“EBS 접속시 수백분의 1초 내에 광고추적기 24개가 가상 교실 내 아동의 움직임과 상호작용을 저장하고 이 정보를 15개 기술회사에 전송한다.”

비영리 국제인권단체 휴먼라이트워치(Human Right Watch)가 각국의 교육 서비스 속 프라이버시 침해 요소를 평가한 보고서에 EBS의 프라이버시 문제가 지적된 사실이 확인됐다. 보고서는 EBS가 이용자의 ‘쿠키’를 통해 행태정보를 수집하고 이를 제3자에 제공하고 있다는 지적을 담았다. 정필모 더불어민주당 의원실과 세이브더칠드런이 보고서 내용을 확인하고 EBS에 관련 서면 질의를 통해 문제를 지적했다.  

▲ EBS 사옥
▲ EBS 사옥

 휴먼라이트워치 보고서는 EBS사이트 내 제3자 쿠키를 통한 행태정보 수집을 문제로 지적했다. 행태정보는 웹사이트 및 앱 방문·사용 이력, 구매·검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악·분석할 수 있는 온라인상의 활동정보를 말한다. 이용자의 다양한 행태정보를 결합하면 이용자의 사상·신념, 정치적 견해, 건강, 신체적·생리적·행동적 특징 및 민감한 정보를 생성하고 식별할 가능성이 있다. 최근 구글, 페이스북과 인스타그램을 운영하는 메타가 개인정보보호위원회로부터 1000억 원대 과징금을 부과받은 이유 역시 제3자 사이트의 행태정보를 수집한다는 점 때문이다.

휴먼라이트워치 보고서는 EBS에 광고 추적기 24개가 작동되며 수시로 다양한 정보를 수집하고 있다고 밝혔다. 특히 보고서는 BlueKai라는 데이터 브로커도 EBS의 정보를 수집하고 있다고 지적했다. BlueKai는 이용자 정보를 수집하고 결합해 판매하는 세계 최대 규모의 데이터브로커로 수십억명의 프로파일(여러 사이트 속 행태정보를 결합해 이용자를 식별하는 것)을 만들었고 관련 정보를 유출시켜 논란이 된 사업자다. 

보고서는 EBS가 ‘광고추적기 이용’을 하고 이를 통해 수집된 정보를 15개 광고 기술회사에 전송하면서도, 개인정보 처리방침 등을 통해 밝히지 않은 점도 문제로 지적했다.

실제 EBS가 정필모 의원실에 제출한 자료에 따르면 EBS는 구글과 광고업체 등 제3자에 ‘방문여부’ ‘구매상품명’ ‘구매수량’ ‘접속위치’ 등 정보를 제공하고 있다. 2022년 6월 이전에는 페이스북에 광고 집행을 하면서 페이스북에도 EBS 사이트 내 쿠키를 제공하기도 했다. 

EBS는 정필모 의원실이 ‘보고서 내용에 따른 조치 사항’을 묻자 △EBS 서비스 전수조사를 통해 불필요한 쿠키 제거 △관리감독 강화를 위해 쿠키 적용을 위한 계약서 및 공문, 업체명, 관련 정보 보관 및 관련 모니터링 등 개선 방안을 수립했다고 답변했다.

다만, EBS는 ‘반박성 입장’도 함께 담았다. EBS는 “아동 데이터가 전송된다고 기술한 내용은 주로 메인 사이트 및 EBSlang 사이트의 광고 마케팅을 위해 외부 플랫폼에 게재한 배너 광고 효과 측정용으로 삽입한 트래킹(행동 추적) 코드에 의한 것”이라며 “EBS는 최소한의 정보를 수집한다”는 입장이다. 

그러나 EBS의 이 같은 쿠키 정보 수집 행태가 우려스럽다는 지적이 있다. 오병일 진보네트워크센터 대표는 “문제가 되는 건 제3자 쿠키”라며 “특히 광고 목적의 제3자 쿠키는 페이스북 등에 ‘배너 광고’ 추적을 위해 넘어갔다 해도 이후 다르게 쓰였을 가능성을 배제할 수 없다”고 지적했다. 오병일 대표는 “아동도 이용할 수 있는 EBS는 다른 사이트보다 더욱 주의를 기울일 의무가 있다”고 덧붙였다. EBS는 ‘BlueKai’에 정보를 제공하지 않았다면서도 ‘광고 기업으로 넘어간 정보’가 추후 어떻게 활용되는지까지는 파악할 수 없다는 입장이다. 

실제 이용자들은 이 같은 정보 제공 현황을 제대로 인지하지 못하는 사실에도 주목할 필요가 있다. 세이브더칠드런이 청소년 900명과 보호자 900명 등 1800명을 대상으로 설문조사를 실시한 결과 이 같은 정보 제공 현황을 인지하지 못하는 경우가 적지 않았다. 

EBS가 개인정보 처리방침을 통해 밝힌 ‘EBS가 개인정보를 기업에 제공할 수 있다’는 내용에 ‘동의하지 않았다’는 응답이 아동·청소년과 학부모 모두 37.1%로 나타났다. ‘EBS가 서비스 이용빈도 및 시간, 결제 내역을 다른 기업에 제공할 수 있다’는 데는 아동·청소년의 38.6%, 학부모의 38.7%가 ‘동의하지 않았다’고 답했다. 또한 ‘마케팅 목적의 웹사이트 접속 및 이동경로를 수집하고 다른 기업에 제공할 수 있다’‘는 데는 아동·청소년 42.2%, 학부모 40.4%가 동의하지 않았다고 응답했다.

▲ 세이브더칠드런의 아동 및 보호자 인식조사 갈무리(표본 오차 : 95% 신뢰수준 ± 3.3%)
▲ 세이브더칠드런의 아동 및 보호자 인식조사 갈무리(표본 오차 : 95% 신뢰수준 ± 3.3%)

EBS에 따르면 전체 EBS 회원 중 14세 미만 아동 및 청소년은 4.4%, 14세 이상 18세 미만은 19.7%에 달한다.

근본적으로 제3자 쿠키에 대한 제도 미비가 문제라는 지적도 있다. 현재 국내에선 쿠키정보가 개인정보인지 여부를 판단하거나, 관련 규제를 하지 않고 있다. 대신 개인정보보호위원회의 ‘아동청소년 개인정보보호 가이드라인’은 아동·청소년의 행태정보를 수집한 맞춤형광고는 최소화해야 하며 사전에 명확히 안내하고 동의를 받아야 한다고 규정하고 있다.

이 같은 정보 제공은 ‘유엔아동권리협약’의 아동의 실제 혹은 추론된 특성에 대한 디지털 기록을 기반으로 어느 연령대의 아동이든 프로파일링하거나 대상으로 삼는 것을 법으로 금지해야 한다는 조항 위반 소지도 있다.

정필모 의원은 “‘쿠키’ 그 자체로는 식별정보가 아니라도 ‘쿠키’끼리의 결합을 통해 식별될 가능성은 충분히 있고, 개인정보보호법 제2조에서 이 내용을 명시하고 있다”며 “정보수집 안내에 대해서도 아동·청소년에 대한 정보를 수집할 때는 더욱 쉽게 설명해야 한다는 개인정보보호법 제39조와 가이드라인에 따라, EBS 온라인 클래스 등의 이용자 다수가 아동·청소년인만큼 이러한 문제를 민감하게 받아들여 개선 대책을 마련해야 할 것”이라고 지적했다. 

세이브더칠드런 역시 “유엔아동권리위원회가 지난해 발표한 것과 같이 디지털 환경에서 아동의 정보를 수집할 때는 정당한 목적 아래 최소화의 원칙에 어긋나지 않게 수집해야 한다”면서 “반드시 필요한 경우라도 행태정보 등 아동·청소년 개인정보를 수집하는 것에 대해 충분히 알리고 동의를 구하는 절차가 필요하다”고 말했다.

오병일 대표는 “개인정보보호위원회도 아동, 청소년 대상으로는 더 신경쓰라고 권고하는 정도로 정작 중요한 쿠키정보에 대한 법적 판단을 명확히 내리지 않은 상태”라며 “유럽에서는 광고 목적의 제3자 쿠키 수집은 동의를 받고 있는데, 국내도 동의 절차를 마련하는 등 제도 개선 논의가 필요하다”고 밝혔다.

이와 관련 EBS는 “아동·청소년 개인정보보호를 위해 지난 6월 서비스 또는 사업에 필요한 필수 쿠키를 제외한 불필요한 쿠키 생성 차단했으며, 아동·청소년 개인정보 수집 처리를 위한 고지 및 안내를 강화하는 등의 조치를 취했다”며 “시청자의 개인정보 보호를 위해 최선의 노력을 다하겠다”고 밝혔다.

저작권자 © 미디어오늘 무단전재 및 재배포 금지