트렌드

검색엔진은 왜 내 개인정보에 군침 삼킬까

2014.07.04

누군가 어젯밤 내가 인터넷에서 한 일을 속속들이 안다면 어떨까. 등골이 서늘할 것 같다. 그런데 지금 이 순간에도 이런 일이 벌어지고 있다. 지금, 당신의 컴퓨터에서.

개인정보 수집하는 검색엔진

검색엔진은 개인정보를 수집한다. 개인정보란 주민등록번호처럼 개인을 특정할 수 있는 정보다. 모든 성인에게 주민등록번호가 부여되는 한국에선 주민등록번호만 알면 그 사람이 누구인지 단박에 알 수 있다. 그래서 사람들은 주민번호가 유출됐다고 하면 민감하게 반응한다.

이름과 전화번호, 주소, 금융정보 등 몇 가지 정보를 한 곳에 모으면 그 사람을 특정할 수 있는 정보 역시 개인정보로 본다. 한국 법원이 어떤 정보까지 개인정보로 보고 보호하는지는 사안에 따라 다르다. ‘리니지’ 로그인 정보 유출 사건 때는 회원 아이디와 비밀번호도 개인정보라고 판단했다.

구글, 네이버, 다음, 4개 검색엔진이 어떤 개인정보를 수집하는지 ‘개인정보 취급방침’을 확인했다. 회사마다 표현은 조금씩 다르지만 내용은 비슷하다.

search_engine_privacy_ToS_collage_01

안전행정부가 개인정보보호법을 개정해 올 8월7일부터 주민등록번호 수집을 금지한다고 발표한 뒤, 검색엔진은 주민번호처럼 개인을 바로 특정할 수 있는 정보는 요구하지 않는다. 대신 이름과 전화번호 등 간접적으로 신분을 확인할 수 있는 정보를 받는다. 개인 식별 정보 외에 부가적인 정보는 서비스마다 따로 받는다. 인터넷 쇼핑할 때 결제 정보를 받는 식이다.

명분은 그럴싸하다. 내게 상품을 배달하려면 내 주소와 전화번호가 필요하니까. 문제는 검색엔진이 가져간 사용자 개인정보를 자사 서비스를 제공하는데만 쓰지 않는다는 점이다.

서비스 한다며 모은 사용자 개인정보, 마케팅·광고에도 활용

정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)에 따라 검색엔진이 고지해 둔 ‘개인정보 취급방침’을 들여다 봤다.

네이버는 개인정보를 수집하고 이용하는 이유가 서비스를 제공하고 회원을 관리하기 위해서라고 개인정보 취금방침에 밝혀뒀다. 또 개인정보를 신규 서비스 개발과 마케팅·광고에도 활용한다고 밝혔다. 이 ‘마케팅·광고’가 검색엔진이 내 정보를 탐내는 진짜 이유다.

search_engine_privacy_ToS_collage_02

검색엔진 밥줄은 사용자가 아니라 광고주

검색엔진은 광고비로 먹고 산다. e메일이나 카페 같은 공짜 서비스를 미끼로 사용자를 모은 뒤, 이 사용자를 광고주에게 연결해 주며 돈을 번다. 지상파TV가 방송 프로그램을 공짜 보여주며 시청자를 모은 뒤 이들을 광고주에게 소개해주고 광고료를 받는 것과 수익 구조가 같다.

광고주 입장에서는 불특정 다수 100만명보다 내 상품을 살만한 고객 1만명이 더 중요하다. 삼성전자가 노트북 광고를 한다면 어떨까. 전자제품에 관심 없는 노년층에게 맨날 광고를 보여줘도 노트북 판매량은 늘지 않을 것이다. 반면 노트북 쓸 일이 많은 대학생이나 젊은층은 노트북을 살 확률이 크다. 이들을 상대로 광고를 하면 광고비를 덜 쓰고도 더 큰 효과를 얻을 수 있다. 이런 이유 때문에 광고주는 자사 상품을 살만한 사람에게만 광고를 보여주는 ‘타깃 광고’를 선호한다.

타깃 광고를 하려면 ‘타깃’이 어떤 사람인지를 알아야 한다. 여자인지 남자인지, 나이는 몇 살인지, 사는 곳은 어디인지 등 더 많은 정보를 얻을수록 더 세밀하게 광고를 할 수 있다. 그래서 광고로 먹고 사는 무료 서비스는 대개 사용자에게서 많은 정보를 요구한다. 페이스북이 내가 어떤 영화를 좋아하는지, 무슨 책을 읽었는지 물어보는 건 나를 대상으로 한 광고를 내게 보여주기 위해서다. 페이스북이 내게 개인적인 관심이 있어서 그런 게 아니다. 페이스북은 사용자가 자발적으로 공유하는 수많은 정보를 바탕으로 정밀한 타깃 광고 매체가 됐다.

검색엔진도 마찬가지다. 사용자에게서 더 많은 정보를 얻어낼수록 광고 효과가 커지고, 광고 효과가 커지면 더 많은 광고비를 벌 수 있다.

앞서 예로 든 네이버를 보자. 네이버는 개인정보 취급방침 가운데 서비스 사용시 ‘자동’으로 수집하는 정보가 있다고 밝혔다. 예를 들어 네이버는 “서비스 이용 과정”에서 “IP 주소, 쿠키, 방문 일시, 서비스 이용 기록, 불량 이용 기록” 같은 정보가 “자동으로 생성돼 수집될 수 있다”라고 설명해 뒀다.

양날의 검, 쿠키

IP 주소와 방문 일시, 서비스 이용 기록과 불량 이용 기록은 중국 등지에서 해킹으로 내 계정에 접속하려는 시도를 차단하는데 쓴다고 한다. 쿠키는 왜 수집할까.

쿠키는 사용자가 웹사이트를 이용할 때 사용자 컴퓨터에 생기는 작은 파일이다. 과자 부스러기처럼 작다고 쿠키라고 부른다. 웹사이트는 사용자가 다시 접속할 때 쿠키를 보고 이 사용자가 전에 왔던 사람이라는 걸 확인하고 내가 설정해둔 대로 웹사이트를 보여준다. 자동 로그인이나 한번 눌렀던 링크를 보라색으로 표시해주는 것도 쿠키를 이용한 기능이다. 쿠키가 없으면 포털 사이트에 로그인도 할 수 없다.

문제는 쿠키가 IP 주소 등 다른 정보와 합쳐질 경우 사용자를 특정할 수 있는 단서가 된다는 점이다. 쿠키를 들여다보면 내 인터넷 사용 내역을 낱낱이 알 수 있다. 이건 광고주가 군침 흘릴 만한 정보다. 평소에 인터넷 쇼핑몰에서 옷을 자주 사는 사람에게 옷 광고를 보여주면 그 광고를 눌러 옷을 살 확률이 클 것이다.

검색엔진은 자사 서비스뿐 아니라 맞춤형 광고에도 활용하기 위해 사용자 컴퓨터에서 쿠키를 긁어 모은다. 구글은 지난해 11월 애플 웹브라우저 사파리의 보안 설정을 우회해 사용자 쿠키를 추적하고 광고를 보여주다 적발돼 미국 내 사파리 사용자에게 1700만달러를 합의금으로 지불했다. 판결을 내린 에릭 슈나이더만 뉴욕주 검찰총장은 “사용자는 자기를 감시하는 다른 눈이 있는지 알아야 한다”라며 “수백만명을 몰래 추적함으로써 구글은 그들의 사생활 뿐 아니라 믿음도 욕보였다”라고 꼬집었다.

유럽연합(EU)은 일찍이 사생활을 보호하기 위해 쿠키를 남용하는 것을 막았다. 유럽연합은 2009년 ‘인터넷 사생활 지침(ePrivacy Directive)’을 개정해 쿠키를 저장하거나 수집하려면 동의를 구하라고 못박았다.

한국은 유럽연합만큼 적극적으로 쿠키 수집 사실을 밝히라고 요구하지 않는다. 정보통신망법에는 쿠키 등 개인정보 수집할 때 이 사실을 쉽게 알 수 있도록 공개하라는 규정만 있다. 쿠키 수집 사실을 사용자에게 적극적으로 알리라는 규정은 없다. 그래서 한국 누리꾼은 검색엔진 끄트머리에 자그맣게 붙어 있는 개인정보 취급방침을 찾아보고서야 검색엔진이 내 쿠키를 들여다본다는 사실을 알 수 있다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률
제2절 제27조의2 개인정보 취급방침의 공개

① 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 경우에는 개인정보 취급방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
② 제1항에 따른 개인정보 취급방침에는 다음 각 호의 사항이 모두 포함되어야 한다.
1. 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법
2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제29조제1항 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보 취급위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 취급방침에 포함한다)
5. 이용자 및 법정대리인의 권리와 그 행사방법
6. 인터넷 접속정보파일(쿠키) 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항
7. 개인정보 관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처
③ 정보통신서비스 제공자등은 제1항에 따른 개인정보 취급방침을 변경하는 경우에는 그 이유 및 변경내용을 대통령령으로 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령
[시행 2014.1.1.] [대통령령 제25050호, 2013.12.30., 타법개정]

제14조(개인정보취급방침의 공개 방법 등) ① 법 제27조의2제1항에 따라 정보통신서비스 제공자등은 개인정보의 수집 장소와 매체 등을 고려하여 다음 각 호 중 어느 하나 이상의 방법으로 개인정보취급방침을 공개하되, 그 명칭을 ‘개인정보취급방침’이라고 표시하여야 한다.
1. 인터넷 홈페이지의 첫 화면 또는 첫 화면과의 연결화면을 통하여 법 제27조의2제2항 각 호의 사항을 이용자가 볼 수 있도록 하는 방법. 이 경우 정보통신서비스 제공자등은 글자 크기, 색상 등을 활용하여 이용자가 개인정보취급방침을 쉽게 확인할 수 있도록 표시하여야 한다.
2. 점포ㆍ사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하여 열람하도록 하는 방법
3. 동일한 제호로 연 2회 이상 계속적으로 발행하여 이용자에게 배포하는 간행물ㆍ소식지ㆍ홍보지ㆍ청구서 등에 지속적으로 게재하는 방법
② 법 제27조의2제3항에 따른 개인정보취급방침의 변경 이유 및 내용은 다음 각 호의 방법 중 어느 하나 이상의 방법으로 공지한다.
1. 정보통신서비스 제공자등이 운영하는 인터넷 홈페이지의 첫 화면의 공지사항란 또는 별도의 창을 통하여 공지하는 방법
2. 서면ㆍ모사전송ㆍ전자우편 또는 이와 비슷한 방법으로 이용자에게 공지하는 방법
3. 점포ㆍ사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하는 방법
③ 정보통신서비스 제공자등이 제1항제1호에 따라 개인정보취급방침을 공개하는 경우에는 이용자가 인터넷을 통하여 개인정보취급방침의 주요 사항을 언제든지 쉽게 확인할 수 있도록 하기 위하여 방송통신위원회가 정하여 고시하는 방법에 따른 전자적 표시도 함께 하여야 한다.

김보라미 법무법인 나눔 변호사는 검색엔진이 사용자 개인정보를 수집해서 어떻게 활용하는지를 구체적으로 명시해야 한다고 지적했다. 김보라미 변호사는 “IP 주소는 넓은 의미에서 개인정보로 보는 견해가 많은데, 쿠키는 IP 주소보다 개인을 특정할 수 있는 요소가 많기 때문에 위험성이 더 크다”라며 “쿠키 수집·활용 사실을 보다 구체적으로 밝힐 필요가 있다”라고 지적했다. 또 “회원 가입 당시 약관에 동의를 했더라도 내 개인정보가 어디에 어떻게 쓰이는지는 제대로 알 수 없는 상황”이라며 “내부 서비스 개선에 쓰는지, 마케팅에 쓰는지, 내 인터넷 사용 기록을 추적하는지 좀더 친절하게 설명해 줬으면 좋겠다”라고 말했다.

nuribit@bloter.net

기술의 중심에서 사람을 봅니다. 쉽고 친절하게 쓰겠습니다. e메일 nuribit@bloter.net / 트위터 @nuri_bit / 페이스북 facebook.com/nuribit0