구글 애널리틱스 유럽에서 불법일까
최근 오스트리아, 프랑스, 이탈리아 DPA의 ruling에 대한 단상
지난 주말을 지나고 유럽에서 일하는 Digital analyst들은 또 GDPR 때문에 분주한 한 주를 보냈다. 유럽에서는 디지털 개인정보보호법에 해당하는 GDPR이 데이터 수집, 사용, 저장 등에 아주 중요한 context가 된 지 오래다. 이 GDPR을 개별 국가에서 어떻게 적용할지 판단하고, 위법사례를 판단하는 DPA라는 조직들이 있는데 이탈리아의 DPA인 Grante에서 지난 주말 전 한 웹사이트가 구글 애널리틱스를 적절한 보호조치 없이 사용하고 있다고 판단한 것이다. 이미 오스트리아, 프랑스의 DPA에서 문제가 되었긴 했지만 연이은 ruling에 구글 애널리틱스 자체가 불법이 아닌가에 대한 질문이 쏟아지고 있다. 사실 한국은 이런 흐름에 조금 벗어나 있는 편이라 관련하여 글을 쓸 생각을 못했는데, 최근 유럽에서 비즈니스를 하는 아시아 기업들을 클라이언트로 둔 팀들이 이에 대해 사내 슬랙에서 조언을 구하는 것을 보고, 한번 궁금한 분들에게 정리해 올릴 필요가 있다 생각이 들었다.
1. 모든 구글 애널리틱스가 불법은 아니다.
조금 김이 빠질 순 있지만, 사실이 그렇다. 구글 애널리틱스는 현재의 GA3 (Universal Analytics) 이전에도 ga.js 등 수많은 라이브러리를 거치며 거의 15년 가까이 사용되어온 툴이다. 이미 GA3가 2023년 7월 sunset을 통보받은 뒤로, GA4로 빠른 속도로 넘어가는 중이다. 오스트리아, 프랑스, 이탈리아에서 문제가 웹사이트들 모두 GA3에 IP 주소를 anonymisation 하지 않거나, 사용자 동의 없이 GA에 데이터를 수집하는 등의 이유로 적발된 사례이다. 따라서 최근의 ruling 자체가 구글 애널리틱스 전체로 향하는 것은 맞지 않다.
2. 문제는 구글이 아니라 미국이다.
우리가 흔히 아는 NSA의 정보 사찰 문제는 유럽 국가들을 큰 쇼크에 빠트렸다. 정부를 가리지 않고 행해진 정보 사찰은 영원한 동맹국, 우호국, 경찰국가인 미국에 대해 유럽 국가들이 상당한 의구심을 품게 만들었다. 사실 의구심은 정중한 표현이고, 이 문제에 대해선 반감에 가깝다.
구글을 비롯한 미국의 software vendor들은 당연히 자신들의 고객, 소비자 데이터를 미국 서버에 저장했다. 광복절에 미국 국기를 광화문에서 흔들면서 미국 만세를 부르는 사람들이 있는 한국에서야 문제가 되지 않겠지만, 유럽은 NSA 사태를 거치며 자신들의 데이터에 다른 정부가 들여다볼 수도 있다는 것에 대해 큰 문제로 생각하기 시작했다. GDPR은 이를 위한 명백한 근거를 제공하고, 여기에 미국과 EU 간에 data transfer를 어떻게 할 지에 대해 합의가 필요했던 것도 영향을 끼쳤다. 최근 framework에 대해 합의는 했지만, 공식적 합의로 이어지기까지는 아직 시간이 필요하다.
따라서 최근의 ruling들은 유럽 소비자들의 데이터가 적절한 정보보호조치가 없는 미국이라는 국가의 서버에 저장되는 것이 불법이라 봤다. 이는 구글 애널리틱스뿐만 아니라 Google Ads, SA360, DV360 등 모든 GMP 제품군에 해당되는 내용이고 더 나아가 Adobe Analytics 같은 경쟁사 제품도 당연히 포함되며, Facebook, LinkedIn, Twitter 등의 광고 제품 모두에 해당하는 것이다. 이 뿐만 아니라 DNS, CDN 등 뭐 거의 전 세계 소프트웨어 제품이 다 날아가는 거라고 보면 된다.
중요한 점은 최종 법적 권한을 갖고 있는 EU COJ (Court of Justice)가 구글 애널리틱스는 물론이며 모든 미국 software vendor들에 대해 아직 불법이라 판단하지 않았다는 것이다. 그러므로 갑자기유럽에서 내일 인터넷이 안 될 염려는 하지 않아도 된다.
아안돼 내일 아마존 프라임 데이란 말이다3. 더욱 문제는 Personal Information이다.
나와 동료들은 사실문제가 된 웹사이트들이 사용자 동의 없이 데이터를 무단으로 수집한 것이 더욱 문제가 된다고 생각했다. 다만 여기에 중요한 reference가 들어가 있는데 바로 'personal information'이다.
Personal information이 무엇일까. 여기에 대해서는 앞서 쓴 글을 꼭 읽어보시기 바란다.
https://brunch.co.kr/@jaehoshindler/13
다만 하나 흥미로운 점은 최근 ruling들에서 IP 주소가 계속 문제가 되었다는 점이다. 사실 IP 주소 자체는 개인을 특정하기 어려운 정보이다. 고정 IP를 사용하는 경우를 제외하고는 한 도시 안에 같은 인터넷망을 쓰는 사용자 전체가 같은 IP 주소를 보이기도 한다. '표창장 위조 얘가 했어요'의 근거로 사용되기 어려운 이유도 같다. 그렇지만 유럽 DPA들이 의견을 같이 하는 것은 어쨌든 IP 주소는 소비자 개인정보라는 것이다.
여기서 짚어야 할 점은 구글애널리틱스4 (GA4)에서 IP address는 저장되지 않는다는 점이다. 구글은 EU에서 최근의 흐름을 반영해 아래의 변화를 이미 부여했다. GA4는 이에 GA3보다 훨씬 강화된 개인정보 보호 솔루션을 제공한다.
EU 사용자의 GA4 데이터는 EU에 있는 서버에 저장된다.
GA4는 IP 주소를 기본적으로 anonymisation 한다.
GA4는 세부 지역정보 및 기기 정보를 국가 별로 뺄 수 있다.
GA4는 retention policy도 강력하다 - 2개월 또는 14개월까지 정할 수 있다.
GA4 자체가 문제의 소지가 없다는 것은 앞에서 다룬 이유들로 아니다. 다만, GA3보다 훨씬 강력한 개인 정보보호 솔루션을 제공하고 있으니 내년까지 미루지 말고 빨리 migration 해야 한다는 것이다. 이에 따라 아래와 같이 유럽에서 구글애널리틱스를 사용할 수 있는 course of action을 정리해봤다.
PII (Personally Identiable Information)은 GA에 저장하지 않기: 관련 솔루션은 아래의 글을 참고하시길 바란다.
https://brunch.co.kr/@jaehoshindler/31
GA 데이터 수집 시 사용자 동의를 꼭 받기: 이 동의는 아주 능동적인 동의다.
GA4로 빨리 migration 하기: 현재 시점에서 아무리 강조해도 지나치지 않음.
IP 주소를 anonymisation 하기: GA4는 기본으로 설정되어 있다. 물론, 여기에도 더 하고 덜 하고의 의미가 있지만... 혹시 궁금한 분은 댓글을 남겨주시길 바란다.
GA에서 데이터 공유를 알맞게 설정하기: Account 단위로 설정할 수 있다.
만약의 경우를 대비해 local property 없이 roll-up property 만 두지 않기
이메일 주소를 UserId로 사용하지 않기: 아 생각만 해도 끔찍하다.
구글 시그널 알맞게 끄기
Server-side GTM
일 이야기라 빨리 쓰긴 했는데 다시 지인들에게는 지루한 글이라 생각이 된다. 뭐 별 수 있나, 이제 여름휴가나 가야지.
*이 글은 제 개인적인 의견을 밝힌 글로 MightyHive Inc. 및 Media.Monks 의 입장과 다를 수 있습니다.
