쿠키·광고아이디 개인정보보호 쟁점 – 형사처벌, 수사·실무 핵심 총정리

‘쿠키·광고아이디 개인정보보호 쟁점’은 온라인 광고·앱 마케팅에서 수집되는 식별정보가 개인정보보호법·정보통신망법 위반으로 이어질 수 있는지, 실제로 형사처벌·과태료·행정제재가 어떻게 적용되는지에 관한 문제입니다.
이 글을 통해서 쿠키·광고아이디의 개념, 불법이 되는 경우, 형사 절차와 처벌 수위, 실무 대응 방안을 정리해 알려주겠습니다.

1. 쿠키·광고아이디 개인정보보호 쟁점 개요

1-1. 쿠키·광고아이디란 무엇인가

(1) 쿠키(Cookie)

• 웹사이트가
• 이용자의 브라우저에 저장하는 작은 텍스트 파일
• 방문기록, 로그인 상태, 장바구니 정보, 맞춤 광고 정보 등을 저장
• 종류
• 필수 쿠키: 로그인 유지, 보안 등 서비스 제공에 필수
• 분석·통계 쿠키: 접속 통계, 이용행태 분석
• 광고·타겟팅 쿠키: 관심사 기반 맞춤 광고 제공

(2) 광고아이디(Advertising ID)

• 스마트폰·태블릿 등에서 사용되는 광고용 식별자
• Android: AAID(Advertising ID)
• iOS: IDFA(Identifier For Advertisers)
• 특징
• 단말기·앱 이용 행태를 연결해 광고 타겟팅에 활용
• 사용자가 초기화(Reset)하거나 추적 제한 설정 가능
• 특정 개인을 직접 이름·번호로 식별하진 않지만, 조합·연계를 통해 개인 프로파일 생성 가능

2. 개인정보보호법상 쿠키·광고아이디의 법적 성격

2-1. 개인정보에 해당하는가

• 개인정보보호법상 ‘개인정보’는
• 살아 있는 개인에 관한 정보로
• 성명, 주민번호 등으로 직접 식별되거나,
• 다른 정보와 쉽게 결합해 식별 가능한 정보 포함

쿠키·광고아이디는 단독으로는 이름, 연락처를 알 수 없더라도,
다음과 같이 활용될 경우 개인정보 또는 가명정보로 평가될 수 있음

• 특정 기기·브라우저에
• 접속 시간대, 방문 사이트, 구매 이력, 검색어 등이 연속적으로 결합
• 이 정보로 사실상 한 개인의 관심사·행태를 지속적으로 추적 가능
• 다른 보유 데이터(회원정보, 로그인 정보 등)와 매칭하여
• “어떤 계정/어떤 유저”인지 식별 가능한 경우

2-2. 개인정보 vs 익명정보 vs 가명정보 비교

3. 쿠키·광고아이디 관련 주요 법률 체계

3-1. 적용 가능한 주요 법률

• 개인정보보호법
• 개인정보 수집·이용·제공 동의
• 목적 외 이용·제공 금지
• 기술적·관리적 보호조치 의무
• 개인정보 유출 통지·신고 의무
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)
• 정보통신서비스 제공자의 이용자 정보 보호
• 맞춤형 광고 관련 고지·통지 의무(개인정보위 가이드라인 포함)
• 위치정보법, 전자금융거래법 등
• 위치·결제 정보와 연계되는 경우 각각 별도 규율 가능

3-2. 동의와 고지 의무

• 일반적으로 다음 사항에 대한 명확한 고지·동의가 요구됨
• 수집하는 정보 항목(쿠키·광고아이디 포함 여부)
• 수집·이용 목적(맞춤형 광고, 통계 분석 등)
• 보유·이용 기간
• 제3자 제공 여부(광고 네트워크, 분석 업체 등)
• 웹사이트·앱에서 흔히 요구되는 것
• 쿠키 배너(동의·거부 선택)
• 개인정보 처리방침에 쿠키·광고아이디 사용 목적, 거부 방법 안내
• 맞춤형 광고 수신 거부·설정 변경 안내

4. 불법이 되는 경우 – 형사 쟁점 정리

4-1. 대표적인 위법 유형

(1) 이용자 동의 없이 추적·프로파일링

• 가능하면 위험한 상황
• 쿠키·광고아이디로 이용자 행태를 장기간 추적하면서
• 동의나 고지 없이 맞춤 광고 실시
• ‘동의 받았다’고 보기 어려운 모호한 문구 또는

기본 체크된 동의 항목을 통해 사실상 강제 동의 유도

• 쟁점
• “맞춤형 광고를 한다”는 사실을 충분히 명확히 알렸는지
• 구체적인 목적·수집 항목을 안내했는지
• 쿠키·광고아이디 거부 방법을 실제로 제공했는지

(2) 제3자 제공·공유 문제

• 위험 상황
• 광고 대행사·애드네트워크·분석 업체에

쿠키·광고아이디 + 이용행태 데이터 제공하면서

• 별도 동의나 고지 없이 이용
• “통계 분석 목적”이라고 하면서 실제로는

타겟팅 광고·행태 기반 마케팅에 재이용

• 쟁점
• 단순 ‘위탁’인지, 실질적으로 제3자 ‘제공’인지
• 위탁 계약서·제공 계약서에 개인정보 보호조치가 포함됐는지

(3) 수집 목적 외 이용

• 처음 약속한 목적과 다르게 사용하는 경우
• 예: “서비스 개선을 위한 통계분석”으로만 수집했다고 공지해 놓고,
• 이후 광고 타겟팅·잠재 고객 리스트 판매 등에 활용
• 개인정보보호법상 목적 외 이용·제공 제한 위반 소지

(4) 보안조치 미흡으로 인한 유출

• 보안 사고 유형
• 광고·분석 서버 해킹으로 쿠키·광고아이디 + 행동 데이터 유출
• 내부 직원이 FTP, USB 등으로 무단 반출
• 문제점
• 재식별 가능성이 높은 데이터일 경우
• 사실상 개인정보 유출로 평가될 수 있음
• 유출 통지·신고를 하지 않은 경우 추가 제재 가능

5. 형사처벌·과태료·행정제재 수준

5-1. 형사처벌 가능 조항(개인정보보호법 기준 중심)

• 개인정보보호법상 형사처벌 주요 유형
• 거짓이나 그 밖의 부정한 수단으로 개인정보를 수집한 경우
• 동의 없이 제3자 제공, 목적 외 이용을 한 경우
• 업무상 알게 된 개인정보를 누설·도용한 경우
• 벌칙 수준(사안·조항에 따라 다름)
• 징역형: 통상 5년 이하 또는 3년 이하 징역이 상한인 조항이 다수
• 벌금형: 5천만 원 ~ 5억 원 이하 등 조항에 따라 상이
• 징역과 벌금 병과 가능 조항 존재

5-2. 행정제재·과징금·과태료

• 행정상 제재
• 시정조치(삭제, 이용중지, 파기, 시스템 개선 등)
• 과징금 부과(매출액 기준 일정 비율, 상한 있음)
• 과태료 부과(수백만 원~수천만 원대, 반복·고의성에 따라 상향)
• 광고·플랫폼 업계에서 자주 문제 되는 부분
• 동의 절차·고지 미흡 → 시정명령 + 과태료
• 프로파일링·타겟광고에서 묵시적 동의에 의존 → 경고, 시정조치, 과징금

5-3. 실제 수사·재판에서 보는 포인트

• 고의·인식 여부
• 쿠키·광고아이디가 개인정보보호법 적용 대상이 될 수 있다는 점을
• 인지하고도 규정을 무시했는지
• 동의 절차의 실질성
• 형식적으로 ‘전체 동의’만 받아 놓고
• 중요한 내용(맞춤형 광고, 제3자 제공 등)을 숨기지 않았는지
• 피해 규모와 재식별 가능성
• 이용자 수, 수집 기간, 데이터 상세 수준
• 이름·연락처 등과 결합 가능성이 어느 정도였는지

6. 수사 절차 흐름과 대응 방법

6-1. 수사가 시작되는 전형적 경로

• 개인정보보호위원회, 방송통신위원회 등의 조사·점검 후
• 형사 고발 의뢰
• 이용자의 신고·진정
• “동의한 적 없는 광고가 계속 온다”
• “삭제 요구했는데도 계속 추적된다” 등
• 해킹·유출 사고 후 언론 보도, 집단 민원

6-2. 형사 절차 기본 흐름

1. 고발·고소·신고 접수
2. 개인정보위·방통위 등 행정기관 조사 → 필요 시 수사기관에 고발
3. 경찰 수사
• 서버 로그 확보, 시스템 구조 분석
• 동의 화면·개인정보 처리방침, 계약서 등 확보
4. 검찰 송치·기소 여부 결정
• 기소유예, 약식기소(벌금형), 정식 재판 청구 등
5. 재판 및 선고
• 벌금, 집행유예, 징역형 여부 결정

6-3. 조사·수사 단계에서 실무 대응 팁

• 즉시 정리해야 할 자료
• 개인정보 처리방침 변경 이력
• 동의 화면 캡처·버전 관리 기록
• 수집·이용·제공 로그(어떤 데이터가 실제로 오갔는지)
• 광고 대행사·플랫폼과의 계약서
• 준비하면 좋은 포인트
• 어떤 정보가 개인정보인지, 가명정보인지, 익명정보인지
• 내부 분류 기준과 검토 자료
• 동의를 어떻게 받았는지 ‘화면 단위’로 제시
• 이용자가 언제든 거부·옵트아웃 할 수 있었는지 설명

7. 피해자·이용자 입장에서의 대응 방법

7-1. 본인의 정보 활용 여부 확인

• 할 수 있는 조치
• 사용하는 웹·앱 서비스의 개인정보 처리방침 확인
• 쿠키 설정, 광고 설정 메뉴 확인(거부·옵트아웃 제공 여부)
• OS(안드로이드, iOS) 광고 추적 제한·초기화 기능 사용
• 의심되는 정황
• 특정 사이트 이용 후 유사 광고가 여러 앱·웹에 과도하게 노출
• 동의한 적 없는 서비스에서 이름은 모르지만

‘정확히 나를 아는 듯한’ 타겟 광고가 반복

7-2. 분쟁 해결 절차

• 개인정보보호위원회·한국인터넷진흥원(KISA) 등
• 상담·분쟁조정 신청 가능
• 민사상 손해배상
• 불법 수집·이용, 유출로 인해 정신적 손해를 입은 경우
• 손해배상 청구 가능(다만, 입증 문제로 실무상 쉽지 않음)
• 형사 고소·진정
• 고의적인 무단 제공, 유출, 판매 등이 명백한 경우
• 수사기관에 고소·진정 가능

8. 사업자·개발자·마케터를 위한 실무 체크리스트

8-1. 쿠키·광고아이디 수집 단계

• 최소 수집 원칙
• 서비스 제공·분석·광고에 꼭 필요한 정보만 수집
• 민감한 정보와 결합되지 않도록 설계
• 동의 화면 설계
• 맞춤형 광고, 제3자 제공 여부를

별도 항목으로 구분해 설명·동의 받는 것이 안전

• 기본 체크(Opt-out) 방식보다는
• 사용자가 명시적으로 체크하는 Opt-in 방식이 유리

8-2. 처리·보관 단계

• 가능한 경우 가명처리·집계 처리
• 개별 유저를 특정하기 어려운 단위로 보관
• 접근 통제
• 광고·마케팅 담당자 이외에 불필요한 접근 제한
• 로그 기록 유지(누가 언제 어떤 데이터에 접근했는지)

8-3. 제3자 제공·위탁 시

• 필수 확인 사항
• 위탁인지, 실질적인 제3자 제공인지 법적으로 구분
• 계약서에 다음 사항 명시
• 목적 외 이용 금지
• 재위탁 시 사전 동의
• 보안조치·접근제한 의무
• 위반 시 책임 범위(손해배상·벌칙 등)
• 개인정보 처리방침에 반영
• 구체적인 업체명(또는 유형), 제공 항목, 목적, 보유 기간 기재

9. 자주 묻는 질문(FAQ)

Q1. 쿠키·광고아이디만 쓰면 무조건 개인정보보호법 위반인가요?

• 그렇지 않습니다.
• 서비스 제공에 필요한 범위 내에서

적법한 동의를 받고, 고지된 목적 안에서 사용한다면

• 위반이 아닐 수 있음
• 다만, 동의 없이 장기간 추적·프로파일링하는 경우

위반 가능성이 커지므로 특히 주의가 필요합니다.

Q2. 쿠키 배너 한 번 띄우고 전체 동의 받으면 다 괜찮은가요?

• 문제가 될 수 있습니다.
• 사용자가 어떤 항목에 동의하는지 명확히 알 수 있어야 하며,
• 맞춤형 광고·제3자 제공 등 민감한 항목은
• 별도로 분리해 동의 받는 것이 안전합니다.

Q3. 이름·연락처는 안 모으는데, 광고아이디만 쓰면 괜찮지 않나요?

• 꼭 그렇지는 않습니다.
• 광고아이디와 이용행태 데이터를 조합해
• 한 개인의 프로파일을 만들 수 있다면

개인정보 또는 가명정보로 평가될 수 있습니다.

• 특히 내부 계정와 연계하거나, 다른 데이터와 쉽게 결합 가능하다면

개인정보보호법 적용 대상이 될 가능성이 큽니다.

Q4. 해외 광고 플랫폼(Google, Meta 등)을 쓰면 법 적용이 다르나요?

• 국내 이용자를 대상으로 서비스하는 경우
• 국내 사업자는 국내 법률(개인정보보호법 등)을 따라야 합니다.
• 해외 플랫폼을 쓰더라도, 동의·고지·제3자 제공 안내 의무는
• 국내 사업자에게 그대로 남습니다.

Q5. 이미 몇 년 동안 쿠키·광고아이디로 광고를 해 왔는데, 지금이라도 정비하면 의미가 있나요?

• 매우 중요합니다.
• 법 위반 상태를 인지한 후에도 방치했다면
• 이후 발생하는 위반에 대한 책임이 더 무거워질 수 있습니다.
• 동의 절차 개선, 처리방침 수정, 데이터 최소화·가명처리,

위탁·제공 계약 재정비는 향후 수사·조사에서 중요한 정상 참작 사유가 될 수 있습니다.