온라인 마케팅에서 리타게팅 광고의 법적 허용 기준: 유럽 vs 한국
사용자는 A사이트에서 본 제품이 며칠 뒤 B사이트에서 광고로 등장하는 경험을 자주 한다. 이러한 ‘리타게팅 광고(Retargeting Ad)’는 개인의 온라인 행동 데이터를 분석하여 가장 적절한 시점에 제품을 다시 보여주는 방식이다. 마케팅 효율을 높이기 위한 강력한 수단이지만, 동시에 개인정보 추적 및 프로파일링 기술의 결정체이기도 하다.
유럽은 GDPR을 통해 리타게팅 광고에 필요한 명시적 동의, 데이터 최소화, 프로파일링 거부권을 강하게 요구하며, 실제로 이를 위반한 기업에 과징금을 부과해 왔다. 반면 한국은 쿠키, 광고 ID, 행동 기반 데이터의 추적 기준이 상대적으로 느슨하며, 실질적인 통제 수단이 부족한 상황이다. 이 글에서는 리타게팅 광고가 어떻게 작동하는지를 시작으로, 유럽과 한국의 법적 기준과 적용 방식, 그리고 개인정보 침해 논란에 대한 대응 차이를 심층적으로 비교한다.
리타게팅 광고의 원리와 개인정보 활용 구조
리타게팅 광고는 사용자의 웹사이트 방문 기록, 클릭 이력, 장바구니 내역 등 행동 데이터를 기반으로 특정 제품이나 서비스를 반복적으로 노출시키는 광고 방식이다. 가장 흔한 형태는 쿠키 기반 리타게팅으로, 사용자가 특정 페이지를 방문하면 브라우저에 쿠키가 저장되고, 그 쿠키 정보를 기반으로 다른 사이트에서도 해당 제품 광고가 뜨는 구조다.
최근에는 크로스 디바이스 리타게팅이나 광고 ID 기반의 앱 추적 리타게팅까지 등장하면서 추적 범위가 훨씬 넓어지고 정밀해졌다.
이 과정에서 수집되는 데이터는 단순한 IP 주소나 방문기록뿐 아니라, 관심사, 구매 패턴, 위치 정보, 장치 정보 등 민감한 정보까지 포함된다. 결국 리타게팅 광고는 기술적으로 ‘개인을 식별 가능한 수준까지 분류하고 타깃화’하는 것이 핵심이며, 개인정보 보호법상 매우 민감한 영역으로 간주되어야 한다.
GDPR 기준에서 리타게팅 광고는 어떻게 규제되는가?
유럽에서는 리타게팅 광고를 ‘프로파일링 기반 자동화 처리’로 분류한다.
GDPR 제22조는 자동화된 의사결정(프로파일링 포함)에 대해 사용자에게 거부할 권리를 명확히 보장하고 있으며, 제6조에서는 개인정보 처리를 합법적으로 하기 위한 법적 근거를 명시하고 있다. 이 중 리타게팅 광고에 가장 중요한 기준은 ‘정보주체의 명시적 동의(consent)’다. 즉, 유럽에서 기업이 리타게팅 광고를 하려면 다음 조건을 만족해야 한다:
- 광고 목적의 데이터 수집에 대해 사전 명시적 동의받기
- 동의는 자유롭고 구체적이며, 쉽게 철회할 수 있어야 함
- 광고 제공 과정에서 프로파일링 여부를 사용자에게 고지
- 사용자는 언제든지 개입을 요청하고, 광고 거부 가능
이러한 조건을 만족하지 않으면 리타게팅 광고는 위법이 되며, 유럽의 감독기관(DPA)은 이 기준을 근거로 다수의 글로벌 기업에 과징금을 부과한 바 있다. 프랑스 CNIL은 쿠키 추적을 제대로 고지하지 않은 구글과 페이스북에 수천만 유로의 벌금을 부과했으며, 독일은 사용자의 선택권을 제대로 제공하지 않은 온라인 쇼핑몰을 제재한 사례도 있다.
한국의 리타게팅 광고 규제 현실
한국의 개인정보보호법과 정보통신망법에는 ‘리타게팅 광고’라는 용어 자체가 명확히 정의되어 있지 않다. 대신 ‘행태정보’, ‘광고 목적의 정보 이용’ 등의 표현을 통해 일부 원칙을 제시하고 있으나, 동의 방식, 처리 과정, 사용자의 선택권에 대한 구체적 기준은 매우 부족하다. 2020년부터 방송통신위원회는 “행태정보 처리에 관한 자율규제 가이드라인”을 발표하고, 광고 사업자들이 스스로 사용자 정보 수집과 활용 방식을 정리하도록 권장하고 있다. 하지만 이 가이드라인은 법적 구속력이 없고, 기업 자율에 의존한다는 한계가 있다. 실제로 국내 대부분의 웹사이트나 앱은 리타게팅 광고에 대해 사전 동의를 받지 않고 있으며, “광고 맞춤 설정” 같은 항목은 숨겨져 있거나 기능적으로 불완전한 경우가 많다.
또한 쿠키를 통한 광고 추적은 대부분 “개인정보처리방침” 하단에 간단히 언급되거나, 동의 없는 자동 저장으로 진행되고 있어 GDPR 기준으로 보면 명백한 위반이지만, 한국에서는 문제가 되지 않는다. 결국 현재 한국에서 리타게팅 광고는 사실상 제한 없이 운영되고 있으며, 사용자는 자신이 추적당하고 있다는 사실조차 인식하지 못하는 경우가 대부분이다.
사용자 권리 보장과 기술적 선택권 차이
유럽에서는 사용자가 광고 추적을 차단하거나, 자신에게 맞춤 광고가 제공되지 않도록 설정할 수 있는 장치가 반드시 제공되어야 한다. 구글, 페이스북 등 글로벌 플랫폼은 유럽 사용자 대상으로 광고 환경 설정 페이지를 별도로 제공하며, 해당 페이지를 통해 광고 추적 허용/차단, 관심사 기반 광고 수신 여부, 특정 광고주 차단 등의 기능을 모두 직접 제어할 수 있게 하고 있다.
반면 한국에서는 대부분의 기업이 이런 설정 기능을 제공하지 않거나, 제공하더라도 UX상으로 매우 비직관적이거나 실제로 작동하지 않는 경우가 많다. “맞춤 광고 수신 거부” 버튼이 있지만 누르면 아무 변화가 없거나, 광고 수신은 거부했는데도 여전히 사용자 맞춤형 광고가 계속 노출되는 경우가 많다. 이처럼 사용자의 광고 제어권이 실질적으로 존재하지 않는 구조는 단순한 정보 고지 문제를 넘어서, 프라이버시 침해와 자기 결정권 침해라는 더 큰 법적 문제로 이어질 수 있다.
법적 기준 차이가 만들어내는 기업의 태도와 리스크
유럽 기업이나 유럽 내 서비스를 제공하는 글로벌 기업들은 GDPR에 따른 법적 책임을 회피할 수 없기 때문에 리타게팅 광고 도입 전에 DPIA(데이터 보호 영향평가)를 수행하고, 법무팀 + 기술팀 + 마케팅팀이 협력하여 동의 구조 설계, 데이터 보호 조치, 광고 알고리즘에 대한 설명책임까지 수행한다. 이와 달리 한국에서는 리타게팅 광고가 고도화되고 있음에도 법무 부서나 개인정보 담당자가 이를 인지하지 못하거나, 마케팅 부서가 데이터 보호 책임 없이 광고 기술만 도입하는 구조가 일반적이다. 이러한 인식 차이는 단지 법 제도의 문제를 넘어, 개인정보 보호를 ‘경영 리스크’가 아닌 마케팅 도구로만 인식하는 조직문화로 이어지며 장기적으로는 사용자 신뢰와 기업 브랜드에 부정적인 영향을 끼칠 수 있다.
리타게팅 광고는 단순한 마케팅 기법이 아니다. 그것은 사용자의 온라인 행동을 분석하고 예측하며 조작하는 고도의 기술이자,
개인정보 처리의 경계선에 위치한 위험한 도구다. 유럽은 GDPR을 통해 리타게팅 광고에 필요한 동의와 고지 기준, 사용자 권리 보장, 기술적 보호조치까지 법적으로 명확히 규정하고 있으며, 이를 위반한 기업에 대한 제재를 지속적으로 가하고 있다.
한국은 아직도 리타게팅 광고를 법적으로 정의하지 않고 있으며, 광고 추적에 대한 동의는 형식적이거나 아예 생략되는 경우가 많고, 사용자는 자신의 데이터가 어떻게 사용되고 있는지조차 알지 못하는 구조 속에 놓여 있다. 이제는 한국도 광고 기술의 발전 속도를 따라가기만 할 것이 아니라, 개인정보 보호 관점에서 리타게팅 광고를 재정의하고 규제 체계를 정비할 시점이다. ‘맞춤형 광고’라는 이름 아래 벌어지는 무분별한 개인정보 활용을 방치하면 결국 기술은 사람을 위한 것이 아니라 사람을 통제하는 수단이 될 수 있다.