내 쇼핑 기록을 왜 구글이 알고 있지? 행태정보 올바르게 수집하기

*본 콘텐츠는 SOVAC Together 콘텐츠 파트너 법무법인 미션의 전문가 칼럼을 담고 있습니다.

A 쇼핑몰 앱에서 운동화를 검색했는데, B 포털과 C SNS 피드에 해당 운동화 광고가 나타나는 현상, 한 번쯤 경험해 봤을 ‘맞춤형 광고’의 모습입니다. 그런데 맞춤형 광고의 기반인 행태정보 수집에 A 쇼핑몰도 책임이 있다는 사실, 알고 계셨나요?

행태정보란 무엇인가?

A 쇼핑몰에서의 운동화 검색 기록 같은 검색 이력, 웹 사이트 방문 및 앱 사용 이력, 구매 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 추론하거나 분석할 수 있는 온라인 활동 정보를 ‘행태정보’라고 합니다. 쉽게 말해 이용자가 온라인 공간에 남기는 ‘디지털 발자국’입니다.

그렇다면 A 쇼핑몰에서 발생한 행태정보가 어떻게 B 포털, C SNS의 맞춤형 광고로 이어질까요?

STEP 1: 행태정보 수집 도구 배포

애드센스(Adsense), 애드몹(AdMob), 애드매니저(AdManager), 애널리틱스 등 온라인 맞춤형 광고 플랫폼은 다양한 행태정보 수집 도구를 제작했습니다. 광고 플랫폼은 이런 도구를 배포하여 자사 또는 타사의 웹·앱을 사용한 행태정보를 수집합니다.

STEP 2: 식별자 생성 및 저장

광고 플랫폼은 이용자가 자사 웹·앱을 방문하면 온라인 식별자 정보를 생성합니다. 이 ‘온라인 식별자’는 행태정보 수집 과정에서 이용자나 기기를 특정하기 위하여 광고 플랫폼이 부여하는 것으로, 모바일에서는 GAID(Google Advertising ID), IDFA(ID For Advertising), PC에서는 쿠키(Cookie) 등이 활용됩니다.

STEP 3: 행태정보 발생 및 수집

이용자가 웹·앱에서 활동하면 행태정보가 발생합니다. 온라인 쇼핑몰, 미디어 등을 웹이나 앱에서 운영하는 사업자(웹·앱 사업자)들은 자사 웹사이트 및 앱 이용자의 행태정보가 구글과 같은 광고 플랫폼에 수집되도록, 플랫폼이 배포한 행태정보 수집 도구를 사용합니다(자사 웹·앱에 개인정보 자동 수집 장치를 설치·운영하는 방법으로 직접 행태정보를 수집하여 처리하기도 합니다). 이 도구들은 온라인 식별자와 결합된 위 행태정보를 이용자의 기기에서 광고 플랫폼 서버로 전송합니다.

STEP 4: 행태정보 분석·활용

광고 플랫폼은 전송받은 정보(온라인 식별자 + 타사[웹·앱 사업자] 행태정보)를 자사 회원 계정 정보와 매칭합니다. 이 과정을 통해 행태정보로 이용자 개인이 식별된 상태가 됩니다. 광고 플랫폼은 이를 이용자별로 축적하여 이용자 개인정보파일로서 운용 및 관리할 수 있습니다. 이후, 축적된 정보를 바탕으로 이용자 특성을 추론하여 맞춤형 광고를 게재합니다.

서두에서 살펴본 A 쇼핑몰 검색 이력과 온라인 식별자를 결합하면, B와 C는 이 이용자가 해당 운동화를 좋아한다는 사실을 추론하여 관련 광고를 게재할 수 있게 되는 겁니다.

이용자 개인정보파일 예시 (출처=서울행정법원 2025. 1. 23. 선고 2023구합55191 판결)

그렇다면 A 쇼핑몰에서의 검색 이력, 즉 행태정보는 법적으로 보호받아야 할 ‘개인정보’일까요?

행태정보 수집 과정에서 적절한 동의를 받지 않은 구글·메타

이와 관련하여 구글과 메타의 행태정보 수집이 개인정보 보호법을 위반했는지 쟁점이 된 사건이 있습니다.

구글과 메타는 앞서 살펴본 바와 같이 ‘① 행태정보 수집 도구 배포 → ② 식별자 생성 및 저장 → ③ 식별자와 결합된 타사 행태정보 수집 → ④ 타사 행태정보의 분석·활용을 통한 맞춤형 광고 게재’ 방식으로 행태정보를 수집하여 이용합니다.

구글·메타 행태정보 수집 및 맞춤형 광고 비즈니스 흐름. Gemini로 제작 (출처=권세린)

2022년 9월, 개인정보보호위원회(개보위)는 구글·메타에 총 1,000억 원 규모의 과징금을 부과했습니다. 구글·메타는 맞춤형 광고를 위해 ‘타사 웹·앱에서의 이용자 활동기록(타사 행태정보)’을 개인정보로 결합·축적해 활용하면서도, 이용자로부터 적법한 동의를 받지 않아 구 개인정보 보호법(2023년 3월 14일 개정 전) 제39조의3 제1항을 위반했다고 판단했기 때문입니다(개인정보보호위원회, 2022. 9. 14.자 제2022-014-104호 심의·의결).

2023년 2월, 구글·메타는 “행태정보를 수집하는 주체는 웹·앱 사업자이므로 동의 절차를 이행할 주체 역시 웹·앱 사업자”라고 주장하며 개보위를 상대로 시정명령 등 처분 취소청구 소송을 제기했습니다.

그러나 2025년 1월, 1심 법원은 개보위의 과징금 처분이 적법하다고 판결했습니다(서울행정법원 2025. 1. 23. 선고 2023구합54259 판결, 서울행정법원 2025. 1. 23. 선고 2023구합55191 판결). 이용자에게 행태정보 수집에 관한 내용을 알리고 동의를 받아야 할 의무가 있는 개인정보 취득자는 웹·앱 사업자가 아닌 구글·메타라고 본 것입니다.

특정인의 행태정보인지 구별할 수 없는 상태에서는 개인정보라고 할 수 없습니다. 하지만 온라인 식별자와 결합하면, 구글·메타의 회원 계정과 결합하는 방식으로 특정 개인을 식별할 수 있게 됩니다. 따라서 ‘개인정보 보호법 제2조 제1호 나목에서 정하는 개인정보에 해당한다’라고 재판부는 판시했습니다.

재판부는 이용자가 웹·앱을 이용하는 과정에서 발생한 행태정보 자체는 특정 개인을 알아볼 수 없으므로 개인정보가 아니지만, 구글·메타가 온라인 식별자와 결합한 행태정보를 자신의 서버로 전송받는 시점에는 회원 계정 등 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보가 되므로, 개인정보에 해당한다고 보았습니다.

웹·앱 사업자의 역할과 책임

이 사건은 현재 서울고등법원에서 항소심이 진행 중이라서, 행태정보의 개인정보 해당 여부에 대한 사법부의 판단이 달라질 가능성도 있습니다. 그럼에도 웹·앱을 운영하는 스타트업이 1심 판결에 주목해야 하는 이유가 있습니다.

서울행정법원은 1심 판결문에서 웹·앱 사업자는 온라인 식별자와 결합한 행태정보, 즉 개인정보를 취득하는 주체가 아니라고 보면서도 “웹·앱 사업자도 이용자의 행태정보가 수집되는 과정에서 구글의 행태정보 수집 도구를 설치하는 등 일정한 역할을 하는 것으로 보이기는 한다”라고 판시하여 웹·앱 사업자의 책임을 강조했습니다. 2025년 4월 발간된 개보위의 「개인정보 처리방침 작성지침」 개정판 등 최근 규제도 웹·앱 사업자의 행태정보 처리에 대한 개인정보 처리방침 작성 기준을 강화하는 방향으로 변하고 있습니다. 이제 스타트업에게 행태정보 보호는 선택이 아닌 필수적인 컴플라이언스 과제가 되었습니다.

개보위는 「맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책 방안」에서 웹·앱 사업자가 ‘이용자와의 접점이자 행태정보 수집의 실질적인 관여 주체’임을 강조했습니다. 그리고 이들에게 어떤 행태정보가 수집·활용되는지 투명하게 공개해야 한다는 의무를 부과했습니다.

개인정보처리방침 수립·공개 의무를 규정한 개인정보보호법 제30조 또한 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항을 밝히도록 하고 있습니다. 따라서 자신의 웹·앱에서 직접 수집하는 행태정보뿐 아니라 수집 도구를 통해 구글 등 제3자가 수집해 가는 행태정보에 대하여도 관련 사항을 투명하고 구체적으로 공개할 필요가 있습니다.

웹·앱 사업자를 위한 개인정보 처리방침 작성 가이드라인

구체적으로 어떤 방식으로 행태정보 수집에 관한 사항을 공개해야 할지, 2025년 4월 개편된 「개인정보 처리방침 작성지침」의 가이드라인을 살펴봤습니다.

많은 스타트업이 구글 등 제3자가 위에서 살펴본 각종 수집 도구로 행태정보를 수집하도록 허용하는 방식을 취하고 있습니다. 이 경우, 개보위는 제3자가 수집해 가는 행태정보에 관한 사항을 개인정보 처리방침에 기재할 것을 권장합니다.

좀 더 자세히 살펴보자면 ▲개인정보 자동 수집 장치 명칭 ▲자동수집장치 종류 ▲수집해 가는 사업자 ▲수집해 가는 행태정보 ▲수집해 가는 목적 ▲거부방법 등을 상세히 기재해야 합니다. 이 중 ‘거부방법’의 경우, 웹 브라우저나 모바일 단말기에서의 차단방법을 안내해야 합니다. 모바일 브라우저를 활용하지 않는 앱은 자체 앱 또는 모바일 단말기에서의 차단방법을 안내하길 권장됩니다.

웹·앱 사업자가 행태정보를 직접 처리하지 않더라도 이용자가 자신의 정보 처리 현황을 효과적으로 파악할 수 있도록 관련 사항을 안내하라고 권장하기 때문에, 구체적인 안내 형식도 고민이 필요합니다. 개보위는 개인정보 처리방침 내 링크를 클릭하면 별도의 창을 통해 제3자가 수집해 가는 행태정보 관련 내용을 제공하는 형식으로 구성하여 안내하는 방법 또한 가능하다고 제시합니다.

별도의 창으로 제3자 수집해 가는 행태정보 관련 내용을 제공하는 방법 예시 (출처=개인정보보호위원회, 『개인정보 처리방침 작성지침』

결론

구글과 메타에 대한 1,000억 원대 과징금 판결 및 2025년 개편된 개인정보 처리방침 작성지침의 권장 사항에 비추어 볼 때, 행태정보를 수집하는 스타트업은 자사의 규제 준수 현황을 선제적으로 진단하여 법적 리스크를 관리해야 할 시점입니다.

개인정보 처리방침을 올바르게 작성해 행태정보 수집에 대한 법적 리스크를 예방하는 것이 중요합니다.

작성: 권세린 인턴(법무법인 미션)

검수: 신재윤 변호사(법무법인 미션)

원문 : [법무법인 미션] [인턴 칼럼] 내 쇼핑 기록을 왜 구글이 알고 있지? – 올바르게 행태정보 수집하기