개인정보 넘기지 않기라는 사기(?)

여기 한 기사가 있다.

[단독] 개인정보 엿보는 맞춤광고의 종말

제목 하여 대단하다. 구글의 "프라이버시 샌드박스"라 불리는 기술로 앱에서 개인 정보를 무단으로 가져갈 수 없게 하는 장치라고 한다.

근데 어디서 많이 본 것 같다. 작년에 나온 iOS의 "앱 추적 투명성(App Tracking Transparency)" 정책과 비슷하다. 이 정책도 앱에서 개인 정보를 가져가기 위해선 반드시 사용자의 동의를 얻어야 하는 장치다. 이것과 비슷한 정책을 구글도 곧 추진한다는 이야기다.

이 정책으로 피해를 본 유명한 미국 대기업이 하나 있다. 페이스북이다. 지금은 메타(Meta)로 사명이 바뀌긴 했다. 개인정보를 못 가져가니 개인 타겟 광고를 할 수가 없어서 광고 수익이 줄어들었다는 사실이 언론을 통해 알려져 있다. 광고가 주 수익원인 SNS 입장에선 당연한 이야기다. 유독 타 SNS에 비해 페이스북이 심하게 당하게 했지만 말이다. 물론 이 말은 반대로 페이스북이 지독하게 타겟 광고를 해왔다고도 볼 수 있는 대목이다.

자 그래서 한 회사만 빼고 큰 문제는 없는 것 같은데 뭐가 사기라는 이야기인가?

(Pixabay)

개인정보는 여전히 넘어가기 때문이다

애플의 앱 추적 투명성이나 구글의 프라이버시 샌드박스는 개인정보를 넘기는 것을 막는 장치가 아니라는 설명이 하기 위해선 약간은 부담스러운 기술적인 야이기로 넘어가야 한다.

이전부터 iOS든 안드로이드든 광고를 위한 개인 식별 장치를 마련해 둔 것이 있다. 유명한 IDFA나 ADID다. 특정한 알고리즘으로 생성된 무작위 문자열로써 주민번호처럼 특정 정보가 포함된 데이터는 아니지만 해당 장치의 사용자가 누구인지를 알려주는 정보다. 그리고 이 정보는 해당 장치에서 작동하는 모든 앱에서 오차 없이 얻을 수 있게 되어있었다.

그런데 애플과 구글의 프라이버시 정책은 이 개인 식별 정보가 넘어가는 것을 사용자의 동의를 반드시 받도록 처리한다. 사용자가 동의하지 않으면 앱은 개인 식별 정보 문자열 대신 빈 데이터를 받게 된다. 거기다 아예 무조건 동의하지 않게 할 수도 있고, 혹은 동의하더라도 필요시 사용자가 해당 식별자를 삭제할 수 있도록 한다.

여기서 핵심은 개인정보가 넘어가는 것을 막는다는 것이 아니라 사용자 식별 정보를 알아내는 것을 막는다는 의미다.

물론 이외에도 제3사 쿠키와 관련된 정책이 없는 것은 아니겠지만 핵심은 아닌 것 같다.

반응형

그렇다면 어떻게 되나

개별 앱 단위에서는 바뀌는 것이 없다. IDFA든 ADID든 하나의 앱에서 독자적인 마케팅을 하는 경우에는 해당 식별자를 꼭 쓸 이유가 없고 따라서 크게 영향을 받지는 않는다. 즉 자신의 앱에서 해당 사용자를 추적하기 위한 장치 고유 코드를 생성할 수 있고 해당 앱을 삭제하고 재설치해도 이 코드는 바뀌지 않는다. 물론 다른 앱에서는 다른 식별자를 얻게 되겠지만, 단일 앱에서 직접 독자적인 마케팅을 하는 경우에는 여전히 유용한 개인 식별 정보를 얻을 수 있다. 이를 이용해 개인의 기호나 취향 등의 패턴을 수집할 수 있고 이를 이용한 타게팅 광고도 여전히 가능하다는 말이다.

하지만 단일 앱이 아닌 경우라면 어떨까? 혹은 제3사 마케팅 서비스를 이용하는 경우는 어떨까?

앱 투명성 정책이나 프라이버시 샌드박스가 적용되고 사용자가 개인 식별자를 넘기는데 동의하지 않으면 이제 여러 앱에서 해당 사용자의 정보를 수집해서 취합할 수 없게 된다. 제3사 마케팅 서비스의 경우도 마찬가지로 해당 사용자의 식별자를 이용할 수가 없어서 마케팅에 난감해질 수밖에 없다.

예를 들어 페이스북의 경우 인스타그램 또한 자사 서비스로 보유하고 있는데 기존의 경우 이 두 앱의 사용자 정보를 모아서 하나로 취합하는 게 가능했다면, 이제 사용자 동의 없이는 두 앱의 사용자 정보를 취합하는 것이 힘들어진다. 물론 취합이 불가능하진 않지만 완벽할 수는 없다. 그 외에 광고 마케팅 SDK 등을 이용해 앱 설치를 유도해서 광고료를 지급하는 서비스도 모두 사용이 불가능해진다.

정리하자면 애플의 "앱 추적 투명성" 정책이나 구글의 "프라이버시 샌드박스" 정책은 "사용자 추적을 통제하는 기술이자 정책"이다.

그런데 이를 명확하게 설명해주는 국내 언론이 없다. 그저 개인정보 넘기는 것을 막는다는 수준으로 설명하는데 좀 안타까우면서 답답한 일이다. 개인 정보는 프라이버시 정책이 어떻든 간에 여전히 서비스사로 넘어가고 있는데 말이다. 그저 유일한 개인 식별 정보를 이용해 여러 서비스 간 사용자를 통합 추적할 수 없게 되었다는 것뿐인데 말이다.

물론 그렇다고 해도 이제 "사용자 개인 정보 취합을 위한 광범위한 사용자 추적 행위"에 제동이 걸린 것은 개인 입장에서 환영할 만한 일이다. 이런 정책을 수립한 애플을 칭찬한다. 구글은 애플을 따라하긴 했지만 이런 좋은 정책을 따라 하는 것도 칭찬받을 수 있는 일이다. 그래서 구글도 칭찬한다. 어쨌든 개인 입장에선 좋은 일이다.