매년 6월 개최되는 애플의 WWDC는 전 세계 모든 애플 생태계 개발자들이 가장 주목하는 행사이다. 새로운 운영체제 및 서비스, 그리고 관련 애플리케이션들이 이 행사를 통해 최초로 공개되기 때문이다. 특히 iOS나 맥OS 같은 새로운 운영체제는 WWDC에서 발표되자마자 전 세계 개발자들에게 베타 버전으로 배포되어 새로운 플랫폼에 대응하는 애플리케이션 개발을 시작할 수 있도록 한다는 점에서 이 행사의 의미가 크다고 할 수 있다. WWDC 개최 후 약 100일 뒤에는 어김없이 아이폰, 아이패드, 애플워치 등의 새로운 라인업이 공개된다. 이 시점에 주요 애플리케이션들이 새로운 운영체제에 대응할 준비가 완료될 수 있도록 하는 것이 WWDC를 개최하는 중요한 목적이다. 사용자들 입장에서는 약 100일 뒤 출시될 기기가 제공할 새로운 기능들에 대한 일종의 맛보기 행사이기도 하다.

코로나19로 인해 온라인으로 진행된 2020년 WWDC 행사에서도 관심을 끌 만한 여러 기능이 소개되었다. 이 중 일반적인 사용자의 관심을 끌만큼 눈에 뜨이지는 않지만 실제로 사용자 경험, 그리고 관련 분야에서 적지 않은 영향을 끼칠 것으로 많은 전문가가 주목한 것은 프라이버시 관련 새로운 기능들이다. 스마트폰 사용 행태에 기반을 둔 맞춤형 서비스 및 마케팅이 만연하고 있는 가운데 많은 사용자가 이에 대해 불편함을 호소하고 있다. iOS 14에서 신규로 제공되는 프라이버시 기능은 이런 사용자의 불편에 대응하는 애플의 전략적 선택이 반영된 것이라 볼 수 있다. 프라이버시 관련 새로운 기능들은 앱 개발자 생태계에 직접적인 영향을 미칠 수 있을 뿐만 아니라 사용자 맞춤형 광고 시장에도 큰 지각 변동을 가져올 수 있다. 과연 어떤 프라이버시 관련 기능들이 있고, 이들이 광고 플랫폼에는 어떤 임팩트를 줄 수 있는지 살펴보고자 하는 것이 본고의 목적이다.

iOS 14의 새로운 프라이버시 기능

iOS 14에서는 상당히 많은 프라이버시 기능들이 새로 도입되거나 혹은 강화되었다. 주목적은 스마트폰을 사용하면서 발생할 수 있는 프라이버시 이슈들에 대해 사용자의 가시성과 제어 권한을 확대하는 것이다. 주요 기능들은 다음과 같다.⁽¹⁾

사파리 브라우저에서의 패스워드 취약성 경고 및 트래커 리포트 기능

사파리에서 강화된 프라이버시 기능으로는 첫째, 웹사이트 로그인 시 사용되는 패스워드에 대한 모니터링 및 경고 기능이다. 패스워드가 노출되었을 가능성이 있거나, 혹은 패스워드 자체가 너무 단순하여 계정 침해 가능성이 있다고 판단될 경우 경고를 하는 기능이다. 경고 메시지와 함께 해당 사이트의 패스워드 수정 링크까지 함께 제공함으로써 사용자에게 즉시 패스워드 변경을 할 수 있도록 유도한다.

둘째, 사용자들의 인터넷 사용 이력을 추적하는 트래커들을 예방할 수 있도록 하는 프라이버시 리포트 기능이다. 이런 트래커들은 주로 광고 타겟팅 및 분석용으로 활용되며 사파리에서는 해당 트래커들의 활동을 막는 한편 관련 리포트를 사용자에게 제공한다.

앱스토어 프라이버시 리포트

앱스토어에 등록되는 모든 앱은 프라이버시와 관련 정보를 반드시 표기하여야 한다. 개발자들은 해당 앱에서 행해지는 모든 프라이버시 연관된 행위를 명시하여야 하는데, 이를테면, 어떤 데이터들이 수집되며 어떻게 활용되는지 밝혀야 한다. 사용자들이 쉽게 이해할 수 있도록 모든 앱이 일정한 형식을 준수하도록 한다는 것이 기본 방침이다.

앱 트래킹 제어

iOS 14에서 새로운 프라이버시 기능 중 가장 많은 관심을 끄는 기능이다. 사용자의 앱 및 웹사이트 사용 활동을 트래킹을 하고자 하는 앱은 실제 트래킹을 가동하기 전 반드시 사용자의 승인을 받아야 한다.

이전에는 잘 읽어보지도 않는 사용자 약관에 숨겨져 묵시적으로 사용자 동의를 얻었다면 이젠 사용자 트래킹을 하려면 이렇게 확실하게 사용자의 의사를 먼저 물어야 한다는 것이 크게 달라진 점이다. 이와 같은 팝업 메시지를 보고 과연 트래킹을 승인하는 사용자가 얼마나 될지 의문이다. 대다수 사용자가 트래킹을 하지 못하도록 선택할 가능성이 크다. 한편 트래킹이 승인된 앱의 경우 디바이스를 아이디, 이름, 이메일 주소 등을 수집할 수 있으며, 이렇게 수집된 데이터는 또 다른 앱에서 수집된 데이터와 함께 사용자 행태에 기반 한 서비스에 활용할 수 있다. 대표적인 예로 광고 타게팅에 활용되는 것을 들 수 있고, 혹은 데이터 브로커들과 공유되어 또 다른 서비스에 활용되기도 한다.

예외적으로, 사용자나 디바이스를 식별할 수 없는 정보를 수집하거나, 사기 및 위법행위를 방지하기 위해 불가피한 경우 사용자의 별도 승인이 없어도 데이터 수집이 가능하다고 한다. 이런 예외 경우에 대해서는 향후 그 정확한 경계가 어디인지에 대한 논란의 여지는 있어 보인다.

근사 위치 기능

위치 정보를 요구하는 앱들이 많아지고, 이러한 위치 정보 노출로 인한 프라이버시 침해 우려가 커진 가운데, 일종의 절충하는 방식으로 정확한 위치가 아닌 “근사치”의 위치 정보를 제공하는 기능이다. 이렇게 함으로써 서비스에서 필요로 하는 최소 요구사항은 충족시키되 개인 프라이버시에 대해서는 최대한 보호한다는 것이다. 각 애플리케이션별 설정에서 위치정보를 활용하겠다는 기존 선택지에, 정확한 위치 제공을 하겠다는 추가 선택지가 제공된다.

기타 보안 및 프라이버시 보호 기능

이 밖에도 다양한 프라이버시 보호 기능들이 iOS에 포함된다. 주요 기능에 대해 간단히 열거해 보면 다음과 같다.

⦁ 레코딩 표시기: 카메라나 마이크 등이 사용 중임을 알려 주는 표시 기능

⦁ 클립보드 접근 제어: 특정 앱이 클립보드에 접근할 때 바로 배너를 통해 알려주는 기능

⦁ 네트워크 접근 제어: 로컬 네트워크상에서 다른 기기에 접근하려 할 때 반드시 사용자에게 이를 알려 줘야 하는 기능

⦁ 포토라이브러리에 대한 선택적 접근 기능: 사진 앨범 전체에 대한 접근뿐만 아니라 개별 사진에 대해 접근 권한을 부여할 수 있는 기능

iOS 14에서 새로운 기능들이 많이 소개되었지만, 분야별 비중으로 보면 프라이버시와 정보보호에 관한 부분이 예년보다 부쩍 강화된 것을 알 수 있다. 애플이 늘 강조해 오던, 특히 안드로이드 폰에 견주어 강점으로 내세우던 보안을 더 힘주어 강조함으로써 차별화하려는 전략으로 보인다.

iOS 14의 강화된 프라이버시 보호와 이에 대한 광고플랫폼 업계의 반응

앞서 소개한 프라이버시 기능의 상당 부분은 실제로 광고 타겟팅에 매우 큰 영향을 줄 것으로 판단된다. 이는 광고시장 생태계에서도 고민될 수밖에 없는 부분이다. 특히 사용자의 앱사용 및 웹사이트 활동 트래킹에 대해 옵트-인(Opt-In) 장치를 제공하는 것에 대한 우려가 크다. 페이스북 앱 같은 경우 자신이 방금 방문한 사이트와 깊이 연관된 광고들이 바로 내 타임라인에 뜨는 것을 쉽게 목격할 수 있다. 예를 들어 호텔 예약을 하거나 혹은 정보만 잠깐 살펴보아도 어김없이 내가 찾아보았던 호텔 예약 사이트 광고가 뜬다. 사용자의 활동 이력 정보가 없이는 불가능한 타겟팅 광고이다.

이렇게 타겟팀 광고를 가능하게 하는 가장 중요한 요소는 광고를 위해 각 사용자를 식별할 수 있도록 하는 아이디(ID)이다. 애플 iOS기기의 경우엔 IDFA(Identifier for Advertiser), 안드로이드 기기의 경우 AAID(Android Ad ID)가 여기에 해당한다. 브라우저도 이와 유사한 식별 ID가 활용된다. 기존 iOS 기기에서는 IDFA 사용이 기본이었다면 iOS 14에서는 옵트-인(Opt-In) 기능, 즉 사용자가 승인할 때만 IDFA 사용이 허용되는 것으로 바뀐 것이다. IDFA가 없으면, 앞서 예로 들었던 호텔예약 광고와 같은 사용자 타겟팅 광고가 어렵게 된다.

광고업계에서는 당연히 iOS 14의 이런 변화를 매우 무겁게 바라보고 있다. 향후 iOS뿐만 아니라 다른 플랫폼에서도 점차 이런 추세로 나아갈 가능성이 크기 때문이다. 디지털 마케팅/광고 분야의 대표적인 연합 기관인 IAB(Interactive Advertising Bureau)에서 iOS 14가 발표된 지 채 한 달도 지나지 않아 바로 이에 대한 반응을 내놓았다.⁽²⁾

IDFA 옵트-인 방식에 대한 반응

IAB에서는 IDFA 활용이 사용자의 옵트-인 방식으로 바뀜으로써 결국 디바이스 ID의 활용 범위가 매우 줄어들 것을 우려하고 있다. 이는 전반적인 앱 생태계에도 부정적인 영향을 끼치게 되며 디지털 마케팅을 업으로 하는 광고업계 전반, 나아가서는 퍼블리셔의 비즈니스 모델에도 타격을 줄 것이라고 예측한다. 최근 디지털 마케팅에서는 사용자의 행동 분석에 기반을 둔 타겟 세그멘테이션, 광고효과 측정, 속성분석 등을 수행하는 다양한 플랫폼들이 전체적인 광고 사이클에서 각각 중요한 역할을 하고 있는데, 활용 가능한 디바이스 ID가 급격히 줄어듦으로써 밸류체인 전체에 걸친 사업이 영향을 받을 수밖에 없다는 것이다. 퍼블리셔의 경우 광고 매출이 50% 이상 떨어질 수 있다고 덧붙였다.

비즈니스 전반에 대한 타격뿐만 아니라 사용자 경험의 문제에 대해서도 언급하고 있다. iOS의 프라이버시 조치가 광고업계에 부정적임을 강조하는 반면, 애플이 추구하는 투명성에 대해서는 IAB에서도 공감하고 있다. 사용자에게 투명하게 프라이버시 관련된 정책을 알리고 선택할 수 있게 하는 것에 대해서는 앞으로 가야 할 올바른 방향임을 인정한다는 것이다. 그러나 애플이 표준을 무시한 자체 방식으로 이를 구현하는 것에 대해서는 강한 반발을 하고 있다. 항상 애플이 공개 표준이나 아키텍처를 무시하고 자체 고유의 방식을 따르는 전통을 이번 IDFA 옵트-인 방식에서도 그대로 답습하고 있다고 주장한다. iOS에서뿐만 아니라 다른 플랫폼에서도 프라이버시 보호와 관련하여 같은 사용자 경험을 제공하는 것이 필요하다는 것인데, 이를 IAB에서는 “예측 가능한 프라이버시(Predictable Privacy)”라고 부른다.

사용자가 단순하게 트래킹 승인 여부만 결정하게 할 것이 아니라, 트래킹 허용 시 적용되는 범위를 사용자가 인지하고, 이에 따른 가치, 즉 개인화된 광고가 가져다주는 가치에 대해 정확하게 전달이 되면, 사용자가 굳이 승인 거부를 하지 않을 것이라는 논리가 이러한 예측 가능한 프라이버시에 깔렸다. IAB에 따르면 이에 대해 애플이 사전에 광고업계 및 이 분야 전문가들과의 자문 내지는 소통이 전혀 없었다고 한다.

IAB의 테크랩(Tech Lab)에서는 IAB 유럽과 함께 투명한 데이터 활용과 제어를 위한 TCF(Transparency and Consent Framework)를 개발했다.⁽³⁾

또한 IAB에서는 퍼블리셔와 광고 플랫폼 기술 기업들을 위한 CCPA(California Consumer Privacy Act) 컴플라이언스 프레임워크를 발표했다⁽⁴⁾. 개인정보 및 프라이버시 보호를 위한 기술적인 노력이 이미 진행 중이므로 애플이 IDFA 옵트-인을 의무화하는 과정 및 방식도 이러한 표준 개발과 함께해야 한다는 것이다. 그렇지 않을 때 결국 프라이버시 보호와 관련된 표준과 모순된 결과로 귀착될 수도 있다는 것이 IAB에서 제기하고 있는 핵심 이슈다.

사파리 브라우저의 트래커 리포트 기능에 대한 반응

트래킹을 하는 이유, 범위, 그리고 트래킹을 함으로써 사용자에게 전달되는 가치가 벤더별로 각기 다름에도 불구하고 이런 정보들이 전혀 사용자에게 전달되지 않음을 지적하고 있다. 단순 트래킹 숫자가 아니라 트래킹 빈도 및 한도, 주요 트래킹 시점 등 각각의 유즈케이스 별로 상이한 점을 사용자가 인지할 수 있도록 해야 한다는 것이다. 광고업계 관점에서는 이 리포트가 마치 뭔가 “안 좋은 일이 벌어지고 있다“라는 느낌으로 사용자에게 전달될 수 있음을 우려하고 있는 것이다.

EEA(European Economy Area) 내에서는 앞서 언급한 TCF를 활용해 표준화된 방식으로 벤더들이 사용자 데이터를 활용하는데 있어서의 투명성이 제공되고 있다. 따라서 이미 TCF에 참여하고 있는 퍼블리셔나 애플리케이션 벤더의 경우 기 제공되던 정보와 사파리에서 새롭게 제공되는 트래킹 리포트가 일치하지 않을 가능성이 높다. TCF에서 제공되는 정보에는 각 벤더별 트래킹 목적이 명시되어 있다는 점에서 벤더간 특별히 구분이 없는 사파리의 트래킹 정보보다 더 유용하다는 것이 IAB의 입장이다.

향후 전망

IAB TechLab에서 나온 보고서를 중심으로 광고시장의 반응을 간략히 살펴보았는데, 필자가 직접 광고 플랫폼 회사의 대표와 IDFA 정책에 관해 얘기를 나눈 결과도 별반 다르지 않았다. 광고 플랫폼 업계에서는 IDFA를 대체할 방안도 모색 중인 것으로 보인다. 애플 스토어킷(Storekit) 기능으로 최근 iOS 14와 함께 발표한 SKAdNetwork 2.0 ⁽⁵⁾활용에 관한 관심도 높아지고 있다. 사용자 프라이버시를 유지하면서 광고 캠페인의 성과를 측정하기 위한 용도로 활용될 수 있다는 것이 강점이다. 예를 들면 광고 캠페인을 통한 앱 설치 횟수와 같은 “컨버전” 효과를 측정할 수 있다. 사용자 프라이버시 침해 없이 광고 플랫폼 기업에서 필요한 정보를 제공하는 방안들이 점차 더 가시화될 것으로 점쳐볼 수 있다.

한편, 광고업계에서는 과연 iOS 사용자 중 얼마나 옵트-인을 할 것인가에 촉각을 세우고 있다. iOS 14로의 업그레이드가 본격화되는 2020년 말경에는 대략 윤곽이 드러날 것으로 보인다. iOS가 안드로이드와는 달리 파편화되어 있지도 않고, 또 최신 운영체제로의 업그레이드 비율이 매우 높으므로 비교적 이른 시점에 새로운 프라이버시 기능들이 광고시장 전반에 미치는 영향이 파악될 것으로 보인다.

표준화에 대한 논의도 활발해질 것으로 보이며, 이런 논의에 애플도 결국 동참할 것으로 판단된다. iOS 14에서 시행한 조처들은 다수 사용자의 호응과 함께 즉시 효과를 나타낼 것으로 예상하지만, 다양한 컴플라이언스 이슈를 충분히 충족하는지 혹은 그 반대로 너무 포괄적이라 사용자 경험 및 서비스 생태계, 광고 시장 전반에 걸쳐 부정적인 결과를 초래할지 향후 면밀한 검토가 필요하다. 예를 들면 iOS 14의 옵트-인 과정이 GDPR에 부합하는지에 대한 분석도 아직 충분하지 않은 상태다. GDPR에서는 사용자(Data Subject)의 동의에 대해서 다음과 같이 상당히 구체적으로 언급하고 있다.⁽⁶⁾

‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.

현재 iOS 14의 옵트-인 과정에서 사용자에게 제공되는 메시지가 충분한 정보를 담고 있다고 보긴 어렵다. 아마도 iOS 업데이트에는 이런 부분들이 점차 반영되며 컴플라이언스 이슈, 광고시장의 의견들을 수렴해 나아갈 것으로 전망된다. 궁극적으로는 안드로이드 기기 및 브라우저 전반에 걸쳐 적용되며 퍼블리셔 및 광고 플랫폼 생태계에도 영향을 미치게 될 것이다. 결국 디지털 광고를 대하는 사용자 경험 관점에서의 뉴 노멀로 진화할 것으로 기대된다.