‘메타(Meta), EU 사용자에게 맞춤형 광고 선택권 부여 합의’

1. 합의의 배경과 내용

2025년 12월 8일 메타(Meta)는 페이스북(Facebook)과 인스타그램(Instagram) EU 사용자에게 개인화 수준이 낮은 광고(Less Personalized Ads)를 무료로 선택할 수 있는 새로운 옵션을 제공하기로 합의했다. 이는 2025년 4월 유럽연합(EU) 집행위원회가 “메타가 사용자 선택권과 관련된 디지털 시장법(DMA)을¹ 위반했다”고 결정을 내린 이후 긴밀한 협의를 거쳐 이루어진 조치다.²

메타는 기존의 ‘유료 구독 또는 광고 동의(Consent or Pay advertising model)’라는 이분법적 모델에서 벗어나 다음의 총 3가지 선택지를 제공하게 된다.

이는 DMA집행이 기업의 서비스 변경으로 이어지고 있음을 보여주는 사례로 향후 이러한 유럽발 기준이 확산될 경우, 한국 기업의 해외 서비스의 광고 설정에도 영향을 주게 될 것이다.

2. 맞춤형 광고를 둘러싼 메타와 EU의 공방 : GDPR과 DMA위반

메타는 EU 내에서 다수의 개인정보 관련 분쟁을 겪어왔다. 특히 맞춤형 광고 관련해서 2023년 1월, 아일랜드 데이터 보호위원회(DPC)³는 메타에게 GDPR 위반으로 3억 9천만 유로의 벌금을 부과하였다. 메타가 페이스북등 사용자들에게 별도의 동의를 받지 않고 서비스 약관을 수락하면 개인정보 처리에 대하여 동의한 것으로 해석한 것을 GDPR위반으로 본 것이다.

이후 2023년 11월, 메타는 ‘유료 구독 또는 광고 동의’라는 이분법적 광고 모델을 도입했다. 이 모델에 따라 페이스북과 인스타그램의 EU 사용자들은 맞춤형 광고를 위해 개인정보 결합에 동의하거나 광고 없는 서비스를 위한 월 구독료를 지불하는 것 중 하나를 선택해야만 했다. 그러나 EU집행위원회는 2024년 1월 이러한 모델이 DMA를 위반하였다는 예비조사결과를 통보하였다. 즉 개인정보 처리에 동의하지 않는 사용자에 대해서는 실질적인 대안 즉 개인정보를 덜 사용하는 방식에서 동등한 서비스를 선택할 수 있는 방안을 제공하고 있지 않으며 개인정보의 결합에 동의하도록 사실상 강요하고 있다는 것이다.⁴ DMA는 게이트키퍼로 지정된 기업이 개인정보를 활용하여 맞춤형 광고를 제공하는 것을 강하게 규제하는 내용을 담고 있다. 메타와 같이 게이트키퍼로 지정된 기업은 사용자의 행태정보를 여러 서비스 간에 결합하여 광고 목적으로 사용할 수 없다. 즉 페이스북이 인스타그램과 왓츠앱(WhatsApp)의 데이터를 결합해 광고에 활용하려면 반드시 사용자의 동의를 받아야 하는 것이다. 이처럼 DMA는 맞춤형 광고에 개인정보를 활용하기 위해서는 사용자의 명시적이고 자유로운 동의(opt-in)를 필수 요건으로 두고, 사용자가 활용에 동의하지 않더라도 서비스 이용에 불이익이 있어서는 안 되도록 규정하고 있다.⁵ 이러한 DMA위반 통보 이후 메타는 EU 집행위원회와의 여러 차례 협의 끝에 2024년 11월, 개인 맞춤형 광고 모델의 새로운 버전을 도입하여 광고 게재에 필요한 개인 정보를 축소하는 새로운 옵션을 제시했다. EU 집행위원회는 현재 이러한 새로운 옵션을 평가 중이며, 메타 측에 이 새로운 광고 모델이 실제로 미치는 영향에 대한 증거를 제출하도록 요청하는 등 지속적으로 협의를 진행하고 있다. 그러나 DMA 의무가 법적 구속력을 갖게 된 2024년 3월부터 메타의 새로운 광고 모델이 도입된 2024년 11월 사이에 서비스된 ‘유료 구독 또는 광고 동의’라는 이분법적 광고 모델에 대하여는 2025년 4월 23일 DMA 의무를 위반했다고 판단하고 2억 유로의 벌금을 부과한 것이다.⁶ 이 당시 시행된 ‘유료 구독 또는 광고 동의‘ 서비스가 소비자의 개인정보를 덜 사용하는 서비스를 선택할 수 있는 대안을 보장하지 않고, 개인정보 결합에 자유롭게 동의할 권리를 박탈했다는 것이다.

3. 한국에서의 진행 상황

한국의 개인정보 보호위원회는 2022년 9월 메타가 이용자의 동의를 받지 않고 행태정보(관심, 성향 등을 파악할 수 있는 온라인상 활동 정보)를 수집하고 이를 페이스북 등의 온라인 광고에 활용해 개인정보 보호법을 위반했다고 판단하고 308억600만 원의 과징금 부과 및 시정명령 처분을 했다.⁷

메타는 “행태정보를 수집하는 주체는 웹사이트 및 모바일 앱 사업자(웹·앱 사업자)이므로 동의 절차를 이행할 주체 역시 웹·앱 사업자”라며 2023년 2월 이러한 처분에 불복하며 행정소송을 제기했다. 그러나 서울행정법원은 2025년 1월 23일 메타의 청구를 모두 기각하고 원고 패소 판결했다. 즉 재판부는 “개인정보에 해당하는 행태정보에 관한 수집 동의를 받아야 하는 정보통신서비스 제공자는 메타”라고 판시하면서, “메타는 이용자가 데이터 정책에 ‘동의’해야 페이스북 등 서비스에 가입할 수 있도록 했는데, 동의의 내용이 모호하고 개인정보를 ‘수집’한다는 점에 관한 설명이 없어 개인정보 수집·이용에 대한 동의를 받은 것으로 볼 수 없다”고 판단했다. 더불어 “메타의 개인정보 수집 방식은 기술적으로 복잡할 뿐만 아니라 은밀하게 이루어져 이용자의 입장에서는 자신의 온라인에서의 행동이 누군가에 의해 감시당하고 있는 것 같은 불안감을 느낄 가능성이 커 보인다”라고 밝혔다.⁸ 현재 항소심이 진행 중이다.⁹

4. 맞춤형 광고를 둘러싼 개인정보 규범과 경쟁법의 교차 전망

EU와 한국 모두 ’맞춤형 광고‘는 개인정보 보호규범이 적용되는 사안이다. 그러나 한국에서 맞춤형 광고 규율은 ’개인정보 보호법‘을 중심으로 쟁점화되고 있는 반면, EU는 DMA라는 시장규제(경쟁)법 쟁점도 함께 다루어지고 있다는 점을 주목할 수 있다. 즉 한국에서는 맞춤형 광고에 대하여 ’동의를 받아야 하는 개인정보처리자가 누구인지, 그리고 명확한 사전 고지에 기반한 사전 동의 의무를 준수하였는지‘ 등 개보법위반이 쟁점이다. 반면, 유럽에서는 데이터 결합을 제한하고, 대안적 모델을 제시하는 등 시장 규제 측면에서 DMA를 통해 다루고 있다. 개인정보 규범의 보호 법익은 정보주체의 “개인정보자기결정권”이라는 인격권이다. 한편 시장규제규범으로써 경쟁법의 법익은 시장의 경쟁을 활성화함으로써 소비자의 효용을 도모하는 것이다. 그러나 이러한 다른 규범의 적용이 정보주체의 결정권과 소비자 효용 모두 정(正)의 관계로 이끈다고 볼 수는 없다.

DMA가 메타로 하여금 사용자의 개인정보 수집을 최소화는 대안을 제시하도록 함으로써 정보주체의 결정권을 향상시켰다는 긍정적 평가가 가능하다. 반면 사용자는 이러한 모델을 통해 불필요한 광고를 제공받을 확률이 높아졌다. DMA 집행에 따른 메타의 광고 선택권 부여는 유럽 맞춤형 광고 시장에 광고 단가 상승, 타겟팅 정교화 하락, 그리고 매체 다변화라는 변화를 불러올 수 있다. 사용자가 ‘개인화 수준이 낮은 광고’를 선택하면 광고주는 상세한 행동 데이터를 활용할 수 없게 된다. 이는 광고의 관련성을 낮추어 클릭률과 전환율을 떨어뜨리는 요인이 되고, 결국 광고주는 동일한 성과를 내기 위해 더 많은 사용자에게 광고를 노출해야 하며, 전체적인 광고 집행 비용 상승으로 이어질 수 있다. 또한 플랫폼의 데이터를 가져다 처리하는 방식이 어려워짐에 따라, 기업들은 자사 홈페이지나 앱을 통해 고객 데이터를 직접 더 많이 확보하는 전략에 집중하게 될 수 있고 정보주체는 더 많은 웹앱에서 더 많은 동의를 클릭하고 있게 될 수 있다. 표면적으로 정보주체의 권리가 강화된 것처럼 보일 수 있으나 소비자의 선택권이 제한되는 역설적 상황이 발생할 수도 있다. 이러한 측면에서 개인정보를 비롯한 데이터 규제가 시장 구조와 소비자 선택권에 미치는 복합적 영향을 고려할 필요가 있다.

1. Regulation(EU) 2022/1925 of the European Parliament and of the Council of 14 September 2022 on contestable and fair markets in the digital sector and amending Directives (EU) 2019/1937 and (EU) 2020/1828 Digital Markets Act [본문으로]
2. https://digital-markets-act.ec.europa.eu/meta-commits-give-eu-users-choice-personalised-ads-under-digital-markets-act-2025-12-08_en(2026.2.12. 확인): EU 집행위원회는 메타의 기존 모델이 사용자의 ‘자유로운 동의’를 강요하여 DMA를 위반했다고 판단하고, 지난 4월 약 2억 유로의 벌금을 부과했다. 이러한 합의는 규정 미준수 시 전 세계 일일 평균 매출의 최대 5%에 달하는 막대한 이행 강제금이 부과될 수 있어, 메타는 규제 당국과 타협점을 찾은 것으로 해석된다. [본문으로]
3. DPC는 GDPR 이 2018년에 도입된 이후 총 40억 유로가 넘는 벌금을 부과한 바 있다. 그러나 현재까지 그중 2천만 유로 미만만 징수되었으며, 나머지 금액은 아일랜드 법률 체계와 유럽 차원에서 진행 중인 장기간의 항소 절차에 묶여 있다. DPC가 결정을 통보하면, 처분을 받은 자는 28일 이내에 이의를 제기할 수 있는데, DPC가 내린 15건의 결정 중 13건에서 이의절차가 진행 중이다. 특히 메타는 플랫폼에 대한 제재 결정 건수와 총액 모두에서 최다 기업으로 DPC가 제재 조치한 15건 중 11건이 메타 관련 서비스이며 메타는 단 한 건을 제외하고 모두 항소중이다. [본문으로]
4. Commission, Press release, “Commission sends preliminary findings to Meta over its “Pay or Consent” model for breach of the Digital Markets Act“, 2024.7.1. [본문으로]
5. DMA, Article 6. 10. [본문으로]
6. https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1085 (2026.2.19.확인). 규정 미준수 시 전 세계 일일 평균 매출의 최대 5%에 달하는 막대한 이행 강제금이 부과될 수 있다. [본문으로]
7. 당시 구글에도 692억4100만 원의 과징금을 부과하였으며, 글로벌 빅테크 기업의 온라인 맞춤형 광고 관련 개인정보 수집·이용에 대한 개인정보 보호법 위반 한국 정부의 첫 제재 사례였다. [본문으로]
8. 서울행정법원 2025. 1. 23. 선고 2023구합54259 판결 [시정명령 등 처분 취소청구의 소] [본문으로]
9. 법률신문(2026.2.6.), “메타 “행태정보 전송은 광고주 결정, 메타의 관여·간섭 없어”.(https://www.lawtimes.co.kr/news/articleView.html?idxno=215837 2026.2.19.확인)이 보도에 따르면 메타는 2월 5일 서울고등법원 변론에서 기술 전문가 증인 신문을 통해 “행태정보 수집의 기술적 주도권은 메타가 아니라 개별 광고주(웹·앱 사업자)에 있다”고 주장했다고 한다. 증인은 이용자 행태정보가 메타 서버로 전송되는 과정에서 “어떤 정보를 수집할지, 어떤 항목을 메타로 보낼지, 전송 여부 자체를 결정하는 주체는 전적으로 웹·앱 사업자이며, 메타는 오픈소스 코드만 제공할 뿐 관여하거나 통제할 수 없다”고 증언한 것으로 밝혀졌다. 또한 메타가 이용자 가입 시점에 “향후 다른 웹·앱 접속 과정에서의 행태정보 제공”까지 특정해 사전 동의를 받는 것은 기술적으로 불가능하다고 밝혔는데, 이는 메타가 외부 웹·앱에서 발생하는 행태정보에 대해 포괄적 사전 동의를 받기 어렵다는 점을 밝힌 것을 볼 수 있다. [본문으로]