마케팅 동의는 단순한 체크박스가 아니다. 잘못 설계하면 법 위반, 민원 폭주, 수억 원대 과징금이 한꺼번에 쏟아진다. 더 무서운 건, 이 위험이 대부분의 서비스 UI 안에 조용히 숨어 있다는 점이다.

마케팅 활동을 하려면 반드시 두 가지 동의가 필요하다.  ‘마케팅 목적의 개인정보 수집・이용 동의’와 ‘마케팅 수신 동의’이다. 하나는 ‘당신의 정보를 써도 되는지’, 다른 하나는 ‘그 정보를 써서 연락해도 되는지’를 묻는다. 이 둘 중 하나라도 빠지면 마케팅은 성립하지 않는다. 데이터만 있고 채널이 없거나, 채널만 있고 데이터가 없는 상황은 둘 다 무용지물이다.

문제는 이 구조를 이해하지 못한 채 UI를 설계하는 순간 터진다. 예를 들어, 전체 동의에 두 항목을 묶어두고 하위에서 선택 해제를 허용하지만, 순서나 의미를 설명하지 않는 경우다. 사용자는 ‘광고만 받겠다’는 생각으로 마케팅 수신 동의만 남겼다가, 자신의 정보가 활용되는 것에 격렬히 반발할 수 있다. 더 심각한 경우는 마케팅 목적의 개인정보 수집・이용 동의 없이 마케팅 수신 동의만 받고 CRM 메시지를 발송하는 것이다. 이건 단순한 실수가 아니라, 명백한 법 위반이다.

이 위험은 책 속 사례가 아니다. 2022년, Google은 타깃 광고를 위해 개인정보를 활용하면서도 사전 동의를 명확히 받지 않아 한국 개인정보보호위원회로부터 692억 원의 과징금을 받았다. Meta도 같은 사유로 308억 원을 부과받았다. 둘 다 ‘동의 절차 설계’에서 마케팅 목적의 개인정보 수집・이용 동의와 마케팅 수신 동의를 명확히 분리하지 않은 것이 원인이었다.

국내에서도 대형 이커머스 기업 2곳이 유사한 설계 오류로 1천억 원 규모의 행정처분을 받았고, 해외에서도 스페인 EE 통신사가 250만 건의 무단 마케팅 메시지 발송으로 10만 파운드 벌금을 물었다. GDPR 위반으로 수천만 유로를 부과받은 유럽 사례도 끝없이 나온다. 모든 사건의 공통점은 하나다. ‘동의의 순서와 완전성’이 무너진 순간, 마케팅 전체가 위법이 되었다.

해법은 명확하다. UI에서 ‘마케팅 목적의 개인정보 수집・이용 동의 → 마케팅 수신 동의’ 순서를 구조적으로 보장하는 것이다. 전자에 동의하지 않으면, 후자는 비활성 상태여야 한다. 전체 동의 버튼도 이 순서대로 적용되어야 하며, 사용자가 그 흐름을 자연스럽게 인식하게 해야 한다.