광고 ID 하나면 당신이 어디 있는지 다 보입니다 — 정밀 위치 데이터 판매 금지론이 뜨는 이유

혹시 오늘 아침 출근길, 점심 먹은 식당, 퇴근 후 들른 병원까지 누군가 실시간으로 지켜보고 있다면 어떨까요. 과장이 아닙니다. 스마트폰 앱에 박힌 광고 ID 하나만 있으면, 수십 개의 데이터 브로커가 여러분의 하루를 초 단위로 재구성할 수 있습니다. 최근 보안·정책 업계에서는 “정밀 위치 데이터 판매 자체를 금지하자”는 강경론이 다시 수면 위로 올라왔는데요. 오늘은 이 이야기를 풀어보겠습니다.

광고 ID는 어떻게 ‘감시 인프라’가 되었나

원래 광고 ID(iOS의 IDFA, 안드로이드의 AAID)는 말 그대로 광고 맞춤화용 식별자입니다. 이름도, 전화번호도 아닌 그냥 무작위 문자열이죠. 문제는 이 ID에 GPS 좌표가 초 단위로 따라붙는다는 점입니다.

앱 안에 심어진 광고 SDK가 위치 권한을 얻는 순간, 광고 ID와 좌표는 묶여서 브로커에게 흘러갑니다. 브로커는 수천 개 앱에서 들어온 데이터를 합쳐 한 사람의 30일치 동선을 지도 위에 그려냅니다. 이름이 익명이라는 건 의미가 없습니다. 매일 밤 머무는 좌표가 집 주소고, 아침에 머무는 좌표가 직장이니까요.

지금 왜 “판매 금지"가 다시 떠올랐나

2026년 4월 16일 공개된 Risky Business Media의 정책 브리핑에서는 “이제는 사후 규제가 아니라 거래 자체를 금지해야 한다"는 주장이 정면으로 다뤄졌습니다. 핵심 논리는 이렇습니다.

• 동의(consent) 기반 모델은 이미 실패했다. 이용자는 앱 10개를 설치할 때마다 10번 “동의"를 누르지만, 그 데이터가 어디까지 재판매되는지 추적할 방법이 없다.
• 익명화(anonymization)도 사실상 무의미하다. 위치 궤적은 그 자체로 개인 식별자다.
• 법 집행기관, 정보기관, 심지어 외국 정부도 영장 없이 브로커에게서 데이터를 사들이고 있다. 이건 헌법적 보호 우회 수단이다.

특히 마지막 포인트가 최근 규제 논의의 뇌관입니다. 영장이 필요한 정보를 “시장에서 구매"하는 방식으로 우회하는 관행은, 프라이버시 문제를 넘어 사법 시스템의 근간을 흔드는 사안이기 때문입니다.

‘EO 14117’이라는 전초전

미국은 이미 2024년 행정명령 14117(EO 14117)로 “특정 국가로의 대량 민감정보 이전"을 제한했습니다. 여기에 정밀 위치 데이터가 포함됐죠. 하지만 이는 해외 이전에만 초점을 맞춘 반쪽짜리 조치입니다. 국내 브로커들끼리 거래되는 시장은 여전히 활발합니다.

그래서 나온 다음 단계 제안이 “거래 전면 금지”입니다. 특정 용도를 규제하는 게 아니라, 정밀 위치 데이터의 상업적 판매 자체를 불법화하자는 거죠. EU가 GDPR로 동의 체계를 고도화했지만 결국 동의 피로(consent fatigue)만 낳았다는 반성도 한몫하고 있습니다.

산업계의 반론, 그리고 균열

물론 반론도 만만치 않습니다. 광고 업계는 “맞춤형 광고 생태계가 붕괴된다"고 주장하고, 내비게이션·날씨·배달 앱은 “위치 기반 서비스가 죽는다"고 반발합니다.

하지만 금지론자들이 선을 긋는 지점은 명확합니다. 앱이 직접 서비스 제공을 위해 위치를 쓰는 것과 그 데이터를 제3자에게 되파는 것은 완전히 다른 문제라는 겁니다. 배달 앱이 내 위치로 음식을 배달하는 건 괜찮지만, 그 좌표를 익명 ID와 묶어 브로커에게 넘기는 건 금지되어야 한다는 논리입니다.

실제로 애플은 2021년 앱 추적 투명성(ATT) 도입으로 IDFA 수집에 제동을 걸었고, 광고 생태계는 무너지지 않았습니다. 수익 모델은 결국 적응한다는 뜻이죠.

한국 이용자에게도 남의 일이 아닙니다

한국은 개인정보보호법이 비교적 엄격한 편이지만, 앱 내 광고 SDK가 해외로 전송하는 데이터까지 완전히 통제하지는 못합니다. 게다가 한국 앱 생태계에 깔린 SDK 상당수는 해외 기업 제품입니다. 내 위치가 서울 강남에서 찍혔다 해도, 그 좌표가 저장되고 거래되는 서버는 다른 대륙에 있을 수 있다는 뜻입니다.

마치며

“정밀 위치 데이터 판매 금지"는 급진적으로 들리지만, 지난 10년간의 동의 기반 규제가 사실상 실패했다는 반성에서 나온 다음 단계입니다. 동의 체크박스 몇 개로 막을 수 있는 문제가 아니라는 게 점점 분명해지고 있죠.

여러분은 어떻게 생각하시나요. 맞춤형 서비스의 편리함과 동선이 거래되지 않을 권리 사이, 어디에 선을 그어야 할까요. 그리고 혹시 지금 스마트폰 설정에서 “광고 ID 재설정” 버튼, 마지막으로 누른 게 언제인지 기억나시나요.