양청삼 개인정보보호위원회 조사조정국장이 14일 서울 종로구 정부서울청사에서 ‘구글과 메타의 개인정보 불법 수집에 대한 제재 처분 결과’를 발표하고 있다. 개인정보보호위원회 제공
구글·메타(옛 페이스북)가 이용자 동의 없이 다른 인터넷 누리집이나 애플리케이션에서 검색이나 구매를 한 이력 같은 행태정보를 수집해 맞춤형 광고에 활용하는 등 개인정보보호법을 위반한 것으로 드러나 1천억원에 달하는 과징금을 물게 됐다.
개인정보보호위원회는 14일 전체회의를 열어 구글과 메타에 개인정보보호법 위반 행위 시정 명령과 함께 각각 692억원과 308억원의 과징금을 부과하기로 의결했다. 개인정보보호위가 온라인 맞춤형 광고 플랫폼의 이용자 행태 정보 수집·이용과 관련해 기업에 제재 처분을 내린 것은 이번이 처음이다. 과징금 액수도 지금까지 개인정보 보호 법규를 어긴 기업에 물린 것 중 가장 크다.
앞서 개인정보보호위는 지난해 2월부터 국내외 주요 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태를 점검해 왔다. 개인정보보호위는 구글과 메타가 이용자의 다른 기업 서비스 이용 행위 데이터를 수집하는 과정에서 개인정보보호법이 요구하는 동의 절차를 제대로 밟았는지 중점 조사했는데, 이 과정에서 두 기업이 동의를 구하는 과정에서 ‘눈속임 설계’(다크패턴)를 한 것을 확인했다. 양청삼 개인정보보호위 조사조정국장은 “구글과 메타는 법이 정한 절차에 맞게 동의를 구했다고 주장했지만, 실제로 조사해 보니 이용자가 충분한 정보를 바탕으로 판단한 뒤 능동적으로 동의했다고 보기 어려웠다”고 말했다.
구글에 회원 가입을 할 때 ‘옵션 더보기’를 누르지 않으면 타사 행태정보 수집·이용 관련 설명을 확인하고 동의 여부를 판단하기 어렵다. 개인정보보호위원회 제공
구글의 경우, 이용자가 계정을 만들 때 ‘옵션 더보기’를 눌러야만 타사 행태정보 수집·이용 관련 설명을 접할 수 있게 했다. 또한 기본값을 ‘동의’로 뒀다. 대다수 이용자가 자신도 모르게 동의하도록 사실상 유도한 셈이다. 그 결과 국내 구글 이용자 82% 이상이 행태정보 수집에 동의했다. 개인정보보호위는 “구글이 유럽에서는 관련 설정을 5단계로 구분해 각 단계마다 동의를 구하는 것과 상반된다”고 지적했다.
페이스북은 694줄에 달하는 ‘데이터 정책’ 전문에만 타사 행태정보 수집·이용 관련 설명을 적어 뒀다. 개인정보보호위원회 제공
메타는 행태정보 수집·이용 관련 설명을 공백 포함 1만4천여자, 총 694줄에 달하는 페이스북 데이터 정책 전문에 적어 뒀다. 회원 가입을 하려는 이용자가 긴 스크롤을 다 내리지 않으면, 법정 고지 사항의 구체적 내용을 이해하기는 커녕 발견하기조차 하기 어렵다. 인스타그램의 경우에는 행태정보 수집·이용에 동의하지 않으면 계정을 만들지도 못하게 했다. 그러다 보니, 국내 메타 이용자 92%가 타사 행태정보 수집에 동의하고 있었다. 앞서 메타는 행태정보 수집·이용에 동의하지 않으면 페이스북·인스타그램 등 서비스를 더는 이용하지 못하게 하는 쪽으로 동의 방식을 바꾸려다 여론의 반발에 밀려 철회한 바 있다.
구글·메타의 타사 행태정보 수집·이용 절차. 개인정보보호위원회 제공
애초 개인정보보호위는 지난 8월31일 전체회의에서 메타와 구글에 대한 제재 여부를 결정하기로 했다가 메타와 구글이 추가 자료 제출 뜻을 밝혀 의결을 미뤘다. 메타와 구글은 “(자신들이 아닌) 행태정보 수집 도구를 설치한 외부 누리집·앱 운영 기업들이 개인정보 수집 주체이므로, 이용자 동의 또한 그들이 받아야 한다”고 주장했지만 받아들여지지 않았다. 과징금 산정 기준을 놓고서도 의견이 엇갈렸다. 구글은 “검색 광고와 유튜브 광고 매출은 빼고 네트워크 광고 매출만 놓고 과징금을 산정해야 한다”고 주장했지만 이 또한 받아들여지지 않았다.
윤종인 개인정보보호위원장은 “이용자를 식별해 수집하는 행태정보가 오래도록 쌓이면 개인의 사생활을 심각하게 침해할 우려가 있다”며 “이번 처분으로 플랫폼이 무료로 서비스를 제공한다는 명목 아래 이용자 모르게 개인정보를 수집·이용하는 행위를 근절하겠다”고 말했다.
메타 국내 법인은 “개인정보보호위 결정을 존중한다”면서도 “관련 법을 모두 준수하고 적법 절차에 따라 고객사와 협업하고 있다고 자신하기에, 이번 결정에 동의하기 어렵다”고 밝혔다. 이어 “법원의 판단을 포함한 모든 가능성을 열어두고 사안을 면밀히 검토하겠다”고 밝히는 등 법정 다툼 가능성을 시사했다. 구글코리아는 “이용자의 데이터 통제권과 이에 따른 투명성 제고를 위해 제품을 지속적으로 업데이트하며 최선의 노력을 다해왔다”며 “이번 심의 결과에 깊은 유감을 표한다. 서면 결정문을 면밀히 검토하겠다”고 밝혔다.
양청삼 국장은 “소송 가능성을 염두에 두고 충분한 준비를 하고 있다”고 말했다.
진보네트워크센터, 정보인권연구소, 참여연대 등 시민단체들은 이날 공동 성명을 내고 “수년간 만연해 온 불법 행태정보 수집에 개인정보보호위가 처음으로 제동을 걸었다는 점에서 이번 결정을 환영한다”면서도 “이번 결정은 동의 과정만 문제삼았을 뿐, 맞춤형 광고를 하는 과정에서 발생하는 또다른 개인정보 침해에 대해서는 제대로 다루지 않아 아쉬움이 남는다”며 추가 조사와 조치를 촉구했다.
한편, 네이버와 카카오 등 국내 플랫폼들도 이번 조사 대상에 포함됐지만 제재 대상에선 빠졌다. 개인정보보호위는 “구글과 메타가 타사 행태정보를 자사 계정정보와 결합해 여러 기기에 걸쳐 이용자 관심사를 추적하는 것과 달리, 네이버와 카카오는 타사 행태정보와 이용자 계정정보를 결합해 이용하진 않는다”고 설명했다. 이어 “국내 기업의 법 위반 여부 또한 계속해서 조사할 것”이라고 덧붙였다.
정인선 기자
ren@hani.co.kr