한국과 유럽, 쿠키 정책의 규제 차이는?

 

인터넷에 접속하면 화면 하단에 나타나는 “쿠키를 허용하시겠습니까?”라는 문구는 이제 우리에게 낯설지 않다. 많은 사용자가 별생각 없이 ‘동의’ 버튼을 클릭하지만, 이 짧은 클릭 한 번이 온라인에서 개인의 활동을 어떻게 추적하고 분석하는지에 대해 깊이 이해하는 경우는 드물다. 쿠키(Cookie)는 사용자의 웹 브라우징 데이터를 수집하여 다양한 목적으로 활용되며, 이는 광고, 개인화 추천, 사용자 분석, 리타게팅 등 디지털 마케팅 전반에 걸쳐 적용된다. 이러한 쿠키 사용에 대한 규제는 개인정보 보호와 직결되며, 유럽은 GDPR과 전자 프라이버시 지침(ePrivacy Directive)을 통해 엄격하게 관리하는 반면, 한국은 아직 실질적인 쿠키 규제가 미비한 수준에 머물러 있다. 본 글에서는 쿠키의 개념과 유형부터 시작해, 유럽과 한국의 규제 차이를 심층 분석하고, 실제 사례와 함께 각국의 정책적 철학이 무엇이 다른지를 구체적으로 살펴본다.

 

 

쿠키란 무엇이며, 문제가 되는 이유

쿠키는 웹사이트가 사용자의 컴퓨터나 스마트폰에 저장하는 소량의 텍스트 정보이다. 사용자가 특정 사이트에 방문하면 서버는 쿠키를 생성하여 사용자 브라우저에 저장하고, 이후 재방문 시 이를 불러와 사용자 식별, 설정 유지, 방문 기록 추적 등에 활용한다. 기능적 쿠키는 웹사이트 로그인 상태 유지, 장바구니 유지 등 사용자 편의를 높이는 데 쓰이지만, 문제는 추적 쿠키(Tracking Cookies) 또는 제삼자 쿠키(Third-party Cookies)에서 발생한다.

 

이러한 쿠키는 사용자가 방문한 웹사이트 아니라 제휴 광고사나 분석 플랫폼에까지 사용자 데이터를 전달한다. 예를 들어 A 사이트에서 본 상품이 며칠 후 B 사이트에서 광고로 노출되는 현상은 제삼자 쿠키와 리타게팅 기술의 결과이다. 이 과정에서 사용자는 명시적인 동의 없이 지속적으로 추적당할 수 있으며, 이를 통한 개인정보 유출 가능성, 동의 없는 분석, 알고리즘 기반 프로파일링 등이 심각한 이슈로 떠올랐다. 따라서 쿠키는 단순 기술이 아니라, ‘디지털 프라이버시’와 ‘데이터 통제권’ 문제의 중심에 있다.

 

유럽의 쿠키 규제: ePrivacy와 GDPR의 이중 통제

유럽은 쿠키에 대해 이중 규제 체계를 운영하고 있다. 첫 번째는 전자프라이버시 지침(ePrivacy Directive, 2002년 제정, 2009년 개정)이며, 두 번째는 GDPR(2018년 시행)이다. ePrivacy 지침은 웹사이트가 쿠키를 저장하거나 정보를 수신하는 경우, 사용자의 사전 동의를 받아야 한다고 규정하고 있다. 단, ‘명백히 기능적이고 필수적인 쿠키’는 예외로 인정된다. 예를 들어 로그인 유지, 장바구니 저장 등은 동의 없이 가능하지만, 광고 목적 쿠키는 반드시 명시적 동의가 필요하다.

 

여기에 GDPR이 더해지면서, 동의의 수준과 관리 방식이 더 엄격해졌다. 사용자는 쿠키의 목적, 제삼자 제공 여부, 보유 기간 등에 대해 명확하게 안내받아야 하며, 쿠키 배너 상에서 ‘허용’과 ‘거부’ 선택이 동일한 수준으로 제공되어야 한다. 즉, ‘모두 허용’ 버튼만 크게 보이고, ‘선택 설정’은 작게 숨겨진 구조는 유효한 동의가 아니며, 실제로 유럽 데이터 감독기구들은 이를 이유로 여러 글로벌 기업에 과징금을 부과했다.

 

유럽은 현재 ePrivacy 지침을 ‘ePrivacy Regulation(규정)’으로 격상해 GDPR과 동일한 법적 강제력을 갖게 하려는 입법이 진행 중이다. 이처럼 유럽은 쿠키를 단순한 기능이 아닌, 개인정보 보호의 중요한 수단으로 간주하며, 사용자 중심의 ‘정보 통제권’을 강화하는 방향으로 법체계를 발전시키고 있다.

 

한국의 쿠키 규제 현실: 실질 통제는 존재하지 않는다.

한국의 개인정보보호법이나 정보통신망법에는 ‘쿠키’라는 단어가 명확히 정의되어 있지 않다. 개인정보보호위원회의 가이드라인에서는 쿠키를 통한 식별 정보 수집에 대해 일정 기준을 제시하고 있지만, 법률 수준에서 쿠키 자체를 규제하거나 동의 수준을 명확히 정한 조항은 없다. 대부분의 한국 웹사이트는 쿠키 배너를 통해 “이 사이트는 사용자 경험 향상을 위해 쿠키를 사용합니다” 정도의 안내를 하며, ‘확인’ 또는 ‘닫기’ 버튼만을 제공한다. 사용자는 ‘거부’나 ‘설정 관리’를 선택할 권한을 실질적으로 갖지 못한다.

 

또한 한국에서는 제삼자 쿠키 사용 여부를 사용자에게 고지하거나, 외부 분석 도구(Google Analytics, Facebook Pixel 등)를 통해 어떤 정보가 공유되는지에 대한 설명이 거의 없다. 기업들은 보통 개인정보처리방침 하단에 “쿠키를 활용할 수 있습니다”라고 형식적으로 명시하는 것으로 책임을 회피하고 있으며, 사용자 입장에서는 쿠키 사용의 실체를 전혀 인지하지 못한 상태에서 동의가 강요되고 있다. 이는 유럽 기준으로 볼 때 ‘침묵에 의한 암묵적 동의’이며, GDPR에서는 명백한 위반에 해당한다.

 

실제 사례로 보는 유럽과 한국의 규제 격차

유럽에서는 구체적인 쿠키 배너 형식까지 법적으로 관리된다. 프랑스 개인정보보호위원회(CNIL)는 2021년 구글과 페이스북에 각각 약 1억 유로(약 1,300억 원)의 과징금을 부과한 바 있다. 이유는 “쿠키 수락은 한 번 클릭으로 가능하지만, 거부는 여러 단계를 거쳐야 했기 때문”이다. 이는 GDPR 제5조의 ‘투명성’ 원칙 위반으로 판단되었고, 이후 많은 유럽 웹사이트들이 쿠키 거부 기능을 메인 배너에 동등하게 제공하기 시작했다.

 

반면 한국의 대형 포털, 쇼핑몰, 언론사 사이트 대부분은 아직까지도 ‘거부하기’ 버튼을 제공하지 않으며, 사용자의 선택권은 거의 고려되지 않는다. 한국에서 쿠키 사용으로 인해 실제 과징금을 부과받거나 행정조치를 받은 사례는 전무하다. 이는 단지 법 제도의 미비 때문만이 아니라, 프라이버시에 대한 사회적 감수성 자체가 낮기 때문이기도 하다. 유럽은 사용자의 ‘프라이버시 권리’를 법률 이전에 ‘사회적 가치’로 내면화하고 있으며, 쿠키 또한 이 가치의 연장선으로 본다.

 

앞으로의 과제: 쿠키를 넘어서 트래킹 전체를 재정의해야 할 때

쿠키는 기술적으로 점점 한계를 드러내고 있다. 애플은 사파리에서, 구글은 크롬에서 제삼자 쿠키를 점진적으로 폐지하는 로드맵을 발표했고, 대체 기술로 FLoC(이후 Topics API로 대체), 서버 사이드 트래킹, 지문 인식 기반 분석 등 새로운 형태의 추적 기술이 등장하고 있다. 문제는 이러한 신기술들이 법의 사각지대에 존재한다는 점이다. 쿠키는 그래도 사용자 브라우저에서 관리할 수 있는 영역이었지만, 서버 기반의 트래킹은 사용자가 인지하기조차 어렵다.

 

유럽은 이를 감안하여 쿠키만이 아닌 ‘트래킹 기술 전반’을 규제 대상으로 확대하고 있으며, ePrivacy 규정의 초안에서는 “종류에 관계없이 사용자 단말기 내 정보 저장 또는 접근 시 명시적 동의를 받아야 한다”라고 정의하고 있다. 한국은 아직 이 같은 변화에 법적으로 대응하지 못하고 있으며, 대부분의 기업이 기술 변화에 무분별하게 적응하면서도 사용자 권리에 대한 논의는 뒤처지고 있다.

 

이제는 단지 쿠키 배너의 문구를 바꾸는 수준이 아니라, 트래킹 전반에 대한 철학과 원칙을 재정의할 시점이다. 사용자의 동의 없이는 어떤 형태로든 데이터 수집과 활용이 불가능하다는 ‘디지털 프라이버시 기본 원칙’이 자리 잡지 않는다면, 개인정보 보호는 계속해서 형식적 수준에 머물 수밖에 없다.

 

 

쿠키는 단순한 웹 기술이 아니다. 그것은 디지털 사회에서 개인의 행동, 관심사, 선택을 기업이 어떻게 추적하고, 어떤 방식으로 활용하는지를 보여주는 상징적인 기술이다. 유럽은 GDPR과 ePrivacy 지침을 통해 사용자에게 실질적인 선택권과 통제권을 보장하고 있으며, 이를 위반할 경우 강력한 법 집행을 통해 기업에 책임을 묻는다. 반면 한국은 여전히 쿠키에 대한 규제와 감시가 느슨하며, 사용자 동의는 형식적 요건에 머물러 있다. 이제는 한국도 단순히 ‘쿠키 사용 고지’를 넘어서, 사용자가 진정으로 데이터를 통제할 수 있는 구조를 마련해야 한다. 그것이 디지털 사회에서 개인의 권리를 보장하는 첫걸음이며, 애드센스든 AI 분석이든, 모든 기술 기반 비즈니스의 신뢰를 쌓는 가장 기본적인 원칙이다.