[정은진의 기술을 기술하다](3)개인정보 수집 및 이용에 동의 누른 순간…사용자, 타깃이 되다

웹·앱상에서의 ‘추적’

일러스트 | 김상민 기자 yellow@kyunghyang.com

코로나19가 한창이던 어느 날 기분 전환 삼아 하와이행 비행기표를 검색해보았다. 웹브라우저에서 검색 결과를 후루룩 훑어보고 닫은 다음 사회관계망서비스(SNS) 창을 열었는데, 중간에 하와이 호텔 광고가 있었다. 분명히 내가 사용한 비행기표 검색 서비스 회사와 SNS를 만든 회사는 다른 곳인데, 어떻게 내가 방금 뭘 검색했는지 SNS 회사가 아는 걸까?

웹사이트 방문내역 추적 기술

웹브라우저서 비행기표 검색 후
SNS서 호텔 광고 나오는 이유는
고유 정보 ‘쿠키’가 활용됐기 때문

이 현상을 설명하려면 먼저 웹서핑 내역이 어떻게, 누구에 의해 추적되는 것이 가능한지 설명해야 한다. 아주 큰 쇼핑몰 곳곳에 설치된 보안카메라의 성능이 매우 우수해서, 사람들의 얼굴을 인식할 수 있다고 해보자. 얼굴을 인식한다고 해서 이 사람의 신원을 알 수 있는 것은 아니지만, A매장에 2시에 들어간 사람과 B매장에 3시에 들어간 사람이 동일인이라는 것은 알 수 있다. 그 매장에서 어떤 물건을 사지 않아도, 매장에 들어가서 나올 때까지 얼마나 시간을 보냈는지도 알 수 있고, 손에 들고 있는 쇼핑백까지 인식하면 어느 매장에서 구매를 했는지도 알 수 있다. 매장 안에 있는 카메라까지 이용할 수 있다면 어떤 물건을 손에 들었다 놓았는지, 결국 어떤 물건을 구매했는지도 알 수 있다. 이렇게 모은 정보를 살펴보고, A매장에서 고객이 휴대폰을 샀다면, B매장에 같은 고객이 왔을 때 매장 직원이 휴대폰 케이스를 추천하도록 유도할 수도 있다.(기술적으로는 지금도 가능한 시나리오다. 보안카메라에 찍힌 영상은 보안 목적으로만 사용하게 되어있어서 실제로 구현되어 있지는 않다.)

안면인식 대신에 웹사이트들이 사용하는 것이 바로 ‘쿠키’다. 사용자가 방문하는 거의 모든 웹사이트에서 사용자의 웹브라우저에 ‘쿠키’라는 아주 작은 파일을 저장한다. 이 파일에는 보안카메라가 처음 찍은 얼굴 사진 같은 사용자의 고유 정보가 들어있어서, 사용자가 같은 웹사이트를 방문하면 자동으로 이 정보를 웹사이트에 전송한다. 웹사이트는 이 정보를 보고 사용자의 이름으로 반겨준다거나, 사용자의 지난 구매목록에 기반한 추천 상품을 보여준다거나 하는 맞춤 서비스를 제공할 수 있다. 여기까지는 A매장에 자주 가는 고객이 회원카드를 만들어서 본인의 취향에 맞는 서비스를 받는 것과 크게 다르지 않다.

하지만 위의 예에서 보안카메라를 설치하는 주체가 각 매장이 아니라 쇼핑몰인 것처럼, 사용자가 방문한 웹사이트(매장)가 아닌 마케팅과 고객 취향 분석을 전문으로 하는 제3의 서비스도 사용자의 웹브라우저에 쿠키를 저장한다. 마찬가지로 우리가 쇼핑몰 안의 보안카메라가 어디에 있는지 의식하지 않듯이, 이 쿠키를 저장하고 전송받는 프로그램은 사용자가 방문하는 웹사이트들에 보이지 않게 포함되어 있어서, 웹서핑을 하다보면 어느새 우리의 웹브라우저에 쿠키들이 차곡차곡 쌓이고, 이 쿠키들이 매장이나 고객이 아니라 제3자인 회사에 우리의 웹사이트 방문 내역을 알려주게 된다.

A매장 앞의 보안카메라와 B매장 앞의 보안카메라가 신원은 확인할 수 없어도 같은 사람이 두 매장에 들어간 사실을 인식하는 것처럼, 제3의 서비스는 각 사용자가 누구인지는 몰라도 같은 사용자가 A웹사이트와 B웹사이트를 방문했다는 것을 알 수 있다. 나아가 A웹사이트에서 사용자가 하와이를 검색했다는 정보를 얻은 다음, B웹사이트에 같은 사용자가 방문했을 때 하와이 호텔 광고를 보여주는 것도 가능하다. 이렇게 검색어와 연동된 광고를 보여준다든가 하는 방법으로 소비자의 현재 관심 분야를 타깃으로 삼는 광고를 ‘타깃 마케팅’이라고 한다.

모바일 앱을 통해서도 추적 가능

요즘은 상당 부분의 검색이나 쇼핑이 휴대폰에서 이루어지고, 특히 앱을 사용하는 경우가 많다. 휴대폰에는 쿠키를 대신해주는, 어쩌면 사용자 추적을 더 용이하게 해주는 기기 고유 아이디가 있다. 쿠키는 처음 방문하는 웹사이트에서는 익명성을 유지할 수도 있지만, 기기 정보는 지우거나 변경하기 쉽지 않고, 처음 사용하는 앱에도 제공되며, 모든 앱에 같은 값이 제공된다. 애플 기기에는 IDFA(IDentifier For Advertisers)가 있고, 구글 기기에는 ADID(Google ADvertising ID)가 있다.

무료로 제공되는 게임이나 쇼핑, 뉴스 앱들에는 보통 광고가 포함되어 있다. 이들 광고는 이 앱들을 제공하는 업체와 직접 계약하는 것이 아니고, 구글 애드몹이나 카카오 광고 같은 광고 제공 서비스와 계약한다. 앱을 만들 때 각 사용자에게 맞춘 광고를 보여줄 공간을 지정하고, 그 자리에 광고 제공 서비스의 코드만 넣어주면 된다. 이렇게 여러 앱에서 같은 광고 제공 서비스를 사용할 경우, 여러 웹사이트가 같은 마케팅 서비스를 사용하는 것과 같은 원리로 사용자의 앱 사용 내역이 광고 제공 서비스에 알려지게 되는 것이다. 그러면 이 광고 제공 서비스는 기기 고유 아이디를 이용해서 어떤 사용자인지 파악하고, 사용자에게 맞춘 광고를 앱 안에서 보여준다.

테크기업들의 대응

앱선 기기 고유 아이디가 쿠키 역할
제3자인 회사에 쌓이는 정보들은
검색어와 연동된 광고 등으로 활용

쿠키가 사용자의 방문내역을 수집하는 데 이용되는 것에 대한 우려의 목소리는 1990년대 말에도 있었다. 하지만 제3자 쿠키를 제한하면 사용자 맞춤 광고를 제공하기 어려워지는 만큼, 광고 수익이 주수입원인 기업에서 쿠키 사용을 자발적으로 제한하기는 어렵다.

오픈 소스 브라우저 파이어폭스를 개발하는 모질라는 2003년부터 기본 설정에서 제3자 쿠키를 제한했다(설정을 변경하면 사용 가능하다). 다른 테크 대기업에 비해 광고 수익에 대한 의존도가 낮은 애플은 2020년 3월부터 자사의 웹브라우저인 사파리에서 제3자의 쿠키를 제한하도록 기본 설정을 바꿨다. 애플과 달리 광고 수익에 대한 의존도가 높지만, 자사의 플랫폼을 이용해서 쿠키를 대체하기 쉬운 구글도 2023년까지 자사 웹브라우저 크롬에서 제3자 쿠키에 대한 대안을 제공하겠다고 발표했다. 휴대폰 기기의 고유 아이디도 비슷한 과정을 거치고 있다. 2021년 애플은 IDFA, 기기 고유의 아이디를 앱이 사용하려면 사용자의 동의를 받도록 했고, 구글도 올해 말부터 사용자가 개인 맞춤 광고를 원하지 않으면 앱에 ADID를 제공하지 않기로 했다.

디지털 광고업계는 ‘제3자 쿠키의 종말’에 이어 기기 고유 아이디의 사용까지 크게 어려워지자, 사용자 맞춤 광고를 제공하는 서비스들이 당분간 혼란의 시기를 겪을 것으로 보고 있다. 일례로 페이스북 앱은 애플의 IDFA 정보를 이용해 특정 사용자층을 겨냥하는 광고를 제공해왔는데, 애플이 IDFA를 사용하기 어렵게 만든 뒤로 2021년 4분기 순이익이 8% 감소했고, 2022년 광고 매출이 약 12조원 감소할 것이라는 예측을 내놓아 주가가 26%나 폭락했다.

플랫폼의 영향력

건재한 플랫폼의 영향력 안에서
익숙해진 ‘맞춤 광고’의 편리 뒤엔
기업의 영리·투자자의 이익 있어

쿠키가 사라지고 기기 고유의 아이디 사용이 까다로워져도, 플랫폼의 영향력은 건재하다. 구글의 미국 검색 엔진 시장 점유율은 89%에 육박하고, 구글의 웹브라우저 크롬은 2021년 12월 기준으로 미국 PC 웹브라우저 시장의 67%를 점유하고 있다. 하와이행 비행기표를 구매하기 위해 구글의 검색엔진이나 브라우저를 쓰지 않아도, 비행기표를 구매한 사이트에 G메일을 이용해서 가입하면 이메일로 비행기표 상세 내역이 오므로 사용자의 구글 계정에 그 정보가 기록된다. 이 사용자가 구글 광고를 사용하는 어느 웹사이트나 앱을 사용해도, 하와이 호텔 광고를 볼 수 있다(구글에 광고 공간을 제공한 웹사이트는 광고 매출의 일부를 나누어 받을 수 있다). 이렇게 사용자의 생활 전반에 사용되는 플랫폼은 쿠키나 기기 고유 아이디 없이도 사용자가 어떤 광고에 노출되는지에 큰 영향력을 미친다.

사용자를 위한 보호 장치 필요

“회사가 무료 서비스 제공한다면
회사는 당신을 팔고 있다” 말처럼
불공정 알기 어려운 비대칭구조

어느 웹사이트를 방문해도 맞춤 광고가 보이는 것에 익숙해지다 보면, 수집된 개인정보가 반드시 우리의 안전이나 편리를 위해서가 아니라 기업의 영리를 위해, 투자자들의 이익을 위해 무분별하게 사용되고 우리의 프라이버시를 침해할 수 있다는 점을 잊기 쉽다.

아마존의 스마트스피커인 알렉사가 사용자들이 알렉사를 사용하지 않을 때의 대화까지 녹음해서 인공지능 개발에 사용했다가 문제가 된 사건이 한 예다. 미국의 유명 쇼핑체인인 타깃은 10대 여성에게 신생아용품 광고를 보내서 큰 구설에 오르기도 했다. 그 여성의 아버지가 노발대발하며 항의 편지를 보냈지만, 그 여성은 실제로 임신 중이었다. 가족에게도 알리지 않은 임신 사실을 타깃이 먼저 알았던 것이다.

맞춤 광고 서비스가 악용되는 경우도 있다. 페이스북은 사용자의 성별, 인종, 거주지역 등을 수집하고, 광고주들이 이 정보를 이용해서 특정 사용자들에게 집중적인 홍보를 하도록 해준다. 2019년 테러리스트들이 이 서비스를 통해 자신들의 프로파간다를 10대 청소년에게 집중적으로 퍼뜨린 사건이 있었다.

대부분의 사용자들은 이런 사건이 보도될 때에만 문제가 있었다는 것을 알게 될 뿐, 어떤 정보가 수집되고 어떻게 이용될지 결정하는 과정에 참여하지 못한다. 테크기업들이 사용자 보호를 내세우며 쿠키와 기기 고유 아이디 사용을 제한하는 데에는, 경쟁사를 압박하고 브랜드를 보호함으로써 기업과 투자자의 이익을 늘리기 위한 목적도 분명히 존재한다. 그러다보니 사용자의 개인정보를 보호하는 일은 정부의 몫이 된다. 우리나라의 개인정보 보호법이나 유럽연합(EU)의 개인정보보호법령(GDPR)은 개인정보를 수집할 때, 반드시 정보주체의 동의를 얻도록 명시하고 있다. 웹사이트에서 “개인정보 수집에 동의하십시오”라는 문구가 나오게 된 배경이다. 하지만 많은 사용자가 오히려 이 과정을 불편하게 여긴다.

“어느 회사가 당신에게 무료 서비스를 제공한다면, 그 회사는 당신을 팔고 있다”는 말이 있다. 구글과 페이스북을 무료로 사용할 수 있는 이유는, 두 회사가 사용자 정보를 수집해서 맞춤 광고를 파는 것으로 큰 수익을 낼 수 있기 때문이다. 이 구조는 우리에게 비대칭적인 관계를 강요한다. 우리가 사용하는 서비스는 우리에 대해 아주 많이 알게 되고, 우리는 그 서비스가 얼마만큼의 개인정보를 수집해서 어떻게 사용하는지 거의 알지 못한다. 이렇게 비대칭적인 관계는 불공정해지기 쉽고, 불공정해져도 모르기 쉽다. 알렉사가 모든 대화를 녹음하지 않게 된 것은 여론의 비난이 거셌기 때문이다. 불공정한 관계가 되지 않도록, 혹 그렇게 될 경우 옳은 방향으로 여론을 모으기 위한 지속적인 경계와 관심이 필요하다.

▶정은진 교수

[정은진의 기술을 기술하다](3)개인정보 수집 및 이용에 동의 누른 순간…사용자, 타깃이 되다

서울대 전산과학과를 졸업하고 미국 오스틴에 있는 텍사스주립대학에서 전산과학 석·박사 학위를 받았다. 현재 샌프란시스코대학 부교수로 재직 중이다. 분산시스템과 인터넷에서의 보안을 연구했고, 최근에는 게임이론을 이용해서 합리적인 사람들이 블록체인처럼 탈중앙화된 시스템을 안전하게 사용할 수 있게 해주는 방법을 연구하고 있다. 최신 기술의 발전을 가까이 볼 수 있는 실리콘밸리에서 컴퓨터과학을 오래 가르치면서 기술이 사회에 미치는 영향에 대해 깊이 생각하게 되었고, 그 영향력을 선한 방향으로 이끌어가기 위해서는 더 많은 사람들이 기술을 쉽게 이해할 수 있어야 한다고 믿는다.

웹사이트 온라인 광고