입력
수정
FTC, 빅테크의 데이터 관행 관련 연구 보고서 발표
4년간 메타 등 9개 빅테크 기업 '정보수집실태' 조사
"이용자 개인정보 수집·감시 수준 상상 이상" 비판
미국 연방거래위원회(FTC)가 소셜미디어 및 스트리밍 서비스를 운영하는 빅테크들이 지나치게 많은 개인정보를 수집하고 있다는 내용의 보고서를 내놨다. 보고서에는 개인정보 수집 관행으로 인해 어린이와 청소년들이 위험에 노출됐다는 내용도 포함됐다. 업계는 FTC가 이번 보고서를 계기로 빅테크에 대한 규제 수위를 높일지 촉각을 곤두세우고 있다.
FTC, 소셜미디어·스트리밍 서비스 정보수집 실태 밝혀
FTC는 19일(현지시간) 공개한 ‘소셜미디어 및 스트리밍 서비스의 데이터 관행의 뒷면을 살펴본다’라는 129페이지 분량의 보고서에서 “빅테크 업체들은 사용자 개인 정보 보호를 일관되게 우선시하지 않았다”며 “소셜미디어와 스트리밍 업체들이 어떻게 미국인들의 방대한 개인 데이터를 수집해 이를 연간 수십억 달러 규모의 수익으로 만드는지를 보여준다”고 밝혔다. FTC는 2019~2020년 메타·구글·틱톡·X(옛 트위터)·레딧·디스코드 등 13개 플랫폼을 운영하는 9개 기업에 자료 제출을 요구했고 지난 4년간 연구해 이 보고서를 만들었다.
FTC는 보고서를 통해 빅테크들의 개인정보 수집 실태를 '용납할 수 없는 수준'이라며 강도 높게 비판했다. 보고서는 “빅테크 업체들은 우리가 읽는 내용, 방문하는 사이트, 결혼·자녀 유뮤와 교육 수준, 소득, 건상상태와 종교까지 추적한다”며 “그들은 사용자들의 데이터를 기반으로 소비자 데이터 시장을 구축하고 각각의 웹사이트에 숨겨져 있는 기술을 통해 사용자들의 클릭 하나하나를 추적하고 있다”고 지적했다.
빅테크의 개인정보 수집은 어린이와 청소년도 가리지 않았다. 조사 대상 플랫폼 대부분 13세 미만 이용자를 차단한다고 밝혔지만, 실제로는 청소년을 성인처럼 취급해 동일한 개인 정보 수집 대상으로 삼았다. 빅테크 업체 대부분이 무료 서비스로 제공되는 플랫폼을 바탕으로 특정 계층을 대상으로 하는 광고에 청소년을 포함한 이용자들의 개인 정보를 제공해 수익을 올려온 것이다.
또 빅테크들은 인공지능(AI)을 훈련하기 위한 광범위한 데이터 수집에도 거침이 없었다. 특히 해당 플랫폼에서 이용자들에게는 쉽게 개인 정보 수집을 거부할 수 있는 방법이 제공되지 않았을 뿐만 아니라 개개인의 민감한 정보도 이용자가 생각하는 것보다 훨씬 더 오래 보관되는 경우가 많았다.
애플, 구글 등 타사 브라우저 문제점 고발
업계에선 이번 보고서가 빅테크에 대한 규제 압박 수위를 높이는 계기가 될 것이라는 분석이 나온다. 무분별한 개인정보 수집으로 인해 발생하는 피해가 갈수록 확산하고 있어서다. 실제 빅테크 기업들은 개인정보 등 수많은 데이터를 기반으로 비즈니스를 점차 확장하며 높은 수익을 거두고 있으나, 이 같은 관행은 프라이버시 침해는 물론 신용 도용에서 스토킹에 이르기까지 다양한 피해를 야기하고 있다.
지난 7월 애플이 광고 캠페인 ‘당신도 모르는 새’를 선보인 것도 같은 맥락이다. 해당 캠페인은 휴대전화나 개인용 컴퓨터(PC) 등으로 인터넷에 접속할 때 이용자의 권리가 얼마나 쉽게 침해당하고 있는지를 상세하게 고발하고, 타사와는 차별화된 애플의 보안 정책을 홍보하는 것을 목적으로 했다.
우선 애플은 데이터를 수집해 광고에 활용하는 빅테크들이 얼마나 무분별하게 개인정보를 수집하고 있는지 구체적으로 밝혔다. 캠페인에 따르면 사용자가 인터넷으로 제품을 검색할 때 해당 제품의 광고가 사용자를 지속적으로 추적한다. 이는 아이피(IP·인터넷 프로토콜)를 기반으로 하는 터라 피할 수 없다. 일부 웹사이트에는 페이지 하나에 100개 이상의 트래커(추적 프로그램)가 심어져 있기도 하다.
애플은 또 이같은 데이터 빅테크들이 이용자 동의도 없이 거주지나 직장, 심지어는 아이의 학교 위치까지 ‘위치 정보’를 수집하고 이에 대한 판매에까지 나서고 있다고 짚었다. 뿐만 아니라 사용자는 알지도 못하는 웹 확장 프로그램이 개인정보를 가져가는 일도 빈번하다고 지적했다.
美여야, '빅브라더 우려' 연방법 제정 추진
미국 여야가 연방 차원의 개인정보보호법(APRA·미국프라이버시권리법) 제정을 추진하는 것도 같은 이유다. 정보보호업계에 따르면 미 하원은 하원 에너지상업위원회장과 상원 상업과학교통위원회장은 지난 4월 APRA의 입법 추진에 합의한 데 따라 관련 논의를 이어가고 있다.
APRA에는 개인의 선호도·관심사항을 기반으로 온라인 광고를 노출하는 애드테크(광고기술기업)에 대해 '맞춤형 광고 거부권 고지의무'를 부과하는 내용이 담겨 있다. 개인이 여러 웹사이트에 걸쳐 활동한 정보는 '민감정보'라는 취지다. 특히 17세 미만 어린이에 대해선 명시적 동의가 없는 한 맞춤형 광고를 할 수 없게 된다.
또한 법안은 빅테크를 별도로 분류, 10년 치 개인정보처리방침 공개를 비롯한 추가의무를 부과하는 내용도 명시하고 있다. '영향력 큰 소셜 미디어 기업'의 기준은 연간 글로벌 매출액 30억 달러(약 4조1,400억원), '대규모 데이터 보유자'의 기준은 △최근 매출액 2조5000만 달러(약 3,450억원) 이상 △500만 명 이상의 개인정보 등으로 규정했다. APRA는 현재 주별로 다른 개인정보보호법을 연방 단위로 통일하자는 제안에서 비롯됐다. 법률선점주의에 따라 주법이나 다른 법보다 우위에 있지만, 소비자·직원·학생 보호와 개인정보 침해통지 등을 다루는 현행 주법은 예외기 때문이다.