iOS ATT·GDPR·국내 PIPA — 마케터가 알아야 할 3대 프라이버시 규제
iOS App Tracking Transparency, EU GDPR, 한국 개인정보보호법(PIPA). 3가지 규제가 마케터의 measurement·targeting·동의 흐름에 미치는 영향을 한 글로 정리합니다.
마케터에게 프라이버시 규제는 더 이상 법무팀만의 일이 아니에요. iOS ATT 이후 attribution이 깨지고, GDPR 이후 EU 캠페인 운영이 달라지고, 한국 개인정보보호법 개정으로 동의 흐름이 바뀝니다. 마케팅의 모든 단계(트래픽 측정·attribution·audience·CRM)에 프라이버시 규제가 직접 영향을 줘요. 이 글은 글로벌·국내 3대 프라이버시 규제 — iOS App Tracking Transparency, EU GDPR, 한국 PIPA — 의 핵심을 마케터 관점에서 한 글로 정리합니다.
왜 마케터가 프라이버시 규제를 알아야 하나
마케터가 프라이버시 규제를 직접 다루는 이유는 다음 5가지.
- 트래픽 측정 도구(GA4·MMP·픽셀)가 규제 영향을 직접 받음
- attribution이 깨져 ROAS 계산이 달라짐
- audience targeting에 옵션 제한이 추가됨
- CRM 발송 시 동의 기반 segmentation 필요
- 위반 시 회사가 받는 과징금이 매출 규모
특히 ATT 이후 iOS 광고 attribution은 매년 표준이 바뀌고 있고, GDPR은 EU 시장 진출 시 1차 게이트, PIPA는 국내 운영의 일상이에요. 셋 다 마케팅 의사결정에 직접 박혀있습니다.
3가지 규제 한 표 — 마케터 영향
| 규제 | 적용 범위 | 핵심 요구 | 마케터 영향 |
|---|---|---|---|
| iOS ATT | iOS 14.5+ 앱 | IDFA 사용 전 명시적 동의 | MMP attribution 약화, SKAN으로 보완 |
| EU GDPR | EU 거주자 처리 | 동의·정당한 이익·필수 | EU 트래픽 측정·targeting 동의 필요 |
| 한국 PIPA | 한국 개인정보 처리 | 목적별 동의·민감정보 별도 동의 | 마케팅 동의 분리·정기 폐기 |
이 표 한 장이 사실상 글로벌·국내 프라이버시 규제의 핵심. 각각 더 풀어볼게요.
iOS App Tracking Transparency (ATT)
iOS 14.5(2021년)부터 시행. 앱이 다른 회사의 데이터·디바이스 ID(IDFA)를 사용할 때 명시적 user 동의를 받아야 합니다.
마케터에게 직접적인 영향:
- IDFA가 NULL인 사용자가 절반 이상
- 매체→자사 attribution 매칭률이 떨어짐
- MMP의 attribution이 SKAN postback 기반으로 옮겨감
- audience targeting의 정확도 저하
- conversion lift 측정이 어려움
대응 패턴:
- SKAdNetwork conversion value schema 설계 (skan-postback-decoding)
- Meta CAPI·Google Enhanced Conversions로 server-side 보완
- 앱 내 동의 priming UI 디자인 (동의율 30% → 60% 가능)
- modeled conversion (매체가 통계로 채워줌)
- clean room으로 attribution 보강
ATT 동의율은 매체·앱 카테고리·priming 디자인에 따라 20-70%까지 다양해요. 동의율 5% 올리면 측정 가능 트래픽이 5% 늘어나니까 priming UI 투자 가치가 큽니다.
EU GDPR (General Data Protection Regulation)
2018년 시행. EU 거주자의 개인정보를 처리할 때 명확한 법적 근거가 필요합니다.
법적 근거 6가지 중 마케터가 자주 쓰는 것:
- Consent (동의) — 명시적·구체적·informed
- Legitimate interest (정당한 이익) — analytics·재마케팅에 활용 가능, 단 balancing test 통과해야
- Contract (계약 이행) — 구매한 user에게 거래 관련 발송
마케터가 가장 자주 만나는 GDPR 자리:
- Cookie banner (CMP) 설치 필수
- 옵트인 전 마케팅 쿠키·픽셀 발화 금지
- audience export(Meta·Google)에 동의 신호 같이
- 사용자의 “내 데이터 보기·삭제·이전” 요청 처리 (DSAR)
- 데이터 보관 기간 명시·폐기
GDPR 위반 과징금은 전 세계 매출 4% 또는 2천만 유로 중 큰 쪽. Meta·Google이 수십억 유로 과징금 받은 사례가 있어요.
한국 PIPA (개인정보보호법)
2023년 9월 전부 개정 시행. 다음이 마케터에게 가장 자주 등장합니다.
핵심 요구:
- 목적별 동의 분리 — 회원가입 동의 ≠ 마케팅 수신 동의 ≠ 광고 활용 동의
- 필수 동의 vs 선택 동의 명시
- 처리 목적·보관 기간 고지
- 민감정보·고유식별정보는 별도 동의
- 14세 미만은 법정대리인 동의
- 국외 이전 시 동의·통지
마케터가 자주 만나는 자리:
- 회원가입 동의서 (5-7개 체크박스 분리)
- 마케팅 수신 동의 (이메일·SMS·푸시·카카오톡 채널별)
- 광고성 정보 발송 시 (광고) 표기 + 거부 링크 필수
- CDP·DMP에 데이터 적재 시 처리 목적 일치 점검
- 1년 미사용자 자동 휴면 전환·5년 후 자동 폐기
위반 시 매출 3% 과징금 + 형사 처벌. 2024년 들어 1억 단위 과징금 사례가 늘어났어요.
Cookie banner·CMP (Consent Management Platform)
3가지 규제 모두 cookie banner·동의 UI를 요구해요. 직접 구현하기보다 CMP 솔루션이 표준입니다.
주요 CMP:
- OneTrust (글로벌 점유율 1위)
- Cookiebot
- Usercentrics
- 국내: PrivacyOps·자체 구현
CMP가 하는 일:
- cookie 사용 동의 수집
- 동의 카테고리 분류 (필수·analytics·marketing·targeting)
- 동의 거부 시 해당 카테고리 cookie 차단
- 동의 기록 audit 로그
- 사용자의 동의 변경·철회 처리
CMP를 GTM·GA4·매체 픽셀과 연결해 동의 거부 시 자동 차단되게 설정하는 게 표준 운영. 직접 구현하면 누락이 생기기 쉬워서 CMP 솔루션이 권장됩니다.
Server-side Tagging의 가치
브라우저에서 매체 픽셀이 직접 발화하는 client-side tagging은 ITP·ATT·cookie 차단에 취약. server-side tagging(sGTM)으로 옮기면 다음이 가능해요.
- cookie를 1st party 도메인으로 (Safari ITP 완화)
- PII 해싱·필터링을 server에서
- 매체 CAPI로 server→server 전송 (브라우저 차단 무관)
- 한 endpoint로 여러 매체 동시 발송
web-cro-6principles·ga4-bigquery-roas 같은 측정 글에서 다룬 측정 인프라의 다음 진화가 server-side tagging이에요.
Clean Room — 쿠키 없는 세상의 매칭
매체 1st party data와 자사 1st party data를 매칭해야 하는데 둘 다 raw로 공유 못 하는 시대. Clean Room이 그 사이를 잇습니다.
- Meta Advanced Analytics
- Google Ads Data Hub (ADH)
- Amazon Marketing Cloud
- AWS Clean Rooms
- Snowflake Clean Room
clean room의 본질은 “둘이 raw 공유 없이 join만 가능”이에요. 그 위에서 incrementality·overlap·MMM 입력을 만들 수 있습니다.
마케터 의사결정 체크리스트
- 캠페인 시작 전 — 동의 받았는지·CMP 카테고리 일치하는지
- audience export 전 — 동의 신호 같이 보내는지
- 픽셀 설치 시 — server-side tagging으로 옮길 수 있는지
- attribution 약해진 매체 — clean room·modeled conversion 보완
- CRM 발송 전 — 마케팅 수신 동의 segmentation·(광고) 표기
- 데이터 보관 — 1년·5년 기준 정기 폐기 잡 운영
이 6가지를 매분기 점검하면 큰 사고가 사전에 잡혀요.
마치며
프라이버시 규제는 거추장스러워 보이지만 마케터가 정확히 알고 운영하면 측정·targeting·CRM의 안정성을 오히려 높여줘요. 위반 사고 1번이 매출 3-4%를 날리니까 사전 점검 비용은 항상 회수됩니다.
다음 글로는 Clean Room 입문·Consent Mode v2 + CAPI EMQ에서 더 깊은 운영을 다룹니다.
참고
프라이버시·컴플라이언스 카테고리의 다른 글
전체 보기 →-
2026·06·05
Data Clean Room 입문 — Meta Advanced Analytics, Google ADH, AWS Clean Rooms 비교
쿠키 없는 시대의 attribution·오디언스 매칭 표준, Data Clean Room. privacy-preserving join의 본질부터 Meta Advanced Analytics·Google ADH·Amazon AMC·AWS Clean Rooms·Snowflake를 비교하고, k-익명성 제약과 실무 use case를 정리합니다.
-
2026·05·09
EU DMA가 walled garden을 어떻게 흔드나 — 마케터 영향 정리
EU의 Digital Markets Act(DMA)가 Meta·Google·Apple의 walled garden을 강제 개방시키고 있습니다. 광고주 데이터·측정·광고 제품 관점에서 마케터가 알아야 할 변화 정리.
-
2026·05·08
데이터 클린룸 — Meta·Google과 안전하게 데이터 매칭하는 법
쿠키·IDFA가 끊긴 시대에 자사 1st-party 데이터와 광고 플랫폼 데이터를 매칭하는 표준 방식이 데이터 클린룸입니다. AWS Clean Rooms·Google Ads Data Hub·Meta Advanced Analytics의 차이와 마케터가 매칭으로 얻을 수 있는 정보를 정리합니다.
-
2026·05·07
Privacy Sandbox — 쿠키 종료 이후 브라우저단 광고 타깃팅, 마케터가 알아야 할 5가지
서드파티 쿠키 종료 이후, 광고 타깃팅은 어디로 가나. Privacy Sandbox는 광고 식별을 광고주 서버에서 브라우저 안으로 옮기는 구글의 답입니다. Topics·Protected Audience·Attribution Reporting 3축이 무엇이고, 마케터가 캠페인·KPI를 어떻게 다시 설계해야 하는지.