구글, 영국·EEA·스위스 사용자 IP로 광고 맞춤화 전환…개인정보 규제 변화에 주목

구글이 2026년 8월 3일을 기점으로 영국, 유럽경제지역(EEA), 스위스 사용자의 IP 주소를 광고 맞춤화와 측정 목적으로 본격 활용하기로 했습니다. 이 결정은 개인정보 보호 규제 환경이 변화하면서 나온 조치로, 그동안 구글이 IP 주소를 단순히 네트워크 라우팅에만 사용하던 방식에서 한 단계 진화한 것입니다. 특히 IP 주소가 GDPR 하에서 개인정보로 분류되는 유럽 지역에서 이러한 변화는 광고 생태계 전반에 영향을 미칠 가능성이 큽니다. 사용자 입장에서는 맞춤형 광고가 더 정교해질 수 있지만, 동시에 개인정보 노출 위험도 커질 수 있어 신중한 관리가 필요합니다.

이번 조치가 주목받는 이유는 구글이 과거에 IP 기반 추적에 대해 부정적인 입장을 견지해왔기 때문입니다. 2019년 구글의 크롬 엔지니어링 책임자였던 저스틴 슈는 IP 주소를 통한 장치 식별(Fingerprinting)을 "사용자의 선택권을 무력화하는 잘못된 방법"이라고 비판했습니다. 그러나 구글은 2024년 12월 입장을 바꿔 IP 기반 식별을 허용하는 방향으로 정책을 전환했습니다. 이 변화는 개인정보 보호 규제 강화와 맞물려 있으며, 특히 유럽의 규제 기관인 ICO가 새로운 동의 규정을 도입하려고 하는 시점에 등장했다는 점에서 주목할 만합니다.

IP 주소, 개인정보로 분류되는 유럽에서 광고 맞춤화 방식 변화

구글은 그동안 IP 주소를 광고 배달과 측정 목적으로 사용해왔습니다. 그러나 2026년 8월 3일부터는 이 IP 주소를 장치 식별에 직접 활용하기로 했습니다. 이는 IP 주소가 유럽 GDPR에서 개인정보로 분류되기 때문에 발생하는 변화입니다. IP 주소를 통한 장치 식별은 쿠키가 차단되거나 삭제된 경우에도 사용자를 추적할 수 있는 수단으로, 개인정보 보호 규제 강화와는 상충되는 측면이 있습니다.

이번 조치는 단순히 기술적인 변화에 그치지 않습니다. 구글이 IAB 유럽의 '투명성 및 동의 프레임워크(TCF)'에 'Feature 3: 장치 식별(Identify devices based on information transmitted automatically)'로 등록했다는 점에서 규제 준수 차원에서도 중요한 의미를 가집니다. TCF는 유럽에서 광고 목적을 위한 동의 관리 표준으로, 구글이 이 프레임워크에 등록했다는 것은 IP 주소를 통한 장치 식별이 규제 당국의 검토를 통과했다는 것을 의미합니다. 다만, 'Feature 3' 자체는 동의 단계를 의미하지 않으며, 개인화 광고 목적을 위한 동의가 별도로 필요하다는 점에서 사용자에게는 선택권이 보장됩니다.

개인정보 보호 규제 강화와 구글의 전략적 대응

유럽에서 IP 주소가 개인정보로 분류되면서, 구글은 이 문제를 해결하기 위해 개인정보 보호 기술(PETs)을 도입했습니다. 구글은 on-device 처리, 신뢰 실행 환경(TEE), 그리고 다중 당사자 간 안전 계산(SMPC) 같은 기술을 활용해 IP 주소를 통한 장치 식별을 보다 안전하게 수행할 계획입니다. 이러한 기술들은 IP 주소를 서버에 저장하지 않고 장치 자체에서 처리하거나, 암호화된 환경에서 안전하게 관리하는 방식으로 개인정보 노출 위험을 줄이는 데 초점을 맞추고 있습니다.

그러나 이러한 기술적 접근에도 불구하고, 사용자의 동의가 필수적이라는 점은 변하지 않습니다. 구글은 자체 서비스(예: 검색, 유튜브)에서 사용자에게 IP 기반 맞춤화에 대한 선택권을 제공할 계획입니다. 사용자는 동의 여부를 직접 결정할 수 있으며, 이는 유럽의 개인정보 보호 규제인 GDPR과 ePrivacy 지침을 준수하기 위한 조치입니다. 특히 ICO가 새로운 동의 규정을 도입하려고 하는 시점에 구글의 변화가 나타난 것은, 유럽의 개인정보 보호 규제가 점차 강화되고 있음을 보여주는 사례입니다.

맞춤형 광고의 정교화 vs. 개인정보 보호의 균형

IP 주소를 통한 맞춤형 광고는 사용자에게 더 정교한 광고 경험을 제공할 수 있습니다. 예를 들어, 사용자의 위치 정보(IP 주소 기반)를 활용해 지역별로 맞춤형 광고를 노출하거나, 사용자의 관심사(광고 클릭 패턴)를 바탕으로 더 관련성 높은 광고를 제공할 수 있습니다. 이는 마케터에게는 광고 효율성을 높이는 기회가 되지만, 사용자에게는 개인정보 노출 위험이 커질 수 있는 문제로 다가올 수 있습니다.

구글은 이러한 균형을 위해 PETs를 도입했지만, 사용자의 동의가 필수적이라는 점은 변하지 않습니다. 사용자는 자신의 IP 주소가 광고 맞춤화에 사용되는지 여부를 선택할 수 있으며, 거부할 경우에도 기본적인 광고 노출은 계속될 수 있습니다. 이는 유럽의 개인정보 보호 규제가 사용자에게 더 많은 통제권을 부여하는 방향으로 나아가고 있음을 보여주는 사례입니다. 사용자는 자신의 데이터가 어떻게 사용되는지 명확히 알 수 있으며, 원치 않는 경우 거부할 수 있는 권리가 보장됩니다.

기업과 개발자에게 주는 시사점

구글의 이번 변화는 단순히 광고 생태계에 국한된 문제가 아닙니다. 기업과 개발자는 IP 주소를 통한 장치 식별이 개인정보 보호 규제에 어떻게 영향을 미치는지 면밀히 살펴봐야 합니다. 특히 유럽 시장에서 서비스를 제공하는 기업은 IP 주소의 사용에 대한 동의 관리 시스템을 구축해야 하며, 개인정보 보호 규제를 준수하기 위한 기술적 조치를 마련해야 합니다.

개발자 입장에서는 IP 주소를 통한 장치 식별이 쿠키 대신 사용될 수 있는 대안이 될 수 있지만, 개인정보 보호 규제를 준수하지 않으면 법적 책임에 직면할 수 있습니다. 따라서 IP 주소를 처리하는 코드나 시스템을 설계할 때는 개인정보 보호 규제를 고려한 아키텍처를 채택하는 것이 중요합니다. 예를 들어, IP 주소를 즉시 익명화하거나, on-device에서 처리하는 방식을 고려할 수 있습니다.

또한, 구글의 TCF 프레임워크 등록은 광고 생태계 전반에 영향을 미칠 가능성이 큽니다. IAB 유럽의 TCF는 유럽에서 광고 목적을 위한 동의 관리 표준으로, 많은 광고 기술 providers가 이 프레임워크를 따르고 있습니다. 구글이 이 프레임워크에 등록했다는 것은, IP 주소를 통한 장치 식별이 광고 생태계의 표준으로 자리잡을 가능성이 있음을 시사합니다. 따라서 광고 기술 providers는 TCF 규정을 준수하기 위한 시스템을 준비해야 할 것입니다.

사용자에게 필요한 선택과 주의사항

사용자는 구글의 IP 기반 맞춤형 광고 도입으로 인해, 자신의 IP 주소가 광고 맞춤화에 사용되는지 여부를 선택할 수 있게 되었습니다. 구글은 자체 서비스에서 사용자에게 IP 기반 맞춤화에 대한 동의 여부를 묻는 화면을 제공할 계획입니다. 사용자는 동의 여부를 신중히 결정해야 하며, 동의하지 않더라도 기본적인 광고 노출은 계속될 수 있음을 기억해야 합니다.

또한, 사용자는 자신의 IP 주소가 어떻게 사용되는지 확인하기 위해 구글의 개인정보 보호 정책을 주기적으로 확인하는 것이 좋습니다. 특히, IP 주소를 통한 장치 식별이 개인정보 노출 위험을 높일 수 있으므로, VPN이나 개인정보 보호 도구를 사용해 IP 주소를 숨기는 방법도 고려해볼 수 있습니다. 이러한 도구들은 IP 주소를 기반으로 한 추적을 어렵게 만들어 개인정보 보호 수준을 높일 수 있습니다.

한편, 사용자는 광고 설정에서 맞춤형 광고 옵션을 비활성화할 수 있습니다. 구글은 사용자에게 광고 개인화 수준을 조정할 수 있는 옵션을 제공할 예정입니다. 이를 통해 사용자는 자신의 데이터가 광고에 사용되는 범위를 제한할 수 있으며, 개인정보 노출 위험을 줄일 수 있습니다. 이러한 옵션은 유럽의 개인정보 보호 규제가 사용자에게 더 많은 통제권을 부여하는 방향으로 나아가고 있음을 보여주는 사례입니다.

규제 환경 변화와 미래 전망

유럽에서 IP 주소가 개인정보로 분류되면서, 개인정보 보호 규제는 점점 더 엄격해지고 있습니다. ICO를 비롯한 유럽의 규제 기관들은 새로운 동의 규정을 도입하려고 하고 있으며, 이는 광고 생태계 전반에 영향을 미칠 가능성이 큽니다. 구글의 이번 변화는 이러한 규제 환경 변화에 대응하기 위한 전략적 조치로 볼 수 있습니다.

미래에는 IP 주소를 통한 장치 식별이 더욱 일반화될 가능성이 높습니다. 특히, 쿠키의 사용이 제한되면서 대안으로 IP 주소를 활용하는 경우가 늘어나고 있습니다. 그러나 개인정보 보호 규제가 강화되면서, IP 주소를 통한 장치 식별은 더욱 엄격한 규제를 받게 될 것입니다. 따라서 기업과 개발자는 개인정보 보호 규제를 준수하기 위한 기술적, 조직적 조치를 마련해야 할 것입니다.

또한, 개인정보 보호 기술(PETs)의 발전은 IP 주소를 통한 장치 식별의 안전한 활용을 가능하게 할 것입니다. on-device 처리, 신뢰 실행 환경(TEE), 다중 당사자 간 안전 계산(SMPC) 같은 기술들은 IP 주소를 통한 장치 식별을 보다 안전하게 수행할 수 있도록 지원할 것입니다. 이러한 기술들은 개인정보 노출 위험을 줄이는 데 기여할 것이며, 규제 당국의 요구 사항을 충족하는 데 도움이 될 것입니다.

결론: 사용자와 기업 모두에게 중요한 전환점

구글의 IP 기반 광고 맞춤화 전환은 유럽의 개인정보 보호 규제 강화 흐름 속에서 나온 중요한 변화입니다. 사용자에게는 더 정교한 맞춤형 광고가 제공되지만, 동시에 개인정보 노출 위험도 커질 수 있어 신중한 관리가 필요합니다. 기업과 개발자에게는 IP 주소의 사용에 대한 규제 준수와 기술적 대응이 필수적이며, 개인정보 보호 기술의 발전이 이러한 변화에 대응하는 핵심 열쇠가 될 것입니다.

사용자는 자신의 데이터가 어떻게 사용되는지 명확히 알고, 필요한 경우 동의 여부를 조정하거나 개인정보 보호 도구를 활용하는 등 적극적인 관리가 필요합니다. 기업과 개발자는 규제 환경 변화에 대응하기 위한 기술적, 조직적 조치를 마련하고, 개인정보 보호 규제를 준수하는 시스템을 구축해야 할 것입니다. 이 변화는 개인정보 보호와 맞춤형 광고의 균형을 맞추기 위한 지속적인 노력의 시작일 뿐이며, 앞으로도 규제 환경과 기술의 발전은 계속해서 변화할 것입니다.