마케터에게 프라이버시 규제는 더 이상 법무팀만의 일이 아니에요. iOS ATT 이후 attribution이 깨지고, GDPR 이후 EU 캠페인 운영이 달라지고, 한국 개인정보보호법 개정으로 동의 흐름이 바뀝니다. 마케팅의 모든 단계(트래픽 측정·attribution·audience·CRM)에 프라이버시 규제가 직접 영향을 줘요. 이 글은 글로벌·국내 3대 프라이버시 규제 — iOS App Tracking Transparency, EU GDPR, 한국 PIPA — 의 핵심을 마케터 관점에서 한 글로 정리합니다.
왜 마케터가 프라이버시 규제를 알아야 하나
마케터가 프라이버시 규제를 직접 다루는 이유는 다음 5가지.
- 트래픽 측정 도구(GA4·MMP·픽셀)가 규제 영향을 직접 받음
- attribution이 깨져 ROAS 계산이 달라짐
- audience targeting에 옵션 제한이 추가됨
- CRM 발송 시 동의 기반 segmentation 필요
- 위반 시 회사가 받는 과징금이 매출 규모
특히 ATT 이후 iOS 광고 attribution은 매년 표준이 바뀌고 있고, GDPR은 EU 시장 진출 시 1차 게이트, PIPA는 국내 운영의 일상이에요. 셋 다 마케팅 의사결정에 직접 박혀있습니다.
iOS ATT는 디바이스 ID, GDPR은 동의·정당한 이익, PIPA는 동의 + 처리 목적 분리. 마케터가 가장 자주 만나는 자리도 다르다.
3가지 규제 한 표 — 마케터 영향
| 규제 | 적용 범위 | 핵심 요구 | 마케터 영향 |
|---|---|---|---|
| iOS ATT | iOS 14.5+ 앱 | IDFA 사용 전 명시적 동의 | MMP attribution 약화, SKAN으로 보완 |
| EU GDPR | EU 거주자 처리 | 동의·정당한 이익·필수 | EU 트래픽 측정·targeting 동의 필요 |
| 한국 PIPA | 한국 개인정보 처리 | 목적별 동의·민감정보 별도 동의 | 마케팅 동의 분리·정기 폐기 |
이 표 한 장이 사실상 글로벌·국내 프라이버시 규제의 핵심. 각각 더 풀어볼게요.
iOS App Tracking Transparency (ATT)
iOS 14.5(2021년)부터 시행. 앱이 다른 회사의 데이터·디바이스 ID(IDFA)를 사용할 때 명시적 user 동의를 받아야 합니다.
마케터에게 직접적인 영향:
- IDFA가 NULL인 사용자가 절반 이상
- 매체→자사 attribution 매칭률이 떨어짐
- MMP의 attribution이 SKAN postback 기반으로 옮겨감
- audience targeting의 정확도 저하
- conversion lift 측정이 어려움
대응 패턴:
- SKAdNetwork conversion value schema 설계 (skan-postback-decoding)
- Meta CAPI·Google Enhanced Conversions로 server-side 보완
- 앱 내 동의 priming UI 디자인 (동의율 30% → 60% 가능)
- modeled conversion (매체가 통계로 채워줌)
- clean room으로 attribution 보강
ATT 동의율은 매체·앱 카테고리·priming 디자인에 따라 20-70%까지 다양해요. 동의율 5% 올리면 측정 가능 트래픽이 5% 늘어나니까 priming UI 투자 가치가 큽니다.
⚠️ 동의 안 받고 IDFA 사용하면 앱 거부
Apple은 ATT 미준수를 발견하면 앱 reject 또는 강제 삭제까지 갑니다. SDK 통합·다른 회사 데이터 사용은 반드시 ATT prompt 후로.
EU GDPR (General Data Protection Regulation)
2018년 시행. EU 거주자의 개인정보를 처리할 때 명확한 법적 근거가 필요합니다.
법적 근거 6가지 중 마케터가 자주 쓰는 것:
- Consent (동의) — 명시적·구체적·informed
- Legitimate interest (정당한 이익) — analytics·재마케팅에 활용 가능, 단 balancing test 통과해야
- Contract (계약 이행) — 구매한 user에게 거래 관련 발송
마케터가 가장 자주 만나는 GDPR 자리:
- Cookie banner (CMP) 설치 필수
- 옵트인 전 마케팅 쿠키·픽셀 발화 금지
- audience export(Meta·Google)에 동의 신호 같이
- 사용자의 "내 데이터 보기·삭제·이전" 요청 처리 (DSAR)
- 데이터 보관 기간 명시·폐기
GDPR 위반 과징금은 전 세계 매출 4% 또는 2천만 유로 중 큰 쪽. Meta·Google이 수십억 유로 과징금 받은 사례가 있어요.
한국 PIPA (개인정보보호법)
2023년 9월 전부 개정 시행. 다음이 마케터에게 가장 자주 등장합니다.
핵심 요구:
- 목적별 동의 분리 — 회원가입 동의 ≠ 마케팅 수신 동의 ≠ 광고 활용 동의
- 필수 동의 vs 선택 동의 명시
- 처리 목적·보관 기간 고지
- 민감정보·고유식별정보는 별도 동의
- 14세 미만은 법정대리인 동의
- 국외 이전 시 동의·통지
마케터가 자주 만나는 자리:
- 회원가입 동의서 (5-7개 체크박스 분리)
- 마케팅 수신 동의 (이메일·SMS·푸시·카카오톡 채널별)
- 광고성 정보 발송 시 (광고) 표기 + 거부 링크 필수
- CDP·DMP에 데이터 적재 시 처리 목적 일치 점검
- 1년 미사용자 자동 휴면 전환·5년 후 자동 폐기
위반 시 매출 3% 과징금 + 형사 처벌. 2024년 들어 1억 단위 과징금 사례가 늘어났어요.
📌 국내는 옵트인이 표준
GDPR은 정당한 이익으로 일부 마케팅 활용 가능하지만 한국 PIPA는 거의 모든 마케팅이 옵트인 기반. EU 동의 모드 그대로 가져오면 한국에서는 부족할 수 있습니다.
Cookie banner·CMP (Consent Management Platform)
3가지 규제 모두 cookie banner·동의 UI를 요구해요. 직접 구현하기보다 CMP 솔루션이 표준입니다.
주요 CMP:
- OneTrust (글로벌 점유율 1위)
- Cookiebot
- Usercentrics
- 국내: PrivacyOps·자체 구현
CMP가 하는 일:
- cookie 사용 동의 수집
- 동의 카테고리 분류 (필수·analytics·marketing·targeting)
- 동의 거부 시 해당 카테고리 cookie 차단
- 동의 기록 audit 로그
- 사용자의 동의 변경·철회 처리
CMP를 GTM·GA4·매체 픽셀과 연결해 동의 거부 시 자동 차단되게 설정하는 게 표준 운영. 직접 구현하면 누락이 생기기 쉬워서 CMP 솔루션이 권장됩니다.
Server-side Tagging의 가치
브라우저에서 매체 픽셀이 직접 발화하는 client-side tagging은 ITP·ATT·cookie 차단에 취약. server-side tagging(sGTM)으로 옮기면 다음이 가능해요.
- cookie를 1st party 도메인으로 (Safari ITP 완화)
- PII 해싱·필터링을 server에서
- 매체 CAPI로 server→server 전송 (브라우저 차단 무관)
- 한 endpoint로 여러 매체 동시 발송
web-cro-6principles·ga4-bigquery-roas 같은 측정 글에서 다룬 측정 인프라의 다음 진화가 server-side tagging이에요.
Clean Room — 쿠키 없는 세상의 매칭
매체 1st party data와 자사 1st party data를 매칭해야 하는데 둘 다 raw로 공유 못 하는 시대. Clean Room이 그 사이를 잇습니다.
- Meta Advanced Analytics
- Google Ads Data Hub (ADH)
- Amazon Marketing Cloud
- AWS Clean Rooms
- Snowflake Clean Room
clean room의 본질은 "둘이 raw 공유 없이 join만 가능"이에요. 그 위에서 incrementality·overlap·MMM 입력을 만들 수 있습니다.
마케터 의사결정 체크리스트
- 캠페인 시작 전 — 동의 받았는지·CMP 카테고리 일치하는지
- audience export 전 — 동의 신호 같이 보내는지
- 픽셀 설치 시 — server-side tagging으로 옮길 수 있는지
- attribution 약해진 매체 — clean room·modeled conversion 보완
- CRM 발송 전 — 마케팅 수신 동의 segmentation·(광고) 표기
- 데이터 보관 — 1년·5년 기준 정기 폐기 잡 운영
이 6가지를 매분기 점검하면 큰 사고가 사전에 잡혀요.
{/* TODO_HUNY: 매드업 운영에서 ATT·GDPR·PIPA 중 가장 자주 부딪힌 규제 또는 직접 운영 변경한 사례 한두 단락. 특히 한국 PIPA 개정 후 CRM 동의 흐름을 어떻게 정비했는지 사례가 있으면 가장 가치 큽니다. */}
마치며
프라이버시 규제는 거추장스러워 보이지만 마케터가 정확히 알고 운영하면 측정·targeting·CRM의 안정성을 오히려 높여줘요. 위반 사고 1번이 매출 3-4%를 날리니까 사전 점검 비용은 항상 회수됩니다.
다음 글로는 Clean Room 입문·Consent Mode v2 + CAPI EMQ에서 더 깊은 운영을 다룹니다.
Top comments (0)