네덜란드 비영리단체 프라이버시 콜렉티브(Privacy Collective)는 올해 8월 미국 기업 세일즈포스(Salesforce)와 오라클(Orcale)을 암스테르담 지방법원에 제소했다. 유럽연합 개인정보보호규제(EU GDPR)를 근거로 삼은 이 소송의 초점은 오라클과 세일즈포스가 웹브라우에서 쿠키(cookie)를 생성할 때 유럽 지역에 거주하는 시민들의 데이터 동의를 받지 않았고, 오용했다는 것이다.
이용자들이 방문하는 웹사이트에서 웹브라우저가 떨구는 작은 쿠키 조각을 이용한 데이터 수집 방식은 전자상거래와 온라인 비즈니스에서 오래된 관행이다. 아마존닷컴(Amazon), 부킹닷컴(Booking), 드롭박스(Dropbox), 스포티파이(Spotify)처럼 사람들이 많이 몰리는 웹사이트들은 제3자 쿠키(third party cookie)를 대부분 허용해 왔다.
컴퓨터 하드 드라이브에 남겨지는 쿠키를 열어보면 이용자들이 방문했던 웹사이트들의 정보와 고유 식별자가 들어 있다. 요즘에는 플래시 플레이어(Flash Player)의 플러그인을 타고서 쿠키가 깔리기 때문에 제거하기 까다로워 졌다. 쿠키에는 이용자의 행태 정보나 로그인 상태 정보가 담겨 있어 탈취되면 악용될 수 있다. 하지만 쿠키 자체가 개인정보를 침해한다고 단정하는 것은 과민반응일 수 있다.
쿠키를 이용해 웹사이트에 방문한 이용자의 선호도, 소비패턴, 관심사를 파악해 타겟팅 광고를 집중하는 방식은 애당초 뉴욕시에서 1995년에 설립된 더블클릭(Doubleclick)이란 신생회사가 특허권을 따낸 아이디어였다. 2008년 구글은 더블클릭을 사들여 애드센스(AdSense)라는 광고 비즈니스 모델을 만들었고 막대한 광고수익을 거두고 있다.
2001년에는 더블클릭의 쿠키가 프라이버시 침해를 이유로 소송이 걸렸지만 당시 뉴욕 남부 연방법원은 쿠키를 사용한 광고방식이 미국 실정법을 위반하지 않았다고 판결했다. 그 이후 이십여년이 흘렀지만 디지털 개인정보의 보호를 실질적으로 강화하기 위한 연방법규 제정은 아직도 논의 중에 있다. 그런데 변화는 외부로부터 찾아왔다.
2018년 5월부터 유럽연합 일반 데이터 보호규제(GDPR)가 시행되기 시작하자 EU 권역 밖에 본사를 둔 글로벌 IT기업들도 준수의무를 부담하게 된 것이다. 유럽에서 비즈니스를 하려면 미국 기업은 유럽의 법을 따라야 한다. GDPR시행 이후 미국 IT 기업들을 상대로 하는 '데이터 집단소송'은 크게 늘어나는 중이다. 메리어트 호텔 체인은 해킹 공격을 받은 이후 고개들의 예약 데이터베이스 정보를 비식별화 하지 않고 보관했다는 사실이 드러나 과징금을 부과 받았다.
이번에 GDPR 준수의무을 위반했다고 제소당한 글로벌 1위 고객관계관리(CRM) 솔루션 기업 세일즈포스 본사는 샌프란시스코에 있다. GDPR이 시행되던 첫날부터 오스트리아의 프라이버시 변호사 막스 슈렘스(Max Schrems)는 구글과 페이스북을 제소했다. 구글과 페이스북이 이용자에게 선택권 없이 일방적으로 이용 약관 동의를 강요하는 방식이 GDPR에 규정된 동의권을 제대로 보장하지 않는다는 이유에서였다.
실제로 이용자 입장에서는 모바일앱이나 웹사이트의 개인정보 처리방식에 강한 의문이 든다고 해도 동의 버튼을 누르거나 아니면 서비스 계정을 사용하지 않는 방법 밖에 없다. 현실이 이렇다보니 앱이나 웹사이트 이용약관을 전혀 살펴보지 않고 동의를 클릭하는 사람들도 많아졌다.
GDPR이 시행된 이후 유럽의 웹사이트를 방문하는 사람이라면 쿠키 수집을 거부하겠느냐, 혹은 일부 또는 전부 동의하겠느냐를 묻는 팝업창이 크게 늘었음을 피부로 느꼈을 것이다. 이 때 이용자로서는 개인정보 수집을 전부 허용하거나 특정해 허용할 수도 있다.
그렇지만 GDPR이 규정한 ‘옵트아웃(opt out)’ 권한이 실제로 보장되지 않고 있다는 비판의 목소리가 여전하다. '옵트아웃'이란 정보주체가 자신의 데이터 제공을 거부하겠다는 의사를 밝히면 그 데이터 활용을 중지하는 걸 말한다. 제3자 쿠키가 GDPR 규정을 준수해 이용자 동의를 받지 않고 개인정보를 수집한다는 우려와 불만이 계속되자 구글은 크롬(Chrome) 브라우저가 제3자 쿠키를 지원하지 않도록 2년 내에 설계를 변경하겠다는 계획을 발표했다. 구글이 내린 이 결단이 그대로 실현된다면 제3자 쿠키에 의존하는 현재의 타겟팅 광고 관행은 상당한 변화가 불가피 할 전망이다.
현재 벌어지는 데이터 집단소송이 보여주는 것은 데이터를 최대한 수집해 활용하려는 그룹과 개인의 민감한 데이터가 무방비로 노출될까봐 불안을 느끼는 그룹간 대결이 여전히 첨예하다는 점이다. 서로가 만족하는 균형을 찾는 데는 시행착오와 시간이 걸릴 것으로 보인다.
GDPR 준수 의무를 위반했거나 데이터 처리 방식이 불법이라는 이유로 제기되는 소송은 더 늘어날 것으로 보인다. 최근 유럽에서 제기된 데이터 소송의 과징금 규모는 100억 유로에 이른다. 한화로는 13조원이 넘는 돈이다. GDPR 규정을 심각하게 위반했다면 '2000만 유로(약 262억 원) 또는 '전 세계에서 거둔 연간 매출액 2%’가 과징금으로 부과된다.
국내에서도 GDPR 규제를 수용한 개인정보보호법이 개정되어 올해 8월부터 시행에 들어갔다. 특정 개인의 신원을 알아내려고 가명정보를 처리하는 행위는 불법이며, 전체 매출액 3%까지 과징금이 부과되고 손해배상 청구도 가능하다.
우리나라에도 개인정보 보호법규, 시행령, 가이드라인이 새로 만들어졌지만 아직 논란의 여지는 남아있다. 유럽에서는 ‘동의 없는 쿠키 수집’이 문제되었지만 국내에서는 데이터 3법이 통과된 이후 시행령 제정을 둘러싸고 ‘가명정보 결합과 반출’ ‘보관기간’이 초미의 관심사로 부각됐다. 실제 어디까지가 합법적 개인정보 이용이고 어디부터가 위법한 것인가 등이 모호한 경우가 여전히 많으며 그 불명확성은 보이지 않는 ‘비용’이 되고 있다.
개인정보보호법 적용은 개인 데이터를 수집해 분석하는 관행을 갑작스레 불법으로 판단하기보다 업계가 합법적 데이터 활용을 위한 '최선의 실무(best practice)'를 찾아가도록 유도하는게 바람직하다. 기업도 이제는 무심코 유지해오던 고객 데이터 수집관행을 다시 되돌아보고, 기업 내 데이터 자산과 고객이 통제권을 가지는 개인정보를 구분해 다루려는 의식적 노력을 기울여야 할 때가 됐다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.