디지털 광고 환경의 쿠키리스와 개인 정보 보호법 이슈 대응 방안

 최근 구글, 메타 과징금 부과 사건이 발생했습니다. 이 사건은 이용자 동의 없이 이용자의 타사 행태 정보를 수집하여 온라인 맞춤형 광고에 활용함으로써 개인정보보호법 제39조의 3 제1항을 위반하여 구글은 692억, 메타는 308억의 과징금이 부과된 것입니다. 이는 개인 맞춤 광고를 하던 방식이 개인 정보 보호가 강화되는 현실에서 크게 바뀔 수 있다는 것을 시사하고 있습니다. 그럼 관련해서 현황 및 대응에 대해 알아보도록 하겠습니다.

 

1. 디지털 광고 시장 및 개인화 마케팅 현황

 국내 총 광고 시장 규모는 22년 기준 18.7조로 디저털 광고는 11조로 규모로 비약적인 증가를 하고 있습니다. 이 11조 중 모바일이 9조, PC 광고가 2조 원 규모로 모바일 강세 시장입니다. 디지털 광고의 유형은 동영상 타입이 21년에는 24.3%에서 22년은 28.4%로 인플루언서 광고는 8.7%에서 10.8%로 증가했습니다. 배너 광고는 35.7%에서 31.6% 수준으로 감소하였으나 디지털 중 가장 큰 비중을 차지하고 있습니다. 동영상 광고가 증가하는 이유는 커머스 형태의 광고 많아지기 때문입니다. 개인 맞춤형 광고 환경 변화에 가장 큰 영향을 받게 될 유형은 전체 60% 수준인 동영상 광고와 배너 광고 영역일 것으로 예상됩니다.

 국내 메인 디지털 매체 규모는 21년 기준 네이버가 3조 2,905억 원으로 전년비 17% 성장, 카카오가 2조 1,364억 원 매출로 전년대비 34% 성장을 했습니다. 해외 메인 디지털 매체 규모는 한국 시장에 대한 수치는 명확하게 나오는 게 없어 글로벌 기준으로 봤을 때 구글의 경우 광고 매출이 전체 매출의 80%를 차지하고 있고 구글 광고는 검색엔진, 네트워크, 유튜브 광고로 구성되어 있습니다. 인스타그램의 경우 21년 페이스북 전체 광고 매출의 52%를 차지하며 23년까지 60% 점유율이 예측되지만 애플의 개인정보보호 조치에 따라 예상 성장이 낙관적이지만은 않다는 의견도 많습니다. 페이스북의 경우 22년 2분기 매출액이 2016년 이후 처음 전년 동기 대비 1.4% 하락했고 전체 매출 44% 차지하는 북미에서 이용자 100만 명이 이탈했습니다. 이는 개인 정보 침해로 인한 이탈입니다. 

 디지털 맞춤형 광고의 종류는 국내 맞춤형 광고와 해외 맞춤형 광고가 있습니다. 국내 맞춤형 광고는 네이버, 카카오 등 포털 중심으로 진행되며 다양한 생활 서비스의 데이터 활용하고 있고 해외 맞춤형 광고는 구글, 메타, 아마존 중심으로 애드테크 기술을 활용한 글로벌 기업 중심으로 운영하고 있습니다.

 디저털 광고의 규모 및 개인 맞춤 광고 형태를 감안할 시 개인 정보 보호의 강화는 광고 시장에 상당히 많은 영향을 줄 것으로 예상됩니다.

2. 디지털 개인화 마케팅 기술

 디지털 개인 맞춤형 광고는 이용자의 행태정보를 처리하여 이용자의 관심, 흥미, 기호 및 성향 등을 분석, 추정한 후 이용자를 지속 추적해 맞춤형으로 제공하는 온라인 광고를 말합니다. 여기서 말하는 행태정보는 웹사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등을 말합니다. 이런 행태 정보는 이용자의 라이프 스타일 등이 추정이 가능합니다. 이용자를 지속 추적한다는 것은 쿠키, 디바이스 아이디 등을 사용해 지속 추적 노출을 하는 것을 말합니다. 

 여기서 디지털 맞춤형 광고의 생태계를 알아야 합니다. 아래의 그림과 같습니다. 

디저털 맞춤형 광고 생태계

• Publisher : 웹, 앱 서비스 제공자
• SSP : 웹사이트의 광고 공간에 광고를 채워주는 회사
• DSP : 광고주가 광고 공간을 효율적으로 구매할 수 있도록 도와주는 회사
• Ad Network : 광고 제고를 예매할 수 있는 중개회사
• Ad exchanger : SSP와 DSP가 실시간 경매를 할 수 있는 중계 시장

 이런 생태계 관계도에 따라 앱의 다운로드 그리고 포털의 검색 기록을 연계해서 광고가 노출되게 됩니다.

 

3. 국내외 개인 정보 보호법 현황과 대응 방안

1) 미국의 규제

 FTC의 가이드라인에 따른 자율규제가 원칙이며 권고적 성격을 띠고 자율 규제 기구의 판단에 따릅니다. 

 ■ 규제 가이드라인

① 투명성과 소비자의 통제권

     - 데이터 수집 시 눈에 잘 띄게 고지 및 선택권 부여

     - 선택 시점은 그 수집 시점 즉시 'Just In Time'

② 합리적 보안과 소비자 정보 보유 기간 제한

③ 적극적이고 명시적인 동의가 필요한 영역

    ㆍ수집 시점에 약속과 중대하게 다른 방법으로 데이터 사용 시

    ㆍ행태정보 이용 광고를 위해 민감 소비자 데이터 수집 및 사용

    - 민감 정보에 기초해 소비자를 타켓팅하도록 설계된 서비스

    - 민감 정보 개념은 의존적, 재정정보, 아동 관련 정보, 건강 정보, 정확한 위치 정보, SSN

2) EU의 규제

 GDPR, 개인 정보 보호에 관한 규제와 E-Privacy Directive- 통신비밀에 관한 규제로 디지털 맞춤 광고를 규제하고 있습니다.

 

① GDPR 하의 개인정보 개념

 개인 정보란 식별 또는 식별 가능한 자연인과 관련된 모든 정보를 말합니다. 

 식별 가능한 자연인은 직간접적으로 특히 이름, 식별번호, 위치 데이터, 온라인 식별자 또는 하나 이상의 식별자를 참조하여 식별할 수 있는 사람을 말합니다.

→ GDPR하에서는 쿠키값과 Device ID도 개인정보에 속하게 될 가능성이 높습니다.

 

② GDPR하의 프로파일링의 개념

 자연인의 업무성과, 경제적 상황, 건강, 개인적 선호, 관심사, 신뢰도, 행태, 위치 또는 이동에 관한 측면을 분석하거나 예측하기 위해 행해지는 경우로서, 자연인에 관련한 개인적인 특정 측면을 평가하기 위해 개인정보를 사용하여 이뤄지는 모든 형태의 자동화된 개인정보의 처리를 의미합니다.

 

③ 통신 프라이버시에 관한 규제

 쿠키 등 추적 장치를 이용한 행태 정보 수집에 관한 규제, 개인 정보 여부와 무관하게 적용됩니다.

 

 GDPR하에서는 온라인 행태 정보를 맞춤형 광고 목적으로 사용하는 것이 어려운 수준입니다.

 

① 정보의 처리는 다음 중 하나가 적용되는 경우 그러한 적용 범위 내에서만 적법합니다.

ㆍ정보 주체가 하나 또는 그 이상의 구체적 목적으로 처리에 대하여 동의한 경우

ㆍ정보 주체 당사자의 계약 이행을 위하여 필요한 경우

ㆍ제삼자가 추구하는 정당한 이익을 위하여 필요한 경우 

→ 계약의 이행과 이익 추구에 대해 좁게 해석

 

② 자기 고객 대상 마케팅 목적의 프로파일링도 서드파티에 제공될 경우 정당한 이익 행위로 불인정

 

③ 동의 요건 준수 가능성을 높일 것

 

④ 동의만큼 쉬운 철회 가능성이 있을 것

 

 E-Privacy Directive : 통신 프라이버시 보호법 상에서 디바이스 아이디는 쿠키와 같이 취급하여 GDPR의 규정을 따릅니다.

 

① Adid IDFA 등 식별자는 쿠키와 같이 취급(2019.07.04)

 

② 명확하고 이해하기 쉬운 정보를 제공받은 후 동의

 - 이 규정이 적용되는 경우 GDPR에 따라 동의한 경우에만 법적 근거로 인정되며 GDPR의 동의 요건을 따라야 함

3) 해외 및 국내 개인 정보 법률의 차이

■ 국내 개인 정보 보호 관련 법률 현황

• 개인정보보호법, 신용정 보법, 정보통신망법을 통칭하여 이른바 데이터 3 법이 2020년부터 시행되고 있습니다.
• 식별 정보와 비식별 정보 모두 사전 동의 원칙을 따른다는 점에서 미국과 유럽과 차이가 있습니다. 
• 결합 없이 특정 개인을 알아볼 수 있는 정보인 가명 정도도 개인 정보로 분류
• 개인정보보호 감독 및 집행 체계를 개인정보보호위원회로 일원화하여 법제 정비 및 관리 감독 수행
• 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인 정보 이외의 개인 정보를 제공하지 아니한다는 이유로 서비스의 제공을 거부해서는 안됩니다.

구  분	미  국	유  럽	한  국
법  률	연방법으로 규제	GDPR(일반개인정보보호법)	개인정보 보호법 등
식별정보	민감 정보만 사전 동의	기본 비동의 설정	사전 동의
비식별 정보	사후 동의	통신프라이버시법에 의해 식별정보에 준하는 처리	사전 동의
비  고	비식별 정보 보호 대상 아님	식별, 비식별 정보 모두 강하게 규제	비식별 정보에 대한 정의 없음

4) 정책 환경 변화에 따른 빅 테크 기업의 대처 방안

 해외 규제로부터 큰 영향을 받고 있는 구글, 메타, 크리테오 등의 해외 매체에서 국내보다 먼저 개인정보를 침해하지 않는 방식의 타기팅이 개발되고 있습니다. 구글 프라이버시 샌드박스, 페이스북 전환 API, 크리테오 문맥 타켓팅 등이 있습니다. 

 

→ 디지털 광고 관련 이슈는 광고계의 대응만으로 이뤄질 문제가 아닌 광고주의 마케팅 효율부터 인터넷 이용자의 혜택까지 이어지는 모두의 문제입니다. 이에 디지털 마케팅 주체들의 종합적 대응이 필요합니다.