특정 사물이나 서비스에 흥미를 가지고 있을 때, 바로 그 흥미의 대상과 관련된 광고가 앱이나 브라우저에 표시되었다는 경험이 있는 사람은 많을 것이다. 이러한 사용자를 겨냥한 광고는 "행동 타겟팅 광고"라고 불리며, 최근에는 EU를 중심으로 행동 타겟팅 광고를 규제하는 움직임이 확산되고 있다. 행동 타겟팅 광고와 컨텍스트 광고의 차이점과 행동 타겟팅 광고를 규제하는 EU의 방침에 대해서도 알아보자.
◆행동 타겟팅 광고란?
인터넷상의 광고에는 다양한 종류가 있지만, 그 중에서도 "컨텍스트 광고"와 "행동 타겟팅 광고"는 유저가 좋아하는 제품의 광고를 표시하기 쉽기 때문에, 널리 이용되고 있다.
컨텍스트 광고는 "유저가 열람하고 있는 페이지"나 "유저가 검색한 어구"를 기초로 관련된 광고를 표시하는 구조로, 예를 들어 구글에서 샴푸라고 검색했을 때, 검색 결과 목록에 표시되는 샴푸 광고 등이 컨텍스트 광고. 한편, 행동 타겟팅 광고는 유저의 행동 이력을 기초로 "유저가 좋아할 만한 광고"를 표시하는 구조. 예를 들어 행동 이력에서 "재택 워크에 관심이 있다"고 판단된 사용자에게는, 사무실 의자 광고가 표시되거나 모니터 광고가 표시되기도 한다.
◆ 행동 이력을 수집하는 구조 "서드 파티 Cookie"란?
행동 타겟팅 광고를 이용하는 광고 제공자는 "서드 파티 Cookie"를 이용하는 것으로 복수의 사이트를 걸쳐 행동 이력을 추적할 수 있다. 서드파티 쿠키는 각 사이트의 관리자가 아닌 제3자가 발급하는 쿠키로, 사용자가 여러 사이트를 열람하면 동일한 서드파티 쿠키에 행동 이력이 저장된다.
광고의 제공자는 서드파티 Cookie를 이용하는 것으로, "사이트 A에서 "재택 워크에 관한 페이지"를 열람하고, 사이트 B에서 "오피스 체어에 관한 페이지"를 열람한 유저"를 "재택 워크와 오피스 체어에 관심이 있는 유저"로 인식해, 재택 워크나 오피스 체어에 관한 광고를 표시할 수 있다. 게다가 "재택 워크와 사무실 의자에 흥미를 느낀다는"정보로부터 "모니터에도 관심이 있을 것"이라고 추측해, 모니터에 관한 광고를 표시하는 것도 가능. 이 때문에 "처음 보는 사이트인데 내 취향의 광고가 떴다", "관심은 있지만 검색해본 적이 없는 제품에 대한 광고가 뜬다" 이런 현상이 발생하는 것.
서드파티 Cookie는 광고주에게는 적절한 사용자에게 광고를 전달할 수 있는 구조이지만, 사용자에게는 프라이버시를 침해하는 구조라고도 할 수 있는데, 이 때문에 서드파티 쿠키의 폐지를 요구하는 목소리가 높아지고 있으며, 2023년 5월에는 구글이 크롬에서의 서드파티 쿠키의 단계적인 폐지를 결정. 구글은 2024년까지 서드파티 쿠키 폐지 테스트를 시작하겠다고 선언한 바 있어, 향후 동향에 이목이 쏠리고 있다.
◆행동 이력을 수집하는 구조 "모바일 광고 식별자"란?
iOS나 Android에서는 "모바일 광고 식별자"라고 불리는 서드파티 Cookie와 비슷한 구조가 이용되고 있다. 모바일 광고 식별자는 앱상에서의 광고 전달시에 이용되는 구조로, 유저에게 고유의 ID를 할당하는 것으로 복수의 앱을 걸쳐 유저의 행동 이력을 수집할 수 있다.
모바일 광고 식별자도 서드파티 쿠키와 마찬가지로 프라이버시상의 우려가 지적되고 있어, 모바일 광고 식별자의 이용을 제한하는 움직임이 진행되고 있는데, 애플은 2021년 프라이버시 강화 정책 "App Tracking Transparency(ATT)"를 도입해, iOS의 모바일 광고 식별자 "IDFA" 이용 여부를 사용자가 선택할 수 있도록 변경. 현 시점에서는 IDFA를 이용하는 앱의 인스톨 시에 아래와 같은 화면이 표시되게 되어 있어, 유저는 "App에 트래킹하지 않도록 요구"를 탭하는 것으로 IDFA에 의한 행동 이력 수집을 거부할 수 있다.
◆행동 타겟팅 광고를 규제하는 EU의 대처란?
EU에서는 개인정보를 보호하기 위한 규칙 "일반데이터보호규칙(GDPR)"이 2018년 시행. 이로 인해 EU권 내에서 서비스를 제공하는 사업자는 사용자의 데이터를 수집할 때, 사용자의 허가를 받아야 한다. GDPR의 규제 범위는 다방면에 걸쳐 행동 타겟팅 광고도 규제 대상이 되고 있고, 실제로 2023년 1월에는 페이스북과 인스타그램에서 사용자 허가 없이 행동 타겟팅 광고를 표시했다는 이유로 메타가 약 5천5백억원의 벌금을 부과받았다. 행동 타겟팅을 규제하는 움직임은 EU 이외에서도 진행되고 있지만, EU의 GDPR는 사업자에게 사용자가 허가했을 때만 개인정보를 수집할 수 있는 "옵트인" 방식을 요구하고 있는 점이 특징.
예를 들어 캘리포니아주의 프라이버시 관련법에서는, "사용자의 개인정보를 판매하는 사업자"에 대해 "사용자가 판매를 거부할 수 있는 설정"을 설치하도록 의무화되어 있는데, 이는 "사용자가 거부한 경우에만 판매하지 않는다"는 옵트아웃 방식이기 때문에, 사용자가 정보를 판매받고 있다는 것을 깨닫지 못할 경우 그대로 판매되고 만다. 한편 GDPR은 옵트인 방식을 의무화하고 있기 때문에, 사용자가 깨닫지 못하는 사이에 정보를 수집당하는 사태를 막을 수 있다는 것.
또한, 수익성이 뛰어난 iOS 앱이 Android 앱보다 중점적으로 개발되고 있다...라고 하는 상황을 근거로 해, "EU 내에서 규제가 강화되면, 서비스 제공 사업자가 수익성이 뛰어난 타 지역을 우선해 EU에의 투자가 줄어들 가능성이 있다"라고 지적되고 있다는.
