보위에 따르면 구글은 '옵션 더 보기' 버튼을 눌러야 볼 수 있도록 가려두고 기본값을 '동의'로 설정했고, 메타는 총 1만4600자, 694줄에 달하는 데이터 정책 전문을 한 번에 다섯 줄만 보이는 좁은 화면을 통해 알리고 일괄 동의를 받을 뿐 타사 행태정보 수집·이용에 대한 별도 고지를 하지 않았다.

보고서에 따르면 타사 행태정보는 정보주체가 자신의 어떤 정보가 수집되는지 예측하기 어렵다는 문제가 있다. 계정정보와 연결되면 해당 계정으로 접속한 모든 기기에서 활동한 행태정보가 지속적으로 축적돼 민감한 정보가 생성될 우려도 있다.

메타는 최근 이용자들에게 개인정보 제공에 동의하지 않으면 서비스를 제한하는 방식으로 업데이트를 진행하려다 이용자의 거센 반발에 철회하기도 했다. 동의의 형식을 빌려 이용자에게 광범위한 수집을 강요할 수 있는 위험성이 존재한다는 지적이 나오는 이유다. 국내 개인정보보호법은 제3조제1항에 따라 목적이 필요한 범위 내에서 최소한의 개인정보를 수집하도록 하고 있다. 또 제39조제3항에 따라 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 정보통신제공자가 그 서비스의 제공을 거부할 수 없도록 규정하고 있다.

프랑스에선 2019년 개보위 유사 판단 내려
해외에서는 정부와 국회가 나서 빅테크 기업들의 무분별한 개인정보 수집과 맞춤형 광고를 적극 제지 중이다. 프랑스에서는 2019년 이번 개보위 결정과 유사한 판단을 내렸다. 당시 구글은 프랑스 이용자로부터 맞춤형 광고 동의를 받는 과정에서 '옵션 더 보기'를 눌러야 관련 내용이 나오도록 조치하고 '동의'를 기본값으로 설정했다. 프랑스 정부는 "구글이 개인정보 동의 절차에서 GDPR(유럽연합(EU) 회원국 개인정보 보호법)의 투명성 원칙을 위반하고 이용 목적을 충분히 설명하지 않았다"며 5000만유로(당시 약 642억원)의 과징금을 부과했다.

독일 또한 2019년 당시 페이스북이 인스타그램과 같은 계열 서비스와 제3자 웹사이트에서 이용자 행태정보를 수집하고 결합하는 것을 금지했다. 벨기는 올해 2월 "유럽 온라인광고협회의 맞춤형 광고 솔루션이 이용자에게 동의 여부를 고지하는 내용이 일반적이고 모호해 개인정보 처리의 성격과 범위를 이해하기 어렵다"며 시정 명령을 내렸다.

이용자 웹브라우저의 쿠키를 통해 많은 행태정보가 수집되는 만큼 쿠키 사용 규제 정책도 강화되는 추세다. EU는 일명 '쿠키법'을 통해 쿠키를 지속기간과 출처, 사용목적에 따라 분류하고 필수 쿠키를 제외한 모든 쿠키에 대해 사용자의 사전 동의를 받을 것을 요구하고 있다. 미국 '캘리포니아 소비자 프라이시 법'에서도 쿠키를 고유 식별자 또는 고유한 개인 식별자의 한 유형으로 명시하고 있다. 프랑스에서는 '쿠키 사용 거부'는 동의와 다르게 복잡한 절차를 거치게 만들었다며 구글에 1억5000만유로(당시 약 2032억원), 페이스북에 6000만유로(당시 813억원)의 과징금을 부과한 바 있다.

국회입법조사처 "최소수집원칙 준수 강화 필요"
국회입법조사처는 빅테크 기업들의 개인정보 침해를 막기 위해서는 '최소수집원칙 준수 강화'가 필요하다는 주문이다. 플랫폼 기업이 행태정보 수집 미동의 시 서비스 사용을 전면적으로 금지해 사실상 이용자에게 동의를 강요하는 상황도 존재하기 때문이다. 보고서는 "정부는 사업자가 서비스의 본질적인 기능을 수행하기 위해 반드시 필요한 정보만을 수집하고 있는지, 서비스 및 제3자 유형을 세분화해 수집정보를 최소화하는 방안은 없는지 살펴보며 기업의 개인정보 최소수집 원칙 준수에 대한 점검을 강화해야 한다"고 강조했다.

행태정보 규제 체계를 점검해야 한다는 주문도 내놨다. 우리나라는 방송통신위원회가 2017년 '온라인 맞춤형 광고 개인정보보호 가이드라인'으로 행태정보 처리 시 준수사항을 제시한 바 있는데 행태정보 유형, 사용 영역·방식 등을 세분화하고 있지 않고 있다. 보고서는 "행태정보 유형, 사용 영역 및 방식 등에 따른 보호 필요성을 검토해 행태정보 규제 체계를 법률로 마련할 필요가 있다"고 설명했다.

마지막으로 빅테크 플랫폼 기업의 행태정보 활용 제한이 필요하다는 제언도 나왔다. EU가 2023년 시행 예정인 '디지털시장법'이 대표적인 사례다. 마지막 입법 단계를 앞둔 이 법은 '수집한 개인정보를 맞춤형 광고에 이용하는 것, 다른 수단으로 수집한 개인정보와 결합하거나 다른 서비스와 교차해 사용하는 것을 금지한다'는 내용을 담고 있다. 보고서는 "빅테크 플랫폼 기업은 많은 이용자로부터 방대한 행태정보를 수집하고 있어 개인정보 침해 가능성이 높다"며 "빅테크 플랫폼 기업은 맞춤형 광고에 대한 별도 규제가 필요하다"고 짚었다.

차민영 기자 blooming@asiae.co.kr
<ⓒ경제를 보는 눈, 세계를 보는 창 아시아경제(www.asiae.co.kr) 무단전재 배포금지>