쿠키·광고아이 디 개인 정보보호 쟁점 – 형사 처벌, 수사·실무 핵심 총정리

‘쿠키·광고아이 디 개인 정보보호 쟁점’은 온라인 광고·앱 마케팅에서 수집되는 식별 정보가 개인 정보보호법·정보통신망법 위반으로이 어질 수 있는 지, 실제로 형사 처벌·과 태료·행정 제재가 어떻게 적용되는 지에 관한 문제입니다. 이 글을 통해서 쿠키·광고아이 디의 개념, 불법이 되는 경우, 형사 절차와 처벌 수위, 실무 대응 방안을 정리해 알려주겠습니다.

1. 쿠키·광고아이 디 개인 정보보호 쟁점 개요

1-1. 쿠키·광고아이 디란 무엇인가

(1) 쿠키(Cookie)

• 웹사이 트가
  • 이 용자의 브라우저에 저장 하는 작은 텍스트 파일
  • 방문기록, 로 그인 상태, 장바구니 정보, 맞춤 광고 정보 등을 저장
• 종류
  • 필수 쿠키: 로 그인 유지, 보안 등 서비스 제공에 필수
  • 분석·통계 쿠키: 접속 통계, 이 용행태 분석
  • 광고·타겟팅 쿠키: 관심사 기반 맞춤 광고 제공

(2) 광고아이 디(Advertising ID)

• 스마트폰·태블릿 등에서 사용되는 광고용 식별자
  • Android: AAID(Advertising ID)
  • iOS: IDFA(Identifier For Advertisers)
• 특징
  • 단말기·앱 이 용 행태를 연결해 광고 타겟팅에 활용
  • 사용자가 초기화(Reset)하거나 추적 제한 설정 가능
  • 특정 개인을 직접 이 름·번호로 식별하진 않지만, 조합·연계를 통해 개인 프로 파일 생성 가능

2. 개인 정보보호법상 쿠키·광고아이 디의 법적 성격

2-1. 개인 정보에 해당 하는가

• 개인 정보보호법상 ‘개인 정보’는
  • 살아 있는 개인에 관한 정보로
  • 성명, 주민번호 등으로 직접 식별되거나,
  • 다른 정보와 쉽게 결합해 식별 가능한 정보 포함

쿠키·광고아이 디는 단독으로는이 름, 연락처를 알 수 없더라도, 다음과같이 활용될 경우 개인 정보 또는 가 명정보로 평가 될 수 있음

• 특정 기기·브라우저에
  • 접속 시간대, 방문 사이 트, 구매 이 력, 검색어 등이 연속적으로 결합
  • 이 정보로 사실상 한 개인의 관심사·행태를 지속적으로 추적 가능
• 다른 보유 데이 터(회원 정보, 로 그인 정보 등)와 매칭하여
  • “어떤 계정/어떤 유저”인지 식별 가능한 경우

2-2. 개인 정보 vs 익명 정보 vs 가 명정보 비교

3. 쿠키·광고아이 디 관련 주요 법률 체계

3-1. 적용 가능한 주요법률

• 개인 정보보호법
  • 개인 정보 수집·이 용·제공 동의
  • 목적 외이 용·제공 금지
  • 기술적·관리적 보호조치 의무
  • 개인 정보 유출 통지·신고 의무
• 정보통신망 이 용촉진 및 정보보호 등에 관한법률(정보통신망법)
  • 정보통신 서비스 제공자의이 용자 정보 보호
  • 맞춤형 광고 관련 고지·통지 의무(개인 정보위 가이드라인 포함)
• 위치 정보법, 전자금융거래법 등
  • 위치·결제 정보와 연계되는 경우 각각 별도 규율 가능

3-2. 동의와 고지 의무

• 일반적으로 다음 사항에 대한 명확한 고지·동의가 요구됨
  • 수집 하는 정보 항목(쿠키·광고아이 디 포함 여부)
  • 수집·이 용 목적(맞춤형 광고, 통계 분석 등)
  • 보유·이 용 기간
  • 제3자 제공 여부(광고 네트워크, 분석 업체 등)
• 웹사이 트·앱에서 흔히 요구되는 것
  • 쿠키 배너(동의·거부 선택)
  • 개인 정보 처리방침에 쿠키·광고아이 디 사용 목적, 거부 방법 안내
  • 맞춤형 광고 수신 거부·설정 변경 안내

4. 불법이 되는 경우 – 형사 쟁점 정리

4-1. 대표적인 위법 유형

(1) 이 용자 동의 없이 추적·프로 파일링

• 가능하면 위험한 상황
  • 쿠키·광고아이 디로 이 용자 행태를 장기간 추적하면서
  • 동의나 고지 없이 맞춤 광고 실시
  • ‘동의 받았다’고 보기 어려운 모호한 문구 또는

기본 체크된 동의 항목을 통해 사실상 강제 동의 유도

• 쟁점
  • “맞춤형 광고를 한다”는 사실을 충분히 명확히 알렸는 지
  • 구체적인 목적·수집 항목을 안내했는 지
  • 쿠키·광고아이 디 거부 방법을 실제로 제공했는 지

(2) 제3자 제공·공유 문제

• 위험 상황
  • 광고 대행사·애드네트워크·분석 업체에

쿠키·광고아이 디 + 이 용행태 데이 터 제공하면서

• 별도 동의나 고지 없이이 용
• “통계 분석 목적”이 라고 하면서 실제로는

타겟팅 광고·행태 기반 마케팅에 재이 용

• 쟁점
  • 단순 ‘위탁’인지, 실질적으로 제3자 ‘제공’인지
  • 위탁 계약서·제공 계약서에 개인 정보 보호조치가 포함됐는 지

(3) 수집 목적 외 이 용

• 처음 약속한 목적과 다르게 사용 하는 경우
  • 예: “서비스 개선을 위한 통계분석”으로만 수집했다고 공지해 놓고,
  • 이후 광고 타겟팅·잠재 고객 리스트 판매 등에 활용
• 개인 정보보호법상 목적 외 이 용·제공 제한 위반 소지

(4) 보안조치 미흡으로 인한 유출

• 보안 사고 유형
  • 광고·분석 서버 해킹으로 쿠키·광고아이 디 + 행동 데이 터 유출
  • 내부 직원이 FTP, USB 등으로 무단 반출
• 문제점
  • 재식별 가능성이 높은 데이 터일 경우
  • 사실상 개인 정보 유출로 평가 될 수 있음
  • 유출 통지·신고를 하지 않은 경우 추가 제재 가능

5. 형사 처벌·과 태료·행정 제재 수준

5-1. 형사 처벌 가능 조항(개인 정보보호법 기준 중심)

• 개인 정보보호법상 형사 처벌 주요 유형
  • 거짓이나 그 밖의 부정한 수단으로 개인 정보를 수집한 경우
  • 동의 없이 제3자 제공, 목적 외 이 용을 한 경우
  • 업무상 알게 된 개인 정보를 누설·도 용한 경우
• 벌칙 수준(사안·조항에 따라 다름)
  • 징역형: 통상 5년 이 하 또는 3년이 하 징역이 상한인 조항이 다수
  • 벌금형: 5천만 원 ~ 5억 원이 하 등 조항에 따라 상이
  • 징역과 벌금 병과 가능 조항 존재

5-2. 행정 제재·과 징금·과 태료

• 행정상 제재
  • 시정조치(삭제, 이 용중지, 파기, 시스템 개선 등)
  • 과 징금 부과(매출액 기준 일정 비율, 상한 있음)
  • 과 태료 부과(수백만 원~수천만 원대, 반복·고의성에 따라 상향)
• 광고·플랫폼 업계에서 자주 문제 되는 부분
  • 동의 절차·고지 미흡 → 시정명령 + 과 태료
  • 프로 파일링·타겟광고에서 묵시적 동의에의 존 → 경고, 시정조치, 과 징금

5-3. 실제 수사·재판에서 보는 포인트

• 고의·인식 여부
  • 쿠키·광고아이 디가 개인 정보보호법 적용 대상이 될 수 있다는 점을
  • 인지하고도 규정을 무시했는 지
• 동의 절차의 실질성
  • 형식적으로 ‘전체 동의’만 받아 놓고
  • 중요한 내용(맞춤형 광고, 제3자 제공 등)을 숨기지 않았는 지
• 피해 규모와 재식별 가능성
  • 이 용자 수, 수집 기간, 데이 터 상세 수준
  • 이 름·연락처 등과 결합 가능성이 어느 정도 였는 지

6. 수사 절차 흐름과 대응 방법

6-1. 수사가 시작되는 전 형적 경로

• 개인 정보보호위원회, 방송통신위원회 등의 조사·점검 후
  • 형사 고발 의 뢰
• 이 용자의 신고·진정
  • “동의 한 적 없는 광고가 계속 온다”
  • “삭제 요구했는 데도 계속 추적된다” 등
• 해킹·유출 사고 후 언론 보도, 집단 민원

6-2. 형사 절차 기본 흐름

1. 고발·고소·신고 접수
2. 개인 정보위·방통위 등 행정 기관 조사 → 필요 시 수사기관에 고발
3. 경찰 수사
   • 서버 로 그 확보, 시스템 구조 분석
   • 동의 화면·개인 정보 처리방침, 계약서 등 확보
4. 검찰 송치·기소 여부 결정
   • 기소유예, 약식기소(벌금형), 정식 재판 청구 등
5. 재판 및 선고
   • 벌금, 집행유예, 징역형 여부 결정

6-3. 조사·수사 단계에서 실무 대응 팁

• 즉시 정리해야 할 자료
  • 개인 정보 처리방침 변경 이 력
  • 동의 화면 캡처·버전 관리 기록
  • 수집·이 용·제공로 그(어떤 데이 터가 실제로 오갔는 지)
  • 광고 대행사·플랫폼과의 계약서
• 준비하면 좋은 포인트
  • 어떤 정보가 개인 정보인지, 가 명 정보인지, 익명 정보인지
  • 내부 분류 기준과 검토 자료
  • 동의를 어떻게 받았는 지 ‘화면 단위’로 제시
  • 이 용자가 언제든 거부·옵트아웃 할 수 있었는 지 설명

7. 피해자·이 용자 입장 에서의 대응 방법

7-1. 본인의 정보 활용 여부 확인

• 할 수 있는 조치
  • 사용 하는 웹·앱 서비스의 개인 정보 처리방침 확인
  • 쿠키 설정, 광고 설정 메뉴 확인(거부·옵트아웃 제공 여부)
  • OS(안드로 이드, iOS) 광고 추적 제한·초기화 기능 사용
• 의 심되는 정황
  • 특정 사이 트이 용 후 유사 광고가 여러 앱·웹에과 도하게 노출
  • 동의 한 적 없는 서비스에서이 름은 모르지만

‘정확히 나를 아는 듯한’ 타겟 광고가 반복

7-2. 분쟁 해결 절차

• 개인 정보보호위원회·한국인터넷진흥원(KISA) 등
  • 상담·분쟁조정 신청 가능
• 민사상 손해배상
  • 불법 수집·이 용, 유출로 인해 정신적 손해를 입은 경우
  • 손해배상 청구 가능(다만, 입증 문제로 실무상 쉽지 않음)
• 형사 고소·진정
  • 고의 적인 무단 제공, 유출, 판매 등이 명백한 경우
  • 수사기관에 고소·진정 가능

8. 사업자·개발자·마케터를 위한 실무 체크리스트

8-1. 쿠키·광고아이 디 수집 단계

• 최소 수집 원칙
  • 서비스 제공·분석·광고에 꼭 필요한 정보만 수집
  • 민감한 정보와 결합되지 않도 록 설계
• 동의 화면 설계
  • 맞춤형 광고, 제3자 제공 여부를

별도 항목으로 구분해 설명·동의 받는 것이 안전

• 기본 체크(Opt-out) 방식보다는
• 사용자가 명시적으로 체크 하는 Opt-in 방식이 유리

8-2. 처리·보관 단계

• 가능한 경우 가 명 처리·집계 처리
  • 개별 유저를 특정하기 어려운 단위로 보관
• 접근 통제
  • 광고·마케팅 담당자 이 외에 불 필요한 접근 제한
  • 로 그 기록 유지(누가 언제 어떤 데이 터에 접근했는 지)

8-3. 제3자 제공·위탁 시

• 필수 확인 사항
  • 위탁인지, 실질적인 제3자 제공인지법적으로 구분
  • 계약서에 다음 사항 명시
    • 목적 외이 용 금지
    • 재위탁 시 사전 동의
    • 보안조치·접근제한 의무
    • 위반 시 책임 범위(손해배상·벌칙 등)
  • 개인 정보 처리방침에 반영
    • 구체적인 업체명(또는 유형), 제공 항목, 목적, 보유 기간 기재

9. 자주 묻는 질문(FAQ)

Q1. 쿠키·광고아이 디만 쓰면 무조건 개인 정보보호법 위반인가 요?

• 그렇지 않습니다.
  • 서비스 제공에 필요한 범위 내에서

적 법한 동의를 받고, 고지된 목적 안에서 사용한다면

• 위반이 아닐 수 있음
• 다만, 동의 없이 장기간 추적·프로 파일링하는 경우

위반 가능성이 커지므로 특히 주의 가 필요합니다.

Q2. 쿠키 배너 한 번 띄우고 전체 동의 받으면 다 괜찮은 가요?

• 문제가 될 수 있습니다.
  • 사용자가 어떤 항목에 동의 하는 지 명확히 알 수 있어야 하며,
  • 맞춤형 광고·제3자 제공 등 민감한 항목은
  • 별도로 분리해 동의 받는 것이 안전합니다.

Q3. 이 름·연락처는 안 모으는 데, 광고아이 디만 쓰면 괜찮지 않나요?

• 꼭 그렇지는 않습니다.
  • 광고아이 디와이 용행태 데이 터를 조합해
  • 한 개인의 프로 파일을만 들 수 있다면

개인 정보 또는가 명정보로 평가 될 수 있습니다.

• 특히 내부 계정와 연계하거나, 다른 데이 터와 쉽게 결합 가능하다면

개인 정보보호법 적용 대상이 될 가능성이 큽니다.

Q4. 해외 광고 플랫폼(Google, Meta 등)을 쓰면법 적용이 다르나요?

• 국내 이 용자를 대상으로 서비스 하는 경우
  • 국내 사업자는 국내법률(개인 정보보호법 등)을 따라야 합니다.
  • 해외 플랫폼을 쓰더라도, 동의·고지·제3자 제공 안내 의무는
  • 국내 사업자에 게 그대로 남습니다.

Q5. 이미 몇 년 동안 쿠키·광고아이 디로 광고를 해 왔는 데, 지금이라도 정비하면의 미가 있나요?

• 매우 중요합니다.
  • 법 위반 상태를 인지한 후에도 방치했다면
  • 이후 발생하는 위반에 대한 책임이 더 무거워질 수 있습니다.
  • 동의 절차 개선, 처리방침 수정, 데이 터 최소화·가 명 처리,

위탁·제공 계약 재정비는 향후 수사·조사에서 중요한 정상 참작 사유가 될 수 있습니다.