국내에서는 안 받는 쿠키 동의를 해외는 받는걸까? | 매거진에 참여하세요

궁금하지 않아요? 가끔씩 해외사이트 들어가면 뭔가 쿠키동의가 하단에 뜨는게

이게 다 법적 규제 때문입니다.

쿠키(cookie)는 우리가 웹사이트를 방문할 때, 브라우저에 저장되는 작은 데이터 조각이에요.

이걸 통해 로그인 정보를 유지하거나, 어떤 페이지를 봤는지 추적하거나, 맞춤 광고를 보여주기도 하죠.

문제는 여기에 개인정보가 포함되는 경우가 많다는 겁니다.
예를 들어 어떤 페이지를 몇 번 봤는지, 어떤 상품을 클릭했는지, 심지어 위치 정보까지요.
이런 데이터를 당사자 동의 없이 수집하거나 활용하면 개인정보 침해로 간주될 수 있어요.

그래서 유럽을 중심으로 개인정보 보호에 관한 법률들이 강화되었고, 그에 따라 '쿠키 동의 배너'가 거의 모든 웹사이트에 도입된 거예요.

유럽뿐 아니라, 미국(California Consumer Privacy Act - CCPA), 캐나다(PIPEDA), 브라질(LGPD) 등 전 세계적으로 유사한 규제들이 증가하고 있습니다.

1. 🇪🇺 유럽 – GDPR + ePrivacy Directive

• - GDPR (General Data Protection Regulation, 2018)
  EU 전역에 적용되는 가장 강력한 개인정보 보호 법령이에요. 핵심은 이거예요:

  "개인의 정보를 수집, 저장, 처리하기 전에는 명확하고 자유로운 동의를 받아야 한다."

• - ePrivacy Directive (쿠키법이라고도 불림) 이건 GDPR보다 더 쿠키에 특화된 법으로,

  “쿠키나 유사 기술을 통해 단말기 접근을 하는 경우,
  사용자의 사전 동의를 반드시 받아야 한다”
  고 명시돼 있어요.

즉, 쿠키가 단순히 기능적인 목적(예: 로그인 유지)이 아니라 마케팅, 분석, 광고 같은 목적이라면 동의를 반드시 받아야 합니다.

2. 🇺🇸 미국 – CCPA (California Consumer Privacy Act, 2020)

• 미국은 전체 국가 차원에서는 GDPR처럼 강력한 법은 없지만, 주별로 법이 생기고 있어요.

• 그중 대표적인 게 캘리포니아 소비자 프라이버시법 (CCPA)입니다.

  • 사용자가 어떤 데이터를 수집하는지 알 권리, 수집된 정보를 삭제할 권리 , 제3자에게 공유되는 것을 거부할 권리

• 직접적인 ‘쿠키 동의 배너’는 의무는 아니지만, 추적 쿠키를 통한 광고 등은 “거부할 수 있는 옵션(opt-out)”을 반드시 제공해야 합니다.

쿠키 동의의 기본 구조

쿠키의 종류 분류

동의 수집 흐름

[1] 사용자가 웹사이트에 접속

↓ [2] 쿠키 배너 표시 (기본 정보 + '동의' or '설정')

↓ [3] 사용자가 선택: - 전체 동의 - 일부 동의 (쿠키 설정 UI에서 직접 선택) - 거부

↓ [4] 선택된 동의 내용에 따라 쿠키 설정 적용

↓ [5] 사용자의 동의 기록 저장 (주로 로컬스토리지 또는 별도 DB)

구현 시 고려사항

1. 동의 전 쿠키 차단

• 법적으로는 동의 전까지는 추적 쿠키를 심으면 안 됨

• Google Analytics,Meta Pixel은 스크립트를 동의 이후에 삽입하도록 구조화해야 함

2. 쿠키 설정 UI 제공

• “전체 동의 / 일부 설정 / 모두 거부”의 3단계 선택지가 이상적

• 사용자에게 어떤 쿠키가 사용되는지 명확히 설명해야 함 (Cookie Policy 링크로 상세 정보 제공)

3. 동의 기록 유지

• 사용자의 동의 여부는 만료 기간 (예: 6개월, 12개월) 동안 저장

• 다시 방문 시 배너를 띄우지 않거나, 만료 시 재요청

CMP(Consent Management Platform)란?

CMP는 웹사이트나 앱에서 사용자의 쿠키 및 추적 기술 사용에 대한 동의 여부를 수집·관리·기록하는 시스템입니다.

핵심 목적

• - 법적 규제 준수 (예: GDPR, ePrivacy Directive, CCPA 등)

• - 사용자의 선택권 보장

• - 쿠키 사용의 투명성 확보

• 동의 여부에 따라 추적 스크립트의 실행을 자동 제어

CMP의 주요 구성 요소

CMP 작동 흐름 예시

1. 사용자가 웹사이트에 접속함

↓ 2. CMP는 방문자의 위치 또는 언어 기반으로 규제 확인

↓ 3. 쿠키 배너 또는 팝업을 노출 - ‘전체 동의’, ‘쿠키 설정’, ‘거부’ 옵션 제공

↓ 4. 사용자가 선택하면 CMP가 해당 결과를 저장

↓ 5. CMP가 스크립트 삽입 여부를 판단 - 예: 광고 쿠키 거부 시 Meta Pixel 비삽입

↓ 6. 사용자는 언제든 ‘쿠키 설정 변경’에서 동의 수정 가능

구현 방식 – 2가지 구조

1. 클라이언트 기반 CMP

• 대부분 SaaS로 제공 (JavaScript SDK 삽입) , 사이트에 <script> 하나 넣으면 자동 작동

• 설정은 대시보드에서 구성 (디자인, 쿠키 분류, 지역별 규칙 등)

• 예: Cookiebot, Didomi, Usercentrics

2. 서버/온프레미스 기반 CMP

• 자체 구축 또는 Private CMP

• 클라이언트 스크립트 대신 서버에서 쿠키 실행 조건 제어

• 보안, 맞춤성, 통제권이 뛰어나지만 구축이 복잡함

• 예: OneTrust (온프레미스 옵션 가능)

지역별 법률 대응 기능

CMP는 위 규제를 자동 감지하여, 국가별로 다른 UI/옵션을 노출해주는 것이 핵심 강점입니다.

주요 CMP 솔루션 비교

도입 시 체크리스트

Cookie compliance insights: bunzee.ai