본문 바로가기
privacy/국내

[privacy] "쿠키 동의"와 "맞춤형 광고 동의"

by ramo 2026. 3. 11.

웹사이트에 들어갈 때마다 뜨는 쿠키 동의 팝업을 보면서 "이걸 누르면 맞춤형 광고에 동의하는 건가?"라고 생각한 적이 있다. 사실 처음엔 그게 그거라고 생각했다. 쿠키를 허용하면 내 데이터가 광고에 쓰이는 거고, 거절하면 안 쓰이는 거라고. 그런데 정리하다 보면 이 두 개가 법적으로나 기술적으로나 꽤 다른 개념이라는 게 보이기 시작한다.

쿠키 동의가 뭔지부터 다시 보면

쿠키는 그 자체로 다양한 종류가 있다. GDPR 맥락에서 쿠키는 목적과 필요성에 따라 분류되는데, 필수 쿠키는 로그인 세션이나 장바구니, 보안 기능처럼 웹사이트가 제대로 작동하는 데 필요한 것들이다. 이런 필수 쿠키는 동의 없이도 심을 수 있다. 문제는 광고 목적 쿠키인데, 광고 쿠키는 사용자의 브라우징 습관을 기반으로 타겟 광고를 노출하는 데 쓰이며, 여러 사이트에 걸쳐 사용자를 추적하기 때문에 명시적 동의가 필요하다.

EU에서 쿠키 동의가 의무화된 직접적인 근거는 사실 GDPR이 아니라 ePrivacy 지침(ePrivacy Directive)이다. 2002년 제정되고 2009년 개정된 ePrivacy 지침은 쿠키 동의 팝업의 범람을 가져온 가장 눈에 띄는 효과 때문에 '쿠키법(cookie law)'이라는 별칭으로 불리게 됐다. GDPR 본문에는 사실 쿠키에 대한 별도 조항이 없고, 88페이지 분량의 문서에서 'cookie'라는 단어가 단 한 번, 전문(preamble)에만 등장한다.

그러면 두 법제는 어떤 관계냐. 쿠키 컴플라이언스는 ePrivacy 지침과 GDPR이라는 두 법적 체계의 교차점에 놓여 있다. ePrivacy 규칙은 쿠키·추적 픽셀·로컬 스토리지 같은 기술을 통한 기기 접근과 정보 저장을 규율하고, GDPR은 그로 인해 발생하는 개인정보 처리를 규율한다. 두 체계를 모두 충족해야 하며, ePrivacy 준수가 GDPR 준수를 대체하지 않고, 반대도 마찬가지다. 간단히 말하면, ePrivacy 지침이 "이것에 대해 동의가 필요하다"고 말하고, GDPR이 "그 동의가 어떤 모습이어야 하는지"를 말한다.

맞춤형 광고 동의는 어디서 오는가

한국 맥락으로 돌아오면, 맞춤형 광고 동의는 쿠키 동의와 다른 경로에서 요구된다. 맞춤형 광고는 이용자의 온라인상 행태정보를 처리해 개인의 관심, 흥미, 성향 등을 분석·추정한 후 맞춤형으로 제공되는 온라인 광고다. 여기서 핵심 개념이 '행태정보'인데, 온라인 행태정보란 웹사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심·흥미·기호·성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동 정보다.

쿠키는 '온라인 행태정보'에 해당하므로, 다른 개인정보와 결합·분석하여 개인별 맞춤형 광고에 활용하는 것은 해당 서비스 제공 계약 이행과는 관계없는 목적으로 이용하는 것이다. 개인정보보호위원회 행정해석에 따르면, 여러 개의 쿠키를 결합하거나 다른 정보와 결합했을 때 특정 개인을 알아볼 수 있는 경우 개인정보에 해당한다는 입장이다. 즉, 쿠키 하나만으로는 개인정보가 아닐 수 있어도, 결합하면 개인정보가 되고 동의 요건이 달라진다.

한국의 경우 기존 '온라인 맞춤형 광고 개인정보보호 가이드라인'(2017년 방송통신위원회 제정, 이후 개인정보위로 업무 이관)이 이 영역을 다뤄왔는데, 해당 가이드라인은 개인 식별정보와 결합해 행태정보를 처리할 경우 이용자로부터 사전 동의를 받도록 규정하고 있지만, 개인식별정보와 결합하지 않은 행태정보 처리에 대한 별도의 규율 사항이 없었다. 그 회색지대가 오랫동안 논란이 됐다.

왜 두 개가 같은 것처럼 보이냐면

솔직히 이 오해가 생기는 데는 서비스 설계 쪽의 책임이 크다고 생각한다. 많은 웹사이트가 쿠키 동의 배너 안에 광고 목적 쿠키 동의를 함께 묶어버린다. 사용자 입장에서는 팝업 하나에서 "동의"를 누르는 행위가 쿠키 허용과 맞춤형 광고 허용을 동시에 처리하는 것처럼 느껴진다. 기술적으로도 광고 쿠키가 맞춤형 광고의 핵심 수단이다 보니 두 개념의 경계가 흐릿하게 묶여 있다.

각 사이트마다 자세한 쿠키 설정에 들어가면 해당 웹사이트를 이용하기 위해 필수로 동의를 요구하는 쿠키가 있고, 선택적으로 광고에 이용하거나 성능·기능적 관련 쿠키들이 별도로 존재한다. 그런데 대부분의 사람들이 이 세부 설정 화면까지 들어가지 않는다. 한 연구에 따르면 인터넷 이용자의 40%가 쿠키가 어떻게 사용될지 따져보지도 않고 무심코 동의한다는 결과가 있다.

거기다 연구 결과를 보면 배너 설계 방식 자체가 동의율에 직접적인 영향을 미친다. 개인정보 보호를 기본값으로 설정한(opt-in) 환경에서는 0.1% 미만의 방문자만 모든 목적의 쿠키 설치를 허용한다. 서비스 입장에서 이 숫자는 받아들이기 어렵고, 그래서 쿠키 동의와 광고 동의를 묶어 단일 선택지로 제시하는 방식이 만연해진 것이다. 이걸 '다크 패턴'이라고 부르는데, 동의·거절 버튼이 동등하게 보여야 하고, 조작적 설계와 다크 패턴은 규제 당국이 문제시하며 일부 법률에서는 불법이다.

구분이 왜 중요한가

이 두 개가 별개라는 사실이 중요한 이유는, 하나에 동의했다고 다른 하나에도 동의한 게 아니기 때문이다. 쿠키를 허용했다고 해서 내 행태정보가 광고주에게 넘어가는 것에 동의한 게 아닐 수 있고, 반대로 쿠키를 거절했어도 앱 내 로그인 계정 기반의 행태정보는 별도 경로로 광고에 활용될 수 있다. 이용자가 기기에서 모바일 광고 식별자가 전송되지 않도록 설정한 경우에도, 메타데이터(IP 주소, 기기정보 등)를 통해 타사 행태정보를 이용자의 계정정보에 결합하여 맞춤형 광고에 활용한 사례가 실제로 제재 대상이 됐다.

개인 결론은 이렇다. 쿠키 동의 팝업은 기기에 정보를 저장하는 행위에 대한 동의고, 맞춤형 광고 동의는 수집된 행태정보를 분석·활용해서 광고를 타겟팅하는 데 대한 동의다. 전자는 수단에 대한 동의에 가깝고, 후자는 목적에 대한 동의에 가깝다. 실제 배너 UI에서 이 둘이 겹쳐 보이는 건 설계의 문제지, 개념 자체가 같아서가 아니다. 이 차이를 모르면 팝업 하나 누르는 게 어디까지 동의한 건지 전혀 가늠할 수 없다.