특정 물건이나 서비스에 관심을 갖고 있을 때 정확히 이 관심 대상과 관련된 광고가 앱이나 브라우저에 게재됐다는 경험이 있는 사람이 많을 것이다. 이런 사용자를 목표로 한 광고는 행동 타깃팅 광고(behavioral advertising)로 불리며 최근 몇 년간 EU를 중심으로 행동 타깃팅 광고를 규제하는 움직임이 퍼지고 있다.
인터넷상 광고에는 다양한 종류가 있지만 그 중에서도 컨텍스트 광고와 행동 타깃팅 광고는 사용자가 좋아하는 제품 광고를 표시하기 쉽기 때문에 널리 이용되고 있다. 컨텍스트 광고는 사용자가 보고 있는 페이지와 사용자가 검색한 단어를 기반으로 관련 광고를 게재하는 메커니즘이다. 예를 들어 구글에서 샴푸라고 검색하면 검색 결과 목록에 표시되는 샴푸 광고 등이 컨텍스트 광고다.
한편 행동 타깃팅 광고는 사용자 행동 기록을 바탕으로 사용자가 선호하는 광고를 표시하는 메커니즘이다. 예를 들어 행동 기록에서 재택 작업에 관심이 있다고 판단한 사용자에게는 사무실 의자 광고가 표시되거나 모니터 광고가 게재된다.
행동 타깃팅 광고를 사용하는 광고 제공자는 타사 쿠키를 이용해 여러 사이트를 통해 행동 기록을 추적할 수 있다. 타사 쿠키는 각 사이트 관리자가 아닌 제3자가 발행하는 쿠키로 사용자가 여러 사이트를 탐색할 때 동일한 타사 쿠키에 행동 기록을 저장한다. 광고 제공자는 타사 쿠키를 이용해 사이트 A에서 재택 작업에 관한 페이지를 열람하고 사이트B에서 사무실 의자에 관한 페이지를 본 사용자를 재택 작업과 사무실 의자에 관심 있는 사용자라고 인식해 재택 작업과 사무실 의자에 대한 광고를 게재할 수 있다. 더구나 재택 작업과 사무실 의자에 흥미를 느낀다는 정보로부터 모니터에도 흥미가 있을 것이라고 추정해 모니터에 관한 광고를 표시하는 것도 가능하다. 이 때문에 시작해 열람하는 사이트인데 자신의 취향에 맞는 광고가 게재됐다, 흥미는 있지만 검색한 적 없는 제품에 관한 광고가 게재됐다는 현상이 발생하는 것이다.
타사 쿠키는 광고주에게는 적절한 사용자에게 광고를 전달할 수 있는 메커니즘이지만 사용자에게는 개인 정보를 침해하는 메커니즘이라고도 할 수 있다. 이로 인해 제3자 쿠키 폐지를 요구하는 목소리가 강해지고 있으며 2023년 5월에는 구글이 크롬에서 타사 쿠키의 단계적 폐지를 결정했다. 구글은 2024년까지 타사 쿠키 폐지 테스트를 시작할 것이라고 선언했으며 앞으로의 동향에 주목을 받고 있다.
iOS나 안드로이드에선 모바일 광고 식별자라고 불리는 타사 쿠키와 비슷한 구조가 사용되고 있다. 모바일 광고 식별자는 앱에서 광고를 게재할 때 사용되는 방식으로 사용자에게 고유한 ID를 할당해 여러 앱을 통해 사용자 행동 기록을 수집할 수 있다.
모바일 광고 식별자는 제3자 쿠키와 마찬가지로 개인 정보 보호 문제를 지적하고 있으며 모바일 광고 식별자 사용을 제한하는 움직임이 진행되고 있다. 애플은 2021년 프라이버시 강화 정책 ATT(App Tracking Transparency)를 도입해 iOS 모바일 광고 식별자 IDFA를 이용할지 여부를 사용자가 선택할 수 있도록 바뀌었다. 현재 IDFA를 이용한 앱을 설치할 때에는 사용자는 앱에 추적하지 않도록 요청을 탭해 IDFA에 의한 행동 이력 수집을 거부할 수 있다.
EU에선 개인 정보를 보호하기 위한 규칙인 GDPR이 2018년 시행됐다. 이로 인해 EU 지역 내에서 서비스를 제공하는 사업자는 사용자 데이터를 수집할 때 사용자 허가를 받아야 한다. GDPR 규제 범위는 다양하며 행동 타깃팅 광고도 규제 대상이다. 실제로 2023년 1월에는 페이스북과 인스타그램에서 사용자 허가를 얻지 않고 행동 타깃팅 광고를 게재하고 있었다고 메타에는 벌금이 부과됐다.
행동 타깃팅을 규제하는 움직임은 EU 이외에도 진행되고 있지만 EU의 GDPR은 사업자에게 사용자가 허가했을 때만 개인 정보를 수집할 수 있는 옵트인 방식을 요구하고 있는 점이 특징이다. 예를 들어 캘리포니아주 개인 정보 보호 관련 법률은 사용자 개인 정보를 판매하는 사업자에 대해 사용자가 판매를 거부할 수 있는 설정을 제공해야 한다. 이는 사용자가 거부한 경우에만 판매하지 않는다는 옵트아웃 방식 것이므로 사용자가 정보를 판매되고 있는 걸 깨닫지 않는 경우는 그대로 판매되어 버린다. 한편 GDPR은 옵트인 방식을 의무화하고 있기 때문에 사용자가 알지 못하는 동안 정보를 수집되어 버리는 사태를 막는다는 것이다.
또 수익성이 뛰어난 iOS 앱이 안드로이드 앱보다 중점적으로 개발되고 있다는 상황을 근거로 EU 내에서 규제가 강화되면 서비스 제공 사업자가 수익성이 뛰어난 다른 지역을 우선하고 EU에 대한 투자가 줄어들 가능성이 있다고 지적하고 있다. 관련 내용은 이곳에서 확인할 수 있다.