동의를 끈 사람을, 계속 광고로 쫓아다녀도 될까
픽셀 게이팅을 설계하다 만난 함정들
마케팅 수신 동의를 끈 회원. 그 사람한테 리타게팅 광고는 계속 보여도 되는 걸까? 간단해 보이는 질문 하나가, 우리 데이터 구조 전체를 다시 보게 만들었다.
쉬운 질문인 줄 알았다
처음엔 정말 쉬운 질문인 줄 알았다. 회원이 마이페이지에서 "마케팅 정보 받기"를 끈다. 그러면 광고 픽셀(광고 매체에 방문자 행동을 보내는 추적 코드)을 그 사람한테는 끄면 되는 거 아닌가. 동의 안 했으니까.
그래서 규칙을 하나 적었다. "마케팅 동의가 true가 아니면 5개 픽셀 전부 발화 금지." 깔끔하다. 한 줄로 끝.
그런데 이 한 줄을 적고 나서, 뭔가 이상했다.
막힌 지점: 그러면 비회원은 어떻게 되지
우리 사이트 방문자의 대부분은 로그인을 안 한다. 통신·렌탈 비교가입은 둘러보다 상담 신청하는 흐름이라, 그냥 구경하고 나가는 사람이 압도적으로 많다. 우리 재참여 전략의 한 축이 바로 "비회원 이탈자는 리타게팅으로 다시 부른다"였다.
그런데 비회원은 마케팅 동의 값이 없다. 위 규칙대로면 동의가 true가 아니니까, 비회원 픽셀이 전부 차단된다. 트래픽의 대다수, 그리고 리타게팅 전략의 핵심 대상이 통째로 사라진다.
규칙은 깔끔했는데, 그 규칙이 우리 전략을 죽이고 있었다. 회원 한 명의 동의 철회를 막으려다, 익명 방문자 수만 명을 같이 끈 거다. 두 개를 한 스위치에 묶은 게 문제였다.
전환점: 이건 한 면이 아니라 두 면이다
여기서 멈춰서 생각을 다시 했다. "마케팅"이라고 뭉쳐 부르지만, 사실 성격이 완전히 다른 두 가지가 섞여 있었다.
A면은 누군지 모르는 쿠키를 보고 "이 사이트 본 적 있는 브라우저"에 광고를 다시 띄우는 것이다. B면은 이 사람이 누구인지 알고, 전화번호로 문자를 보내거나 그 사람을 콕 집어 광고하는 것이다.
회원이 동의를 끈다는 건 B면을 거부한 거다. "나한테 문자 보내지 마, 나를 특정해서 광고하지 마." 그런데 그 사람이 익명의 브라우저로서 사이트를 둘러본 흔적까지 끄라는 뜻은 아니다. 적어도 법적으로는 그 둘이 다른 층위다.
그래서 게이팅도 둘로 갈라야 했다. A면은 쿠키 동의로, B면은 회원 동의로. 한 스위치가 아니라 두 스위치.
헛다리: "우리는 그 쿠키가 누군지 몰라요"라고 말하려다
여기까지 정리하고 나는 꽤 만족했다. "동의 끈 회원도, 익명 쿠키 레벨에서는 그냥 일반 비회원처럼 보면 된다. 우리는 그 쿠키가 어느 회원인지 모르니까." 이게 방어 논리였다.
그러다 우리 데이터 구조를 다시 들여다봤다. 그리고 멈췄다.
우리는 device_id라는 걸 쓴다. 비로그인 상태와 로그인 상태를 잇는 임의의 식별자다. 광고로 들어온 익명 방문자가 며칠 뒤 가입하고 개통하면, 그 매출을 광고 성과로 되먹이기 위해 이 device_id를 다리 삼아 쿠키 ↔ 전화번호 ↔ 회원을 한 줄로 묶는다. 우리 BigQuery(데이터 웨어하우스)에는 그게 한 테이블에 같이 앉아 있다.
다시 말해, "이 쿠키가 누군지 우리도 모른다"는 말은 거짓이었다. 우리는 안다. 알 수 있게 일부러 만들었다. 오프라인 전환을 추적하려고 공들여 놓은 그 다리가, 익명성 방어를 무너뜨리는 바로 그 지점이었다.
여기가 진짜 위험 라인이다. 시스템이 "이 익명 쿠키 = 동의 끈 회원 민섭"이라고 알 수 있는 경로가 하나라도 남아 있으면, 규제기관 입장에선 "그건 그냥 회원 리타게팅이고, 동의 철회 우회"로 본다. 정책 문서에 "안 봅니다"라고 쓰는 걸로는 안 된다. 데이터 흐름상 못 보게 만들어야 방어가 선다.
해법은 결국 규율 한 줄로 정리됐다. A면 리타게팅 오디언스는 광고사가 자기 픽셀 쿠키로 알아서 만들게 두고, 우리 BigQuery의 사람-그래프를 광고 타겟팅에 절대 쓰지 않는다. 식별할 능력이 있어도, 그 능력을 광고에 안 쓰면 "맞춤형 광고는 개인을 직접 식별하지 않는 범위"라는 처리방침 문장이 진짜가 된다.
또 하나의 헛다리: 한국도 쿠키 배너가 필요한가
중간에 내가 한 번 과하게 갔다. "비회원 행태광고를 하려면 쿠키 동의 표면이 반드시 있어야 한다"고 단정했다. 유럽 사이트 들어가면 뜨는 그 쿠키 동의 배너 말이다.
틀렸다. 한국은 그게 의무가 아니다. 유럽은 ePrivacy 규정 때문에 비필수 쿠키에 사전 동의 배너가 사실상 강제지만, 한국엔 그런 쿠키 전용 법이 없다. 한국은 사전 동의(opt-in)가 아니라 고지 + 거부권(opt-out) 기반이다. 개인정보처리방침에 "행태정보를 이런 목적으로 수집하고, 광고 플랫폼에 제공하며, 끄려면 여기서"를 적어두면 된다. 사이트를 막는 배너는 필요 없다.
확인해보니 우리 처리방침에는 그게 이미 거의 다 들어 있었다. 행태정보 수집 항목, 맞춤형 광고 목적, "개인을 직접 식별하지 않는 범위" 문구, 구글·네이버 거부 링크까지. A면 방어에 필요한 표면은 진작 갖춰져 있었던 거다. 내가 EU 기준을 한국에 잘못 얹었을 뿐.
이건 기록해 둘 만한 교훈이다. 개인정보 얘기가 나오면 머릿속 디폴트가 자꾸 GDPR(유럽 개인정보보호법)로 간다. 그런데 우리가 사는 나라는 한국이고, 기준이 다르다.
남은 흉터: 해시한 전화번호는 "익명"이 아니다
마지막 결정은 전환 측정 정확도를 위해 CAPI(서버에서 광고 매체로 전환을 직접 보내는 방식)로 해시한 전화번호를 Meta·Google에 보내기로 한 거였다.
전화번호를 그대로 보내는 게 아니라 SHA-256으로 단방향 변환해서 보낸다. 그래서 한동안 나는 이걸 "익명이니까 가벼운 문제"로 취급했다. 해시했으니 개인정보가 아니라고.
이건 정확히 짚어야 한다. 해시한 전화번호는 한국법상 개인정보가 아닌 게 아니다. 가명정보다. 전화번호는 경우의 수가 좁아서, 받는 쪽(광고 매체)이 매칭 데이터를 가지고 있으면 다시 누군지 알아낼 수 있다. "해시했으니 안전"은 틀린 안심이다.
그리고 그걸 Meta·Google에 보낸다는 건, 국외(미국)의 제3자에게 가명처리한 개인정보를 이전한다는 뜻이다. 여기서 갈림길이 생긴다.
이게 단순히 "우리 전환 측정을 대신해주는 처리위탁"이면 처리방침 고지로 충분하다. 그런데 Meta가 그 데이터를 자기 광고 최적화에도 쓴다면 "제3자 제공"이고, 그건 별도 동의가 원칙이다.
솔직히 이건 내가 결론 낼 수 있는 영역이 아니다. 법무가 판단할 문제다. 그래서 여기는 "풀었다"가 아니라 "아직 안 풀림, 법무 확인 대기"로 남겨둔다. 추정으로 메우는 것보다 정직하게 비워두는 게 낫다.
작은 흉터 하나 더. 처리방침에 넣을 광고사 이름을 정리하다, 리타게팅 매체 "모비온"의 운영사를 "비즈스프링"이라고 적었다. 확인해보니 ㈜인라이플이었다. 법적 문서에 들어갈 회사 이름을 기억으로 적으면 안 된다. 찾아보면 1분이다.
가져갈 것: 동의·픽셀을 설계할 때의 체크리스트
이커머스 픽셀 하나 까는 감각으로 접근하면 다친다. 리드젠처럼 회원과 비회원이 섞이고, 온라인과 오프라인이 섞이는 사업에서 동의를 설계한다면, 결론은 결국 "한 스위치가 아니라 두 스위치"로 모인다.
- "마케팅"을 두 면으로 갈라라. 익명 행태광고(쿠키 기반)와 회원 신원 마케팅(사람 기반)은 법적 근거도, 게이팅 스위치도 다르다. 한 스위치에 묶으면 둘 중 하나가 망가진다.
- 동의 차단은 "회원 신원 액션"에만 걸어라. 문자·알림톡·이메일, 해시 식별자 전송, 고객리스트 업로드. 익명 쿠키 픽셀은 별도의 쿠키 거부권으로 다룬다.
- "우리는 그 쿠키가 누군지 모른다"가 사실인지 데이터 흐름으로 확인하라. 어딘가에 쿠키를 회원과 잇는 다리(우리는
device_id였다)가 있으면, 그 다리를 광고 타겟팅 경로에서 떼어내야 방어가 선다. - 개인정보 기준은 한국 기준으로 보라. EU식 쿠키 배너는 한국에선 의무가 아니다. 처리방침 고지 + 거부권이면 된다. 머릿속 디폴트를 GDPR에 두지 마라.
- "해시했으니 익명"은 틀렸다. 가명정보다. 국외 광고사에 보내면 국외이전이고, 위탁이냐 제공이냐는 법무에 물어라. 마케팅 수신 동의(정보 받기)가 이 전송(정보 보내기)을 자동으로 덮지 않는다.
질문 하나로 시작했는데, 끝에 보니 우리 전환 추적 구조 전체가 동의 설계와 한 몸이었다. 트래킹을 다 깔아놓고 동의를 나중에 얹는 게 아니라, 처음부터 같이 그려야 하는 거였다. 이건 원래 같이 가는 문제다.
비교원 통신·렌탈 비교가입 서비스의 동의·픽셀 게이팅 설계 기록. 결정과 헛다리와 미해결(법무 확인 대기)을 그대로 남겨, 다음엔 같은 길을 다시 헤매지 않으려고.
이 글이 도움이 되었다면 공유해주세요
최신 인사이트
카카오톡 공유 썸네일 안 나올 때 해결법 (Kakao JavaScript SDK 2025)
카카오톡 공유하기에서 썸네일 이미지가 안 나오는 원인과 scrapImage로 KAGE URL을 변환해 해결하는 방법을 단계별로 설명합니다. 지금 확인하세요.
Claude Code 서브에이전트로 CRM 사용자 설명서 20분 만에 완성하는 방법
Claude Code 서브에이전트를 활용해 CRM 코드베이스에서 사용자 설명서와 비주얼 가이드북을 20분 만에 자동 생성한 실전 사례를 공유합니다. 지금 확인하세요.
GEO 생성형 엔진 최적화: 2025년 AI 마케팅 전략 완전 가이드
GEO 생성형 엔진 최적화란 무엇이며 기존 SEO와 어떻게 다른지, 2025년 AI 마케팅 전략의 핵심 실행 방법 5가지를 데이터와 함께 알아보세요.
관련 프로젝트
새 글을 이메일로 받아보세요
마케팅, 분석, 개발 인사이트를 정리해서 보내드려요.