2025년 9월, 미국 캘리포니아 북부지방법원 샌프란시스코 연방 배심은 구글이 사용자들의 프라이버시 권리를 침해했다는 평결을 내렸다.
배심은 구글이 “활동 저장 끄기(Web & App Activity, 이하 WAA)” 설정을 꺼둔 이용자들의 데이터까지 수집해 왔다고 인정하고, 약 9,800만 명의 사용자와 1억 7,400만 대의 기기를 대상으로 총 4억 2,570만 달러의 배상을 명령했다. 이는 2023년 구글이 ‘시크릿 모드(Incognito)’ 브라우저 추적 소송에서 50억 달러에 합의한 데 이어, 다시 한 번 데이터 활용 방식이 법정에서 문제로 지적된 사례다.
이번 소송은 2020년 시작되었다. 원고 측은 구글이 제공하는 WAA 또는 세부 활동 저장(sWAA) 기능을 끈 상태에서도, 모바일 앱과 웹을 통한 사용자 활동이 여전히 기록되고 있다고 주장했다. 특히 앱 개발에 널리 쓰이는 구글의 파이어베이스(Firebase)나 광고 SDK(GMA SDK) 등에서 발생하는 데이터가 자동으로 구글 서버에 전송되며, 이는 소비자에게 고지되지 않았다는 점이 쟁점이 되었다.
소송의 핵심은 ‘해당 설정을 껐을 때 이용자가 합리적으로 기대하는 상태’와 ‘실제 기술적 데이터 흐름’ 사이의 불일치였다. 원고 측은 이용자가 WAA를 껐을 때 당연히 데이터 수집이 중단된다고 이해하는 것이 합리적이라고 주장했다. 반면 구글은 일부 데이터는 서비스의 기능적 작동을 위해 필수적으로 발생하는 로그에 불과하며, 고의적 추적이 아니라고 항변했다.
2024년, 해당 소송은 본격적인 집단소송 절차로 확정되었고, 2025년 8월 배심 재판이 시작되었다. 약 한 달간의 심리를 거쳐 배심은 구글의 프라이버시 침해를 인정하면서도, 악의적 은폐 행위까지는 아니라고 판단해 징벌적 손해배상은 기각했다. 그러나 ‘설정과 실제 데이터 처리의 괴리’라는 문제를 분명히 확인하며, 대규모 배상 평결을 내림으로써 데이터 활용 관행에 강한 경고음을 울렸다.
논쟁의 핵심은 “사용자가 웹 및 앱 활동(Web & App Activity·WAA) 또는 보조 설정(sWAA)을 꺼 둔 상태에서 어떤 데이터가 여전히 구글로 전송·저장되었는가”였다. 원고 측은 2016년 7월 1일부터 2024년 9월 23일까지의 기간 동안, 제3자 앱 속 구글 SDK(예: Google Analytics for Firebase·GA4F, Google Mobile Ads·GMA) 를 통해 WAA/sWAA를 꺼도 앱 활동(앱 실행·세션 시작·인앱 결제·이벤트 등)이 자동 전송되었고, 이는 구글의 설정 안내와 합리적 사용자 기대에 반한다고 주장했다. 재판부의 사전 결정(증거배제·증거허용 등)도 쟁점을 그렇게 한정했다. 즉 이 소송은 특정 앱의 민감도 논쟁이 아니라, “(s)WAA를 껐는데도 SDK를 통해 공통적으로 수집된 활동 데이터”와 그에 관한 구글의 고지·동의가 충분했는지가 관건이었다.
이에 구글은, 해당 수집은 기능 유지를 위한 기본 로그·통계에 가깝고, 사용자는 WAA를 끄면 일부 데이터가 계속 수집·처리되는 이유를 추가 안내(예: “Are you sure?” 팝업 또는 링크)를 통해 알 수 있었으며, 수집 데이터도 가명처리(또는 집계)로 취급됐다고 항변했다. 나아가 데이터 유출·판매·기만은 없었고 실질적 손해도 없었다고 주장했다. 요컨대 쟁점은 “설정 설명과 실제 데이터 흐름 사이의 간극”을 법이 허용하는 범위의 동의·투명성으로 볼 수 있느냐였다.
배심은 2025년 9월 3일(현지), 원고 손을 들어 프라이버시 침해(침해적 프라이버시·intrusion upon seclusion 포함) 책임을 인정하고 배상 4억 2,570만 달러를 평결했다. 다만 CDAFA(캘리포니아 컴퓨터데이터 접근·사기법) 위반은 불성립으로 보고, 징벌적 손해 등 추가적 구제는 부여하지 않았다. 사건은 약 9,800만 명 사용자(언론 보도 기준, 약 1억 7,400만 대 기기 범위)로 인증된 대규모 집단을 포괄했고, 평결 직후 구글은 “제품 작동 방식에 대한 오해”라며 항소 의사를 밝혔다. 배심원 평의 과정에선 “평균적 사용자가 해당 설명을 명확히 이해했는지”가 논의되었다는 코멘트도 나왔다.
이번 평결은 과거의 브라우저 중심 분쟁과 결이 다르다. 2020년 제기되어 2023년 말 합의에 이른 일명 크롬 ‘시크릿 모드’(Incognito) 소송(Brown v. Google) 은 “비공개 브라우징에서도 추적됐다”는 의혹이 초점이었다. 그 사건은 2024년 4월 법원 제출 합의안에서 대규모 데이터 삭제·비식별화와 고지 개선을 골자로 정리되었고(원고가 청구한 ‘50억 달러’는 청구액이었지, 이용자 현금 보상 합의가 아니었다), 결과적으로 브라우저 사용 행태와 공시의 적정성이 논점의 중심에 섰다. 반면 이번 Rodriguez v. Google 은 웹 브라우저를 넘어 모바일 생태계의 앱 단(端) 까지 깊숙이 파고든다. 쟁점은 이용자가 웹·앱 활동 저장(WAA/sWAA) 을 ‘꺼둔’ 상태에서도, 서드파티 앱에 심어진 구글 SDK(예: Firebase/광고 SDK 등) 를 경유해 앱 활동 데이터가 백엔드로 전송·저장되었는지, 그리고 그에 대한 고지·동의가 충분했는지에 있었다.
배심은 2025년 9월, 구글이 이용자 프라이버시를 침해했다며 약 4억 2,570만 달러의 보상적 손해배상을 평결했다. 다만 캘리포니아 컴퓨터 데이터 접근·사기법(CDAFA) 위반은 불인정, 징벌적 손해배상도 불인정했다. 또 이 소송은 약 9,800만 명의 사용자와 1억 7,400만 대의 기기를 포괄하는 대규모 집단소송으로 인증된 점이 특징인데, 이는 ‘설정=수집 중단’이라는 평균적 이용자 기대와 기업의 기술적 설명 사이의 간극이 광범위한 규모에서 문제화되었음을 방증한다.
정리하면, 시크릿 모드 사건이 브라우저 이용 맥락의 공시·투명성을 다뤘다면, Rodriguez는 모바일 앱 생태계의 SDK 레이어에서 발생하는 ‘기본 로그/통계’ 수집조차 이용자 기대와 충돌할 수 있음을 법정에서 처음으로 배심 평결로 확인했다는 점에서 의미가 다르다. 그 결과, 쟁점의 무게중심은 “기술적으로 불가피한 수집”의 범위가 아니라, 그 불가피성에 대한 설계·고지·통제권의 설득력으로 이동했다.
이번 평결은 단순한 법정 사건을 넘어, 규제 환경이 더 엄격해질 수 있다는 신호로 받아들여진다는 관측도 나온다. “설정을 꺼도 데이터가 수집됐다”는 상황은 소비자 신뢰를 크게 흔드는 요소이기 때문에, 캘리포니아의 CPRA나 유럽의 GDPR 같은 기존 규제뿐 아니라 인도·브라질 등 신흥 시장에서도 참고 사례가 될 수 있다는 해석이다.
나아가 업계에서는 이번 사건이 개발자와 플랫폼 생태계 전반에 경고등을 켠다고 본다. 앱 개발 과정에서 흔히 사용되는 SDK조차 데이터 흐름의 투명성을 충분히 담보하지 못하면, 법적 분쟁의 뇌관이 될 수 있다는 것이다. 과거에는 단순히 “기능적 로그”로 여겨졌던 데이터도 이제는 법적 리스크의 범주에 포함될 수 있다는 점에서다.
결국 이번 사건은 배상액 자체보다도, 연쇄 소송 가능성·규제 조사·평판 관리 등 복합적 비용이 함께 뒤따를 수 있다는 점에서 의미가 크다는 평가다. 시장 일각에서는 이를 두고 “프라이버시는 이제 새로운 비용 항목이자, 동시에 기업 신뢰를 가르는 경쟁 요소가 되고 있다”는 말까지 나온다.
샌프란시스코 배심이 내린 이번 평결은, 법정에서 기술적 정당성보다 이용자의 직관적 기대가 더 무겁게 다뤄질 수 있음을 선명하게 드러냈다. 구글은 데이터 수집이 서비스 운영을 위한 ‘기본 로그’라고 설명했지만, 배심은 “활동 저장을 껐다면 데이터가 수집되지 않을 것”이라는 이용자의 상식을 더 중요하게 보았다. 이는 데이터 수집이 단순히 기술적 디폴트나 기업 내부 논리로 정당화될 수 있는 것이 아니라, 사회적 계약의 영역에 속한다는 점을 분명히 한 사건이었다.
이 평결은 빅테크 기업들에게 단순히 데이터 흐름을 해명하는 수준을 넘어, 신뢰를 구조적으로 설계해야 하는 시대에 들어섰음을 알린다. 이제는 SDK와 로그 수준의 수집조차도 투명한 고지와 실질적 선택권으로 뒷받침되지 않으면, 법적·사회적 도전에 직면할 수 있다는 메시지다. 결국 “얼마나 많은 데이터를 모을 수 있느냐”가 아니라, “사용자가 동의한 데이터만 어떻게 설계적으로 다룰 것인가”가 경쟁력의 핵심으로 부상하고 있다.
[METAX = 김하영 기자]
[저작권자ⓒ META-X. 무단전재-재배포 금지]
