"광고 성과 측정을 위해 Facebook Pixel을 심었는데 법적으로 괜찮은 건가요?"
결론부터: 동의 없이 심으면 개인정보보호법 위반 가능성이 있습니다.
온라인 광고 도구는 사용자 행동 데이터를 수집해 타겟 광고와 전환 추적에 활용합니다. 이 과정에서 쿠키·픽셀이 개인 식별 가능 데이터를 처리하므로 PIPA 의무가 발생합니다.
광고 도구가 수집하는 데이터
| 도구 | 수집 데이터 | 개인정보 해당 여부 | |------|-----------|------------------| | Facebook Pixel | 브라우저 ID, IP, 페이지 이벤트 | ✅ (간접 식별 가능) | | Google Ads 전환 추적 | 쿠키, Google Click ID(gclid) | ✅ | | Google Analytics 4 | 클라이언트 ID, 세션 데이터, IP | ✅ (익명화 설정 필요) | | 카카오모먼트 픽셀 | 카카오 CID, 행동 데이터 | ✅ | | 네이버 공통 키 | 방문자 식별 키, 이벤트 로그 | ✅ |
이 도구들은 공통적으로 쿠키 또는 유사 기술을 통해 개인 식별 가능 데이터를 수집합니다.
법적 의무 2가지
1. 쿠키 동의 (개인정보보호법 + 정보통신망법)
광고·분석 목적 쿠키는 사전 동의를 받아야 합니다. 단순 방문 시 자동 수집은 동의 없이 처리하는 것으로 위반이 됩니다.
올바른 쿠키 동의 구현:
[쿠키 설정] 배너 (최초 방문 시 표시)
이 사이트는 서비스 향상 및 맞춤 광고를 위해 쿠키를 사용합니다.
□ 필수 쿠키 (항상 활성화) — 로그인, 장바구니 유지
□ 분석 쿠키 (선택) — 방문 통계, 사용 패턴 분석
□ 광고 쿠키 (선택) — 맞춤 광고, 전환 추적
[모두 허용] [선택 허용] [필수만 허용]
[쿠키 정책 보기]
구현 원칙:
- 사전 동의 전에는 광고 쿠키 스크립트를 로드하지 않음
- "모두 허용"이 기본 선택으로 설정되어 있으면 유효한 동의가 아님
- 동의 이력을 저장하고 언제든지 철회 가능해야 함
2. 국외 이전 고지
Facebook, Google은 해외 서버에 데이터를 전송합니다. 이는 국외 이전에 해당하며 처리방침에 반드시 기재해야 합니다.
■ 개인정보의 국외 이전
당사는 다음 광고 서비스 운영을 위해 개인정보를 국외로 이전합니다.
| 이전 대상 | 국가 | 이전 항목 | 이전 목적 | 보유 기간 |
|----------|------|----------|---------|---------|
| Meta (Facebook) | 미국 | 쿠키, 행동 데이터 | 광고 전환 추적 | 90일 |
| Google LLC | 미국 | 쿠키, 세션 데이터 | 광고 전환 추적, 분석 | 26개월 |
| 카카오 | 한국 | 방문 이벤트 | 광고 효과 측정 | 1년 |
도구별 PIPA 준수 설정
Facebook Pixel
기본 설정의 문제점:
- 자동 고급 매칭(Advanced Matching): 이메일, 전화번호를 해시화해 Meta에 전송 → 별도 동의 필요
- 자동 이벤트 확장(Automatic Events): 사용자가 의도하지 않은 행동도 추적
PIPA 준수 설정:
// 쿠키 동의 후에만 Pixel 초기화
if (userConsented('advertising')) {
fbq('init', 'YOUR_PIXEL_ID', {
// 자동 고급 매칭 비활성화 (별도 동의 없을 시)
autoConfig: false
});
fbq('track', 'PageView');
}
Google Analytics 4
필수 설정:
// IP 익명화 (GA4는 기본 익명화되어 있으나 명시 권장)
gtag('config', 'G-XXXXXXXXXX', {
anonymize_ip: true,
// 광고 개인화 비활성화 (동의 없을 시)
allow_google_signals: false,
allow_ad_personalization_signals: false
});
동의 모드(Consent Mode) 활용:
// 동의 전 기본값 설정
gtag('consent', 'default', {
'analytics_storage': 'denied',
'ad_storage': 'denied'
});
// 사용자 동의 후 업데이트
function updateConsent(analyticsConsent, adsConsent) {
gtag('consent', 'update', {
'analytics_storage': analyticsConsent ? 'granted' : 'denied',
'ad_storage': adsConsent ? 'granted' : 'denied'
});
}
리타게팅 광고의 추가 고려사항
리타게팅은 특정 사용자를 식별해 반복 노출하는 방식으로, 개인 식별성이 높습니다.
처리방침 기재 필수 항목
■ 행동 기반 맞춤 광고
당사는 서비스 방문 이력을 기반으로 맞춤 광고를 제공할 수 있습니다.
이를 위해 쿠키 및 유사 기술을 사용합니다.
맞춤 광고를 원하지 않으시면:
- 쿠키 설정 변경: [쿠키 설정 바로가기]
- Facebook 광고 설정: facebook.com/ads/preferences
- Google 광고 설정: adssettings.google.com
민감 정보 기반 타게팅 금지
건강, 종교, 정치적 견해, 성적 지향 등 민감 정보를 기반으로 타게팅하는 것은 개인정보보호법상 금지됩니다. 예를 들어, 의료 기기 광고를 위해 "특정 질환 관련 키워드를 검색한 사용자"를 타겟으로 삼는 것은 위험합니다.
쿠키 동의 관리 솔루션
직접 구현이 어렵다면 다음 솔루션을 활용할 수 있습니다:
| 솔루션 | 특징 | 비용 | |--------|------|------| | Cookiebot | 자동 쿠키 스캔, GDPR/PIPA 지원 | 유료 (소규모 무료) | | OneTrust | 기업급, 다국어 지원 | 유료 | | Osano | 오픈소스 기반 | 무료/유료 | | 직접 구현 | 완전한 커스터마이징 | 개발 비용 |
실무 체크리스트
쿠키 동의
- [ ] 최초 방문 시 쿠키 동의 배너를 표시한다
- [ ] 필수 쿠키와 선택 쿠키(광고·분석)를 분리하여 동의받는다
- [ ] 동의 전에 광고 스크립트가 로드되지 않도록 조건부로 실행한다
- [ ] 쿠키 동의 이력을 저장하고 언제든지 철회 가능하다
처리방침
- [ ] 사용 중인 광고 도구(Pixel, GA4 등)를 처리방침에 기재했다
- [ ] 국외 이전 대상사, 국가, 이전 항목을 명시했다
- [ ] 맞춤 광고 거부 방법을 안내했다
기술 설정
- [ ] GA4 IP 익명화 설정을 확인했다
- [ ] Facebook Pixel 자동 고급 매칭을 검토했다
- [ ] 광고 도구에 동의 모드(Consent Mode)를 적용했다
PipaGuard로 광고 도구 컴플라이언스 점검
쿠키 동의 구현, 처리방침 기재, 국외 이전 고지까지 — 광고 도구 운영에 특화된 PIPA 점검을 자동으로 받아보세요.
pipaguard.vercel.app에서 무료로 시작할 수 있습니다.