Meta는 2024년 미국·캐나다 사용자 한 명당 약 233달러를 벌어들였어요. 구독료가 아니에요. 여러분이 타이핑하고, 클릭하고, 마우스를 올리고, 무시했던 모든 행동으로 만들어진 행동 프로필을 광고주에게 판매한 수익이에요.
이 수치는 Meta의 분기 실적 보고서에서 직접 나온 거예요. 프라이버시 활동가의 추정치가 아니라, 광고 시장이 여러분의 주의와 행동 데이터에 매긴 가격이에요. 그리고 매년 오르고 있어요.
서비스가 무료라면, 여러분이 거래를 잘 한 게 아니에요. 여러분 자체가 거래 상품인 거예요.
가입할 때 실제로 무엇이 수집되나요
이메일 주소는 시작에 불과해요. 계정을 만드는 순간 — 아니, 그 이전에 추적 픽셀과 서드파티 스크립트를 통해 이미 — 기업은 프로필을 쌓기 시작해요.
이름, 이메일, 생년월일, 위치 같은 명시적인 정보는 누구나 알고 있어요. 하지만 진짜 가치는 행동 데이터에 있어요. 모든 스크롤, 잠깐 멈춤, 검색어, 오래 바라본 콘텐츠가 기록돼요. 그리고 이 데이터들은 여러분이 누구에게도 말하지 않은 것들을 추론하는 모델에 입력돼요. 불안감이 있는지, 임신 중인지, 곧 차를 살 계획인지 같은 것들이요.
이 모든 것의 밑바닥에는 기술적 핑거프린팅이 깔려 있어요. 브라우저 종류, 화면 해상도, 설치된 글꼴, 그래픽 카드 동작 방식 — 이것들을 조합하면 쿠키를 지워도, 로그인하지 않아도 여러분을 따라다니는 거의 고유한 식별자가 만들어져요. EFF의 Cover Your Tracks 도구(로그인 없이도 이용 가능해요)를 쓰면 방문하는 사이트에서 여러분의 브라우저가 얼마나 고유하게 보이는지 직접 확인할 수 있어요. 대부분의 사람들은 결과를 보고 놀라요.
특히 벗어나기 어려운 건 교차 사이트 추적이에요. 서드파티 사이트의 “Google로 로그인”, “Facebook으로 로그인” 버튼은 클릭하지 않아도 Google과 Meta에 신호를 보내요. 로그인 위젯이 불러와지는 순간, 추적은 이미 이루어진 거예요. 그 사이트에 가입한 적도 없는데 방문 기록은 이미 남아 있어요.
페이지가 열릴 때마다 벌어지는 실시간 경매
프로그래매틱 광고가 실행되는 웹페이지를 열면, 약 100밀리초 안에 경매가 열려요. 여러분의 프로필 — 추론된 인구통계, 구매 의향 신호, 검색 기록 — 이 수백 명의 광고주에게 전달돼요. 그들이 입찰하고, 낙찰자가 광고를 노출해요. 이 과정은 전혀 보이지 않지만, 여러분의 데이터는 낙찰자뿐 아니라 모든 입찰 참가자와 공유된 거예요.
이게 바로 실시간 입찰(RTB)이에요. 광고 경제의 근간이죠. 프라이버시 침해는 부작용이 아니라 구조 자체예요. 수백 곳과 동시에 데이터를 공유하는 게 시스템이 돌아가는 방식이니까요.
Google의 광고 부문은 2024년 약 2,370억 달러를 벌어들였어요. Alphabet이 브랜드 인지도만으로 광고를 파는 게 아니에요. Search, Gmail, YouTube, Maps, Android, Chrome 브라우저에 걸쳐 동시에 행동을 추적하기 때문에 가능한 정밀 타겟팅을 파는 거예요. 2022년 밴더빌트대학교 연구에 따르면, 아무것도 하지 않는 Android 기기가 시간당 약 14번 Google 서버에 데이터를 전송한다고 해요.
생각보다 훨씬 심각한 데이터 유출 문제
무료 계정은 계속 쌓여요. 시간이 지나면 대부분의 사람들이 수십 개의 계정을 갖게 되죠. 포럼 가입, 무료 체험 신청, 쓰다 잊어버린 앱들. 그리고 각각이 잠재적인 해킹 대상이 돼요.
Troy Hunt의 Have I Been Pwned 데이터베이스(로그인 없이 확인 가능해요)는 2025년 초까지 140억 개 이상의 침해 계정을 추적해왔어요. 소규모 포럼부터 대형 플랫폼까지 수천 건의 개별 유출 사고가 담겨 있어요. 여러분의 이메일 주소가 여러 번 등장할 가능성이 높아요.
진짜 재앙은 개별 유출이 아니라 그 이후에 일어나는 일이에요. 데이터 브로커들이 여러 출처의 기록을 모아 합치고 종합 프로필을 팔아요. 2024년 National Public Data 유출 사고에서는 사회보장번호와 주소를 포함한 약 29억 건의 기록이 노출됐어요. 이 회사는 데이터 브로커였어요. 무료 서비스에서 데이터가 끊임없이 흘러나오고, 이를 사고 정제해서 되파는 시장이 있기 때문에 그 정보를 처음부터 수집한 거예요.
IBM의 2024년 데이터 유출 비용 보고서는 전 세계 평균 유출 비용을 사건당 488만 달러로 집계했어요. 하지만 그건 기업의 비용이에요. 데이터가 노출된 개인들은 다른 방식으로 대가를 치러요. 피싱 시도, 다른 계정에 대한 크리덴셜 스터핑 공격, 몇 년 후의 신원 도용으로요.
“유출된 데이터는 사라지지 않아요 — 계속 돌아다녀요. 2016년에 노출된 자격증명이 2026년에도 크리덴셜 스터핑 공격에 쓰이고 있을 수 있어요.”
별것 아닌 줄 알았던 데이터가 어디에 쓰이나요
가장 충격적인 사례들은 가상의 시나리오가 아니에요. 조사가 이루어지고, 벌금이 부과되고, 일부는 당사자가 인정한 실제 사건들이에요.
Meta의 광고 픽셀이 미국 상위 100개 병원 웹사이트 중 최소 33곳에 심겨 있었다는 게 밝혀졌어요. 특정 질환 검색, 예약 상호작용 같은 환자의 건강 문의 데이터가 Facebook 광고 타겟팅 시스템으로 전송되고 있었어요. 2022년 The Markup이 보도한 내용이에요. 그 데이터는 병원 시스템 밖으로 나가선 안 되는 것들이었어요.
온라인 심리상담 플랫폼 BetterHelp는 2023년 FTC와 780만 달러 합의를 맺었어요. 건강 데이터를 공유하지 않겠다는 명시적인 약속을 어기고, 이용자의 민감한 정신건강 정보를 Facebook과 Snapchat의 광고 타겟팅에 활용했기 때문이에요.
트위터(인수 전)는 2023년 1억 5,000만 달러에 합의했어요. 이중 인증 보안을 위해 수집한 전화번호를 광고 타겟팅에 사용했거든요. 보안을 위해 제공한 번호가 수익 창출에 쓰인 거예요.
Google은 2022년 3억 9,100만 달러의 다주 합의금을 냈어요. AP통신 조사에서 “위치 기록”을 명시적으로 비활성화한 이용자의 정확한 위치를 계속 추적한 것으로 드러났기 때문이에요. 설정은 한 가지를 말했고, 실제 동작은 다른 것을 했어요.
이런 사례들은 예외가 아니에요. 세계 최대 기술 기업들을 대상으로 한 연방 규제 기관의 공식 제재 조치들이에요.
GDPR이 도움이 되는 곳, 그렇지 않은 곳
EU의 일반 개인정보 보호법(GDPR)은 유럽 이용자에게 의미 있는 권리를 부여해요. 데이터 접근, 삭제, 이동, 그리고 기업이 개인정보 처리의 법적 근거를 제시해야 한다는 요건이죠. GDPR 벌금은 글로벌 연간 매출의 4%까지 부과될 수 있어요. Meta가 2018년 이후 12억 유로가 넘는 GDPR 벌금을 낸 이유가 여기 있어요.
캘리포니아 소비자 개인정보 보호법(CCPA)은 캘리포니아 주민에게 비슷한 권리를 줘요. 기술적으로는 데이터 브로커에게 기록 삭제를 요청할 수 있어요. 문제는 Consumer Reports 연구에 따르면, 브로커들이 종종 몇 달 안에 다른 출처를 통해 삭제된 데이터를 다시 확보한다는 거예요. 삭제 요청은 한 번만 작동해요. 데이터 경제는 빈자리를 자동으로 채워요.
2026년 현재, 미국에는 여전히 포괄적인 연방 개인정보보호법이 없어요. 보호 수준은 주, 산업 분야, 기업의 선의에 따라 달라요. 캘리포니아와 EU 밖의 대부분 이용자에게는 법적 보호가 미약해요.
사실 이렇게 비교해봐야 해요
| 도구 | 계정 필요 여부 | 수집 데이터 | 수익 모델 |
|---|---|---|---|
| Google Docs | 필요 | 문서 내용, 행동, 메타데이터 | 광고 타겟팅 |
| Microsoft 365 Free | 필요 | 사용 원격 측정, 콘텐츠 스캔 | 업셀 + 데이터 |
| Photopea (로그인 없음) | 불필요 | 최소한의 세션 데이터 | 디스플레이 광고 (비타겟) |
| Excalidraw (로그인 없음) | 불필요 | 서버에 저장되는 것 없음 | 오픈소스 / 후원 |
| PDF24 Tools (로그인 없음) | 불필요 | 파일 내용 (처리 후 삭제) | 광고 |
Photopea는 데스크톱 앱 수준으로 PSD 파일을 처리해요. Excalidraw는 완전한 협업 화이트보드예요. 둘 다 계정이 필요 없어요. 행동 프로필을 쌓지도 않아요. 이런 도구들과 계정이 필요한 유사 도구 사이의 기능 격차는 크게 좁혀졌어요.
항상 로그인 불필요 도구가 유리한 건 아니에요 — Google Docs에는 Photopea에 없는 기능이 있죠. 하지만 일상적인 작업의 상당 부분은 기능 차이가 미미하거나 아예 없어요. 그리고 그 경우 트레이드오프는 완전히 달라지는 거예요.
실제로 할 수 있는 것들
지속성이 필요 없는 작업에는 로그인 불필요 도구를 쓰는 게 가장 직접적인 방법이에요. 빠른 이미지 편집, 파일 변환, PDF 도구, 화이트보드 스케치, 문법 검사 등 수십 가지 용도에서 가입 없이 잘 작동하는 도구들이 있어요. nologin.tools는 검증된 옵션의 큐레이션 목록을 유지하고 있어요.
계정이 정말 필요한 경우에는 임시 이메일 서비스로 가입용 일회용 주소를 만들 수 있어요. 실제 받은 편지함이 수십 개 서비스에 연결된 데이터 포인트가 되는 걸 막아줘요. 로그인 후 행동 추적까지 막아주진 않지만, 여러 서비스에서 실제 신원이 통합되는 걸 제한할 수 있어요.
브라우저 관리도 중요해요. 용도별로 다른 브라우저를 사용하고, 강력한 콘텐츠 차단을 설정하고, 브라우저가 무엇을 노출하는지 파악하는 게 모두 의미 있어요. BrowserLeaks에서 현재 설정에서 보이는 핑거프린팅 데이터를 확인할 수 있어요.
최근 Hacker News에 등장한 Ichinichi — 하루 하나의 메모를 작성하는 E2E 암호화 로컬 우선 앱 — 는 주목할 만한 더 넓은 설계 방향을 보여줘요. 데이터를 클라우드가 아닌 기기에서 처리하는 로컬 우선 앱은 서버 측 데이터 축적 문제를 원천적으로 피해요. 로컬 우선, 제로 지식, 프라이버시 설계 도구들이 빠르게 늘어나고 있어요. 도덕적 승리 때문이 아니라, 충분히 많은 사용자들이 요구하기 시작했고 그에 대한 시장이 생겼기 때문이에요.
이미 일어나고 있는 변화
규제 압박은 강해지고 있어요. 제재 금액도 커지고 있어요. GDPR 벌금은 10억 유로를 넘어섰어요. FTC는 최근 들어 데이터 관행에 대해 지난 10년보다 훨씬 적극적으로 움직이고 있어요. 주 단위 입법도 늘어나고 있어요. 데이터 오용의 법적 비용이 올라가면서, 이용자 데이터를 순수한 이익으로만 봐왔던 기업들의 계산이 달라지고 있어요.
기술적 대안도 그 어느 때보다 좋아졌어요. 거의 모든 일반적인 작업 흐름에서 프라이버시를 보호하는 도구들이 존재하고, 오픈소스 기반으로 만들어진 것들이 많아서 독점 서비스가 제공할 수 없는 방식으로 신뢰할 수 있어요.
하지만 기본 설정은 여전히 감시예요. 대부분의 사람들은 계속 계정을 만들고, 읽지 않은 약관에 동의하고, 매일의 디지털 기록으로 행동 광고 생태계를 자신도 모르게 지원할 거예요. 그 기본값을 바꾸는 것 — 도구를 하나씩 바꿔가는 것 — 은 완벽한 해결책이 아니지만, 실질적인 해결책이에요.
문제는 계정 없이 완전히 살아갈 수 있느냐가 아니에요. 아마 그건 불가능할 거예요. 문제는 어떤 계정이 진짜 필요한지, 그리고 대안을 찾아보기 귀찮아서 그냥 가입한 것은 어떤 건지예요.