생리 추적 앱 Flo, 사용자 데이터를 Meta에 판매한 사실 확인돼

사건의 배경

 

이번 기사는 생리, 임신 추적 앱 Flo가 이용자의 민감한 건강정보를 Meta 등 제3자에게 공유했다는 의혹이 미국 소송에서 확인되면서 디지털 헬스케어 앱의 개인정보 보호 문제가 거론된 사건을 다루고 있다. 기사에 따르면 Flo Health는 생리 주기, 임신 여부, 성생활, 증상 등 매우 민감한 정보를 입력받는 앱인데, 2016년 11월부터 2019년 2월 사이 앱에 내장된 SDK를 통해 이용자 정보를 Meta, Google 등 광고, 분석 사업자에게 전송했다는 의혹을 받았다. 미국 캘리포니아 배심원단은 2025년 8월 Meta가 Flo 앱 이용자의 민감 건강정보를 동의 없이 수집한 행위가 캘리포니아 프라이버시 법을 위반했다고 판단했다.

생리 추적 앱은 단순 편의 앱이 아니라 사실상 가장 민감한 건강정보를 다루는 서비스이다. 이용자는 자신의 몸 상태와 생리 주기, 임신 가능성, 성생활 관련 정보를 앱에 입력하면서 건강 관리를 기대한다. 그런데 그 정보가 광고 추적이나 타깃팅 생태계로 흘러갔다는 것은 이용자 신뢰를 정면으로 무너뜨리는 일이라고 느껴졌다.

 

개인정보 침해 쟁점

 

이번 사건의 핵심 쟁점은 이용자가 입력한 건강정보가 앱 기능 제공을 넘어 광고 및 분석 목적으로 제3자에게 전달됐다는 점이다. 보도에 따르면 원고들은 Flo가 Meta와 Google의 SDK를 앱에 넣었고, 이를 통해 생리및 임신 관련 정보가 제3자에게 공유됐다고 주장했다. 특히 Flo는 이용자에게 민감 건강정보를 비공개로 보호하겠다는 취지의 설명을 해왔는데, 실제로는 외부 광고, 분석 도구와 데이터가 연결됐다는 점이 문제로 지적됐다.

이 부분이 중요한 이유는, 생리 및 임신 정보가 개인의 성생활, 임신 계획, 질병 가능성, 낙태나 피임 같은 민감한 삶의 선택과 연결되기 때문이다. 이런 데이터가 외부로 흘러가는 것 자체가 이용자에게 매우 큰 위협이 될 수 있다. 

또 하나 중요한 쟁점은 '식별되지 않는 데이터'라는 설명의 한계다. 기업들은 종종 광고 SDK로 전송되는 정보가 직접 이름을 포함하지 않거나, 분석 목적이라고 설명한다. 하지만 앱 사용자 식별자, 기기정보, 광고 ID, 이벤트 정보가 결합되면 특정 이용자의 행동과 건강 상태를 상당히 정밀하게 추론할 수 있다. 직접 식별자뿐 아니라 결합 가능성과 추론 가능성까지 고려해야 한다고 생각한다.

 

관련 규범을 찾아보며

 

이번 사건은 미국 캘리포니아 프라이버시 법과 집단소송 맥락에서 진행됐다. Reuters 보도에 따르면 Google과 Flo Health는 이 사건과 관련해 총 5600만 달러 규모의 합의에 동의했고, Meta는 합의하지 않고 재판을 진행했다가 2025년 8월 배심원단으로부터 책임이 인정됐다. 원고들은 Flo가 민감한 생리 및 임신 데이터를 이용자 동의 없이 광고 목적의 제3자에게 공유했다고 주장했고, Meta는 이를 부인하며 항소 의사를 밝혔다.

개인정보 보호법 관점에서 보면 이 사건은 한국에서도 충분히 중요한 참고 사례가 될 수 있다. 한국 개인정보 보호법상 건강정보는 민감정보에 해당하며, 원칙적으로 정보주체의 명시적 동의가 있어야 처리할 수 있다. 특히 민감정보를 제3자에게 제공하거나 원래 목적과 다른 광고·분석 목적으로 활용하려면 일반 개인정보보다 훨씬 더 엄격한 설명과 동의가 필요하다. 생리 및 임신 정보는 건강정보이면서 동시에 성적 사생활과도 연결될 수 있기 때문에, 처리 목적과 제공 범위를 모호하게 두면 큰 문제가 될 수 있다.

또 이 사건은 앱 개발사가 외부 SDK를 사용할 때의 책임 문제도 보여준다. 많은 앱은 분석, 광고, 로그인, 결제 편의를 위해 제3자 SDK를 붙인다. 하지만 SDK가 어떤 데이터를 수집해 어디로 보내는지 제대로 점검하지 않으면, 앱 운영자는 책임에서 자유롭기 어렵다. 공부하는 입장에서는 SDK 관리가 단순 개발 이슈가 아니라 개인정보 위탁, 제3자 제공, 국외이전, 목적 외 이용 문제와 연결된다는 점이 중요하게 느껴졌다.

 

제도적 의미

 

이번 사건의 제도적 의미는 디지털 헬스케어 서비스의 신뢰가 개인정보 처리 투명성에 달려 있다는 점을 보여준다는 데 있다고 생각한다. 건강관리 앱은 이용자가 스스로 가장 민감한 정보를 입력해야 제대로 작동한다. 그런데 그 정보가 광고 생태계로 흘러간다는 의심이 생기면, 이용자는 앱을 신뢰할 수 없게 된다. 결국 민감정보를 기반으로 하는 서비스일수록 개인정보 보호는 부가 기능이 아니라 서비스 자체의 핵심 조건이 된다.

또 하나 의미 있는 점은, 광고 SDK와 민감정보가 결합될 때 생기는 위험이 법정에서 본격적으로 다뤄졌다는 것이다. 이번 사건은 단순한 데이터 유출 사고가 아니라, 정상적인 앱 기능과 광고 분석 도구 사이에서 데이터가 흘러간 구조적 문제였다. 즉 해킹이 없어도 개인정보 침해는 발생할 수 있다. 오히려 이용자가 믿고 입력한 정보가 기업의 수익화 구조로 넘어갈 때, 침해는 더 은밀하고 오래 지속될 수 있다.

 

내가 배운 점

 

이번 기사를 보면서 가장 크게 느낀 것은, 개인정보 침해는 반드시 외부 유출이나 해킹 형태로만 나타나지 않는다는 점이다. Flo 사건은 앱 안에서 정상적으로 입력된 정보가 외부 SDK를 통해 광고 생태계로 이동한 사례다. 이용자 입장에서는 앱이 해킹당하지 않았더라도, 자신의 가장 사적인 건강정보가 예상하지 못한 곳에 쓰였다면 충분히 심각한 침해다.

또 하나는 민감정보의 ‘맥락’이 중요하다는 점이다. 생리일이나 임신 가능성은 개인의 몸과 성생활, 가족계획, 의료적 선택과 연결된다. 공부하는 입장에서는 민감정보를 판단할 때 항목명만 볼 게 아니라, 그 정보가 이용자의 삶에서 어떤 의미를 갖는지 함께 봐야 한다는 생각이 들었다.

 

내가 개인정보보호 담당자라면

 

만약 내가 헬스케어 앱의 개인정보보호 담당자였다면, 가장 먼저 앱에 포함된 모든 SDK와 데이터 흐름을 전수 점검할 것 같다. 어떤 이벤트 정보가 어느 제3자에게 전달되는지, 광고 ID나 기기 식별자와 결합되는지, 건강정보가 분석·광고 도구로 넘어갈 가능성은 없는지 확인해야 한다. 특히 생리, 임신, 성생활 관련 정보는 광고 목적 활용을 기본적으로 금지하거나, 적어도 별도 명시 동의 없이는 절대 외부 전송되지 않도록 설계해야 한다고 생각한다.

또 이용자 안내도 훨씬 구체적이어야 한다. '서비스 개선을 위해 정보를 활용합니다' 같은 추상적인 문구로는 부족하다. 어떤 데이터가, 누구에게, 어떤 목적으로, 어느 국가로 전송되는지 이용자가 이해할 수 있어야 한다. 민감 건강정보를 다루는 앱에서는 개인정보 처리방침이 길고 어려운 문서가 아니라, 이용자가 실제 위험을 판단할 수 있는 설명서가 되어야 한다고 생각한다.

 

정리하며

 

Flo 생리 추적 앱 사건은 디지털 헬스케어 서비스가 이용자의 가장 민감한 건강정보를 다루면서도, 그 정보가 광고 및 분석 생태계로 흘러갈 수 있다는 위험을 보여준 사례다. Flo와 Google은 관련 집단소송에서 총 5600만 달러 규모의 합의에 동의했고, Meta는 재판을 거쳐 캘리포니아 배심원단으로부터 민감정보를 동의 없이 수집한 책임이 인정됐다.

개인적으로는 이번 사건을 보며 민감정보 보호에서 가장 중요한 것은 해킹을 막는 것만이 아니라 정상적인 데이터 흐름을 어디까지 허용할 것인가라는 점을 다시 느꼈다. 생리 및 임신 정보처럼 깊은 사생활을 담은 데이터는 광고 수익화 구조와 결합되는 순간 이용자 신뢰를 무너뜨릴 수 있다. 공부하는 입장에서도 이번 사례는 헬스케어 앱의 개인정보 보호가 단순 보안 문제가 아니라 데이터 비즈니스 모델 자체를 점검해야 하는 문제라는 점을 보여준다.

 

참고 자료

• Hada News, 「생리 추적 앱 Flo, 사용자 데이터를 Meta에 판매한 사실 확인돼」, 2026-04-29.
• Reuters, 「Google, Flo Health to pay $56 million in period-tracking app privacy case」, 2025-09-25.
• The Verge, 「Meta illegally collected Flo users' menstrual data, jury rules」, 2025-08.
• Period Tracker Data Privacy Litigation 공식 안내.

 

기사 원문

 

https://news.hada.io/topic?id=29019

생리 추적 앱 Flo, 사용자 데이터를 Meta에 판매한 사실 확인돼 | GeekNews