쿠키 동의와 구글 애널리틱스 — 웹사이트 운영자가 지켜야 할 PIPA 기준
구글 애널리틱스를 붙이는 순간, 이용자의 IP 주소와 행동 데이터가 구글 서버로 전송됩니다. 메타 픽셀은 이용자의 광고 행동을 추적합니다. 이 모든 것이 개인정보 처리에 해당하며 PIPA 적용을 받습니다.
"그냥 애널리틱스 스크립트 하나 심은 건데요"라는 말은 면책 사유가 되지 않습니다.
쿠키가 개인정보인 이유
쿠키 자체는 개인정보가 아닐 수 있지만, 쿠키 + 행동 데이터 + IP의 조합은 특정 개인을 식별할 수 있는 정보가 됩니다.
개인정보보호법은 "다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보"도 개인정보로 봅니다. 따라서:
- Google Analytics의 클라이언트 ID → 개인정보 가능성 있음
- 메타 픽셀의 이벤트 + 이메일 해시 → 개인정보
- 재타겟팅 쿠키 → 이용자 식별 목적이므로 개인정보
어떤 동의가 필요한가?
필수 쿠키 (동의 불필요)
서비스 운영에 반드시 필요한 쿠키는 동의 없이 사용할 수 있습니다.
예시:
- 로그인 세션 유지 쿠키
- 장바구니 상태 저장
- CSRF 방지 토큰
- 로드밸런서 세션 유지
분석·마케팅 쿠키 (동의 필요)
행동 분석, 광고 타겟팅, 성과 측정 목적의 쿠키는 사전 동의 후에만 심어야 합니다.
동의 필요 도구:
- Google Analytics (GA4)
- 메타 픽셀 (Facebook Pixel)
- 카카오 픽셀
- 네이버 전환 추적
- Hotjar, FullStory (세션 레코딩)
- Mixpanel, Amplitude (이벤트 추적)
쿠키 동의 구현 방법
최소 요건
✅ 쿠키 배너 필수 항목
□ 어떤 쿠키를 사용하는지 설명
□ 각 카테고리별 동의/거부 선택 가능
□ "모두 수락"과 동등한 위치에 "거부" 또는 "필수만 허용" 버튼
□ 동의 기록 저장 (언제, 무엇에 동의했는지)
□ 동의 철회 방법 안내
잘못된 구현 예시
❌ 위반 패턴
1. 사이트 진입 시 이미 GA 스크립트 로드 (동의 전 수집)
2. "계속 사용하면 동의로 간주" 문구
3. "동의" 버튼만 있고 "거부" 없음
4. 동의 팝업을 닫으면 동의한 것으로 처리
5. 동의 없이 GA 활성화 후 나중에 처리방침에만 기재
올바른 구현 흐름
// 동의 전: 트래킹 스크립트 로드 차단
window.dataLayer = window.dataLayer || [];
// 사용자 동의 후에만 GA 초기화
function onConsentGranted(categories) {
if (categories.analytics) {
// GA 스크립트 동적 로드
const script = document.createElement('script');
script.src = 'https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX';
document.head.appendChild(script);
gtag('js', new Date());
gtag('config', 'G-XXXXXXXX', { anonymize_ip: true });
}
if (categories.marketing) {
// 메타 픽셀 초기화
fbq('init', 'YOUR_PIXEL_ID');
}
// 동의 기록 저장
saveConsentRecord({
timestamp: new Date().toISOString(),
categories,
version: CONSENT_POLICY_VERSION
});
}
Google Analytics 4 (GA4) PIPA 준수 설정
GA4를 사용하면서 PIPA를 준수하려면 아래 설정이 필요합니다:
1. IP 익명화
GA4는 기본적으로 IP를 수집합니다. 한국에서 서비스한다면:
gtag('config', 'G-XXXXXXXX', {
'anonymize_ip': true, // IP 마스킹
'allow_ad_personalization_signals': false // 광고 개인화 비활성화
});
2. 데이터 보존 기간 설정
GA4 관리 콘솔 → 데이터 설정 → 데이터 보존: 2개월 (최소값 권장)
3. 개인정보처리방침에 기재
처리방침 기재 예시:
당사는 웹사이트 분석을 위해 Google Analytics를 사용합니다.
- 수탁자: Google LLC (미국)
- 이전 항목: 쿠키 ID, 페이지 방문 기록, 기기 정보
- 목적: 방문자 통계 분석
- 보존 기간: 2개월
- 비활성화: [Google Analytics 옵트아웃 플러그인](링크)
메타 픽셀 PIPA 준수
메타 픽셀은 개인 식별 가능성이 더 높습니다. 이메일 해시 등 직접 식별 정보를 전송하기 때문입니다.
// 고급 매칭(Advanced Matching) 사용 시 동의 필수
fbq('init', 'PIXEL_ID', {
em: hashedEmail, // 이메일 해시 → 민감도 높은 처리
});
// 동의 없이 고급 매칭 사용 = 위반 가능성
권장: 마케팅 쿠키 동의를 받은 이용자에 대해서만 픽셀 활성화.
쿠키 정책 페이지 필수 항목
✅ 쿠키 정책 페이지에 포함해야 할 것
□ 사용 중인 쿠키 전체 목록 (이름, 제공자, 목적, 만료 기간)
□ 카테고리별 분류 (필수 / 분석 / 마케팅)
□ 동의 철회 방법
□ 브라우저 쿠키 설정 변경 방법 링크
□ 마지막 업데이트 날짜
pipaguard로 쿠키·추적 현황 점검
내 사이트가 동의 없이 트래킹 스크립트를 로드하고 있지는 않은지, 처리방침에 수탁자가 올바르게 기재되어 있는지 확인해드립니다.