전체메뉴

[애플경제 이윤순 기자] 구글, 아마존, X, 마이크로소프트 등 미국을 대표하는 빅테크들에 대해 EU 당국이 개인정보보호법 위반 혐의로 무더기 철퇴를 가했다.

유럽 규제 당국은 구글, 아마존, X(구 트위터), 마이크로소프트 등의 기업이 ‘추적 기반 광고’에 사용하는 ‘동의’ 메커니즘이 일반 개인정보보호법(GDPR)을 위반한다고 결정했다. 특히, 웹사이트가 추적에 대한 사용자 동의를 얻는 방식이 문제다. 빅테크들의 이런 방식을 표준화하는 ‘유럽 인터랙티브 광고 위원회’(IAB)는 GDPR의 유효한 정보 제공 동의 요건을 충족하기 위한 ‘투명성 및 동의 프레임워크’(TCF)를 설정한 바 있다. 바로 이런 프레임워크(TCF)가 GDPR을 위반한 것으로 결론지었다.

특히 문제가 된 것은 빅테크가 디지털 광고 공간 경매에 사용되는 시스템인 ‘실시간 입찰’을 통해 방문자 데이터를 수집하고 공유하는 방식이다. 이미 지난 2022년 벨기에 데이터 보호 당국(DPA)은 이에 대해 유효한 동의 없이 개인 정보를 불법적으로 처리한다고 결정한 바 있다. 이번 EU의 IAB도 25만 유로의 벌금형을 선고받았으며, TCF(트래픽 기반 광고 규칙)를 전면 개정하라는 명령을 받았다.

IAB Europe는 항소했지만, 벨기에 시장법원은 최근 이같은 기존 판결을 지지하며 IAB Europe가 불법적인 동의 프레임워크에 대한 책임이 있다고 결정했다. 다만, 제3자 광고주가 데이터를 다운스트림으로 처리하는 방식에 대한 직접적인 책임은 없다는 점은 인정했다.

비록 그런 일부 무죄가 나왔음에도 불구하고, 현재의 TCF 시스템이 GDPR을 준수하지 않는다는 사실에는 변함이 없다. IAB Europe는 이런 문제를 해결하기 위해 TCF에 대한 개정안을 제출하기도 했다.

다양한 온라인 광고 공간은 광고가 노출되는 개인의 사용자 프로필을 기반으로 하는 경우가 많다. 이를 바탕으로 맞춤형 광고를 추천하며, 개인의 ‘페르소나’가 구체적일수록 더 좋다. 이런 사용자 프로필은 쿠키를 통해 웹사이트와 앱에서 추적한 것이다. 이를 통해 사용자의 행동, 관심사, 검색 기록에 대한 데이터를 수집한다.

광고 스페이스는 ‘실시간 입찰’이라는 프로세스를 통해 획정된다. 광고주는 타겟팅하는 특정 개인에게 광고를 게재할 기회를 얻기 위해 밀리초 단위로 입찰을 실시한다. 광고주에게 제공되는 정보 중 하나는 투명성 및 동의(TC) 문자열이다. 즉, 사용자가 공유에 동의한 데이터와 그 사용 방법을 나타내는 것이다.

TC 문자열은 이론적으로 광고주가 타겟팅 광고를 위해 사용자 데이터를 합법적으로 처리할 수 있는 공간에만 입찰하도록 한다. 이는 IAB Europe에서 개발한 소위 ‘투명성 및 동의 프레임워크’의 구성 요소다. 즉, 광고 스페이스가 있는 웹사이트에서 방문자 (프로필이나 취향, 성향 등)추적에 대한 동의를 얻는 방식을 표준화한 것이다.

하지만 사용자가 특정 광고 쿠키에 “동의합니다”를 클릭할 때, 실제로 사용자가 제대로 그 내용을 인지하고 동의하는가는 의문이다. 즉, 자신의 프로필이나 개인정보에 접근할 수 있는 모든 웹사이트, 광고주, 광고 기술 회사가 어떤 곳인지를 사용자가 제대로 알고 있을까. 현실은 그렇지 않은 경우가 많다.

광고 스페이스에 대한 실시간 입찰 시스템의 복잡성이나 불투명성을 고려할 때, 그럴 가능성은 매우 낮다. 이에 EU법원은 “TCF 문자열이 GDPR의 적용 범위에 속한다”고 판단하면서 “투명성과 사용자 동의 부족으로 인해 TCF는 불충분하고 결과적으로 GDPR을 준수하지 않고 있다”고 결론내린 것이다.