타겟 광고, 리타겟팅, 행동 기반 추천 시스템 — 이 기술들은 모두 대규모 개인정보 처리를 기반으로 합니다. 개인정보보호위원회는 2024년 이후 광고 테크 분야의 개인정보 처리 관행에 대한 감독을 크게 강화했습니다.
광고 테크와 CRM을 운영하는 기업이 가장 자주 위반하는 3가지: 동의 없는 행동 프로파일링, 옵트아웃 수단 미제공, 위탁 업체 관리 부재입니다.
광고 테크에서 처리하는 개인정보 유형
| 데이터 | 법적 성격 | 처리 위험도 | |--------|---------|---------| | 쿠키 ID, 디바이스 ID | 개인정보 (식별 가능) | 높음 | | 페이지 방문 기록 | 개인정보 | 높음 | | 검색 키워드 이력 | 개인정보 | 높음 | | 구매 이력 | 개인정보 | 높음 | | 위치 기반 행동 데이터 | 개인정보 + 위치정보법 | 매우 높음 | | 인구통계 추론 데이터 | 개인정보 | 높음 | | 이메일 해시 (리타겟팅) | 개인정보 | 높음 | | CRM 고객 세그먼트 | 개인정보 | 중간 |
쿠키와 개인정보
2023년 개정 PIPA 및 개인정보보호위원회 가이드라인에 따르면, 사용자를 식별하거나 추적할 수 있는 쿠키는 개인정보에 해당합니다.
쿠키 유형별 처리 기준
| 쿠키 유형 | 법적 근거 | 동의 필요 여부 | |---------|---------|---------| | 필수 쿠키 (로그인, 장바구니) | 계약 이행 | 불필요 | | 기능 쿠키 (언어, 설정) | 정당한 이익 또는 동의 | 사안에 따라 다름 | | 분석 쿠키 (방문자 통계) | 동의 | 필요 | | 광고/타겟팅 쿠키 | 동의 | 필요 | | 제3자 쿠키 (SNS 픽셀 등) | 동의 | 필요 |
쿠키 동의 배너 요건
✅ 필수 쿠키와 선택 쿠키 구분
✅ 쿠키 유형별 개별 동의 또는 거부 가능
✅ "모두 수락"과 동일하게 쉬운 "모두 거부" 버튼 제공
✅ 동의 전 타겟팅 쿠키 미설치
✅ 동의 철회 방법 안내
❌ 기본값이 "모두 수락"인 사전 체크 방식
❌ 거부 버튼을 숨기거나 디자인적으로 회피 유도
행동 기반 프로파일링 고지 의무
사용자의 행동 데이터를 분석해 세그먼트를 생성하거나 점수를 부여하는 행위는 자동화된 개인정보 처리에 해당합니다.
PIPA 개정(2023년)에 따라 다음을 처리방침에 명시해야 합니다.
✅ 자동화된 결정(프로파일링) 사실
✅ 자동화 처리의 목적과 방식
✅ 처리 결과가 정보 주체에게 미치는 영향
✅ 정보 주체의 이의 제기권 및 방법
실무 적용 예시
- 이탈 위험 고객 자동 분류 → 처리방침에 명시
- 유사 고객 타겟팅(LAL) → 처리방침에 명시
- 신용/구매력 추론 → 처리방침에 명시 + 이의 제기 수단 제공
제3자 광고 플랫폼 픽셀
Google Ads, Meta Pixel, Kakao Pixel, Naver Conversion API — 이 픽셀들은 모두 제3자 쿠키 또는 개인정보 제공에 해당합니다.
픽셀 설치 시 의무
✅ 처리방침에 픽셀 설치 사실 및 수신자(Meta, Google 등) 기재
✅ 쿠키 동의 후에만 픽셀 활성화
✅ 사용자 데이터 Meta/Google 전송 전 동의 확보
✅ 이메일 해시(Hashed Email) 업로드 전 동의 확인
고객 일치(Customer Match) 업로드
CRM 이메일 리스트를 Google Ads나 Meta에 업로드할 때, 해당 이메일 주소를 수집 시 광고 목적 제3자 제공에 대한 동의가 있어야 합니다.
수집 당시 동의 문구 예시:
"수집한 이메일 주소는 Google, Meta 등 광고 플랫폼의 맞춤 광고 제공에 사용될 수 있습니다."
CRM 운영과 개인정보
CRM 시스템은 고객 접점 데이터를 통합 관리하므로 PIPA 의무 이행의 핵심 지점입니다.
CRM 데이터 수집 원칙
✅ 최소 수집: 마케팅 자동화에 필요한 최소 필드만 수집
✅ 목적 제한: 수집 목적 외 CRM 데이터 활용 금지
✅ 정확성 유지: 오래된 정보 정기 정제
✅ 보유 기간: 마지막 활동일 기준 설정 권장
마케팅 수신 동의 관리
수신 동의는 채널별로 분리해야 합니다.
✅ 이메일 마케팅 동의 (별도)
✅ SMS/LMS 마케팅 동의 (별도)
✅ 카카오 채널 마케팅 동의 (별도)
✅ 앱 푸시 알림 동의 (별도)
동의 이력(동의 일시, 동의 경로, 동의 내용 버전)은 최소 3년간 보관이 권장됩니다. 수신 거부 후 발송하면 PIPA + 정보통신망법 위반입니다.
광고 파트너사 관리 (위탁 vs 제3자 제공)
광고 에이전시, DSP, DMP, 어트리뷰션 툴 등 파트너사에 데이터를 전달할 때 법적 성격을 구분해야 합니다.
| 파트너 유형 | 데이터 사용 주체 | 법적 처리 | |---------|---------|---------| | 광고 에이전시 (우리 캠페인만 운영) | 위탁자 지시 따름 | 위탁 | | DSP (우리 데이터로 우리 광고) | 위탁자 지시 따름 | 위탁 | | DMP (자체 데이터와 결합) | 자체 목적으로 사용 | 제3자 제공 | | 유사 고객 모델링 서비스 | 자체 모델 학습에 활용 | 제3자 제공 |
위탁이면 위탁 계약, 제3자 제공이면 정보 주체의 동의(또는 법령 근거)가 필요합니다.
광고 테크 PIPA 체크리스트
즉시 확인 항목
- [ ] 쿠키 동의 배너에서 광고 쿠키를 개별 거부할 수 있는가
- [ ] Meta Pixel, Google 태그가 동의 전에 실행되지 않는가
- [ ] CRM 수신 거부 고객에게 마케팅 발송이 차단되어 있는가
- [ ] 처리방침에 자동화된 프로파일링 사실이 명시되어 있는가
단기 개선 항목
- [ ] 광고 파트너사 현황 파악 및 위탁 계약 체결
- [ ] 고객 일치(Customer Match) 업로드 동의 기반 확인
- [ ] 마케팅 동의 채널별 분리 구현
광고 테크와 CRM은 PIPA 규제의 핵심 감독 분야입니다. PIPAGuard로 현재 처리방침과 쿠키 동의 체계의 PIPA 준수 현황을 무료로 점검해보세요.