안드로이드에서 CCPA 옵트아웃, 법적 요구와 실현 사이의 격차

초록

본 논문은 캘리포니아 소비자 프라이버시법(CCPA)의 옵트아웃 권리를 안드로이드 앱에서 실현하려는 두 가지 실험을 수행한다. 100개 인기 앱 중 48개만이 앱 내 UI로 옵트아웃을 제공했으며, 1,811개 앱에 글로벌 프라이버시 컨트롤(GPC) 신호를 삽입했을 때 대부분이 이를 무시한다. 광고 식별자(AdID)를 차단해도 효과는 미미했다. 저자들은 안드로이드의 AdID 설정을 법적 의미의 옵트아웃 수단으로 재활용할 것을 제안한다.

상세 분석

이 연구는 CCPA가 요구하는 ‘판매·공유 금지’ 옵트아웃 권리를 모바일 환경, 특히 안드로이드에서 기술적으로 어떻게 구현하고 검증할 수 있는지를 체계적으로 탐구한다. 첫 번째 실험은 100개의 인기 앱을 선정해 직접 UI를 탐색하고, 옵트아웃 버튼이나 링크가 존재하는지를 확인하였다. 결과는 절반에 못 미는 48%만이 명시적인 설정을 제공했으며, 나머지는 전혀 옵션을 제공하지 않거나 찾기 어려운 형태였다. 이는 앱 개발자가 법적 요구를 인식하고 있더라도 UI 설계 단계에서 사용성을 간과하고 있음을 시사한다.

두 번째 실험에서는 1,811개의 앱에 대해 네트워크 트래픽을 가로채고 HTTP 요청에 GPC 헤더(Sec-GPC: 1)를 삽입하였다. GPC는 캘리포니아 법이 명시적으로 인정하는 옵트아웃 신호이며, 2021년 1월부터 준수가 의무화되었다. 그러나 실험 결과 대부분의 앱과 그들이 연동하는 광고 네트워크(Vungle 등)는 GPC 신호를 무시하고 기존대로 데이터를 전송했다. 특히, GPC와 동시에 AdID 접근을 차단했을 때도 Vungle의 상태가 ‘opted_in’인 앱이 338개에 달했으며, ‘opted_out’으로 전환된 앱은 겨우 26개에 불과했다. 이는 현재 안드로이드 플랫폼이 GPC를 전파하거나 해석할 메커니즘이 부재함을 보여준다.

법적 분석을 통해 저자들은 CCPA 적용 대상이 되는 앱(연간 10만 명 이상 사용자 데이터 처리) 비율을 62%~81%로 추정한다. 즉, 상당수 앱이 법적 의무를 지니고 있음에도 불구하고 실질적인 옵트아웃을 제공하지 않는다. 기술적 측면에서는 GPC 신호 삽입, AdID 차단, 네트워크 트래픽 분석이라는 세 가지 방법을 결합했지만, 플랫폼 차원의 지원이 없으면 개별 앱 수준에서의 준수는 한계가 있다.

마지막으로 저자들은 Android의 기존 AdID 설정을 ‘법적 의미의 옵트아웃 스위치’로 재정의할 것을 제안한다. 현재 Google은 사용자가 AdID를 비활성화하면 광고주가 이를 이용해 맞춤형 광고를 만들 수 없도록 정책을 두고 있다. 이를 CCPA의 ‘Do Not Sell or Share’ 옵션과 직접 연결한다면, 사용자는 한 번의 설정만으로 법적 옵트아웃을 구현할 수 있고, 개발자는 별도 UI를 구현할 필요가 없어 준수 비용이 감소한다. 이는 플랫폼 제공자가 프라이버시 규제에 선제적으로 대응하는 모델로서, 규제 당국과 광고 생태계 모두에게 긍정적인 파급 효과를 기대할 수 있다.