법이 바뀌면, 제품도 바뀐다 — 마케팅 수신 동의 시스템 구축기

Photo by 🇸🇮 Janko Ferlič on Unsplash — Photo by **🇸🇮 Janko Ferlič** on Unsplash

왜 시작했나

2026년 3월 22일, COLDSURF의 마케팅 수신 동의 시스템이 새롭게 바뀌었습니다.

계기는 한국 정보통신망법 제50조였습니다. 이 법은 야간(오후 9시~오전 8시)에 광고성 이메일을 보내려면 일반 마케팅 동의와는 별도의 동의를 받아야 한다고 규정하고 있습니다. 기존에 "마케팅 수신 동의"를 받은 유저에게도 야간 발송을 하려면 추가 동의가 필요합니다.

법이 바뀐다는 걸 알았을 때 우리가 가장 먼저 한 건 현재 제품 상태를 점검하는 것이었습니다.

"지금 우리 서비스는 동의를 어떻게 받고 있지?"

현실 직시

점검 결과는 솔직히 부끄러운 수준이었습니다.

마케팅 수신 동의 항목 자체가 없었습니다

동의 이력이 DB에 기록되지 않았습니다

마케팅 수신 동의 자체가 없었기 때문에, 동의 기반의 수신 거부 링크도 없었습니다

법 개정 대응 이전에, 기본부터 다시 만들어야 했습니다.

무엇을 만들었나

1. 동의 관리 시스템

단순히 "동의했다/안 했다" 필드 하나를 추가하는 게 아니라, 동의 이력을 append-only 로그로 쌓는 방식으로 설계했습니다. 언제 동의했고, 언제 철회했는지 시간 순서대로 추적 가능합니다. 분쟁이 생겼을 때 입증 자료가 되기 때문입니다.

2. 이메일 내 수신 거부 링크

이메일을 받은 유저가 로그인하지 않아도 수신을 거부할 수 있어야 합니다. 일회용 ActionToken 기반으로 인증 없이 접근 가능한 수신 거부 페이지를 만들었습니다. /settings/consent/unsubscribe?actionToken=xxx 형태로, 링크 하나로 바로 처리됩니다.

3. 야간 광고성 정보 동의 분리

마케팅 동의와 야간 동의를 완전히 독립적으로 설계했습니다. 마케팅에 동의했더라도 야간 발송은 별도 동의가 없으면 차단됩니다.

4. 약관 변경 공지 이메일

이 모든 변경사항을 기존 유저에게 알려야 합니다. 법적 고지 의무에 해당하는 이메일이라 마케팅 수신 동의 여부와 관계없이 전체 유저에게 발송합니다.

배포 전략 — 법 시행일과 피처 플래그

시스템이 준비되더라도 실제 적용 시점을 어떻게 조율할지가 고민이었습니다. 코드는 완성됐는데, 유저에게 언제 적용할지 유연하게 결정하고 싶었습니다.

피처 플래그로 해결했습니다. useForceConsentRedirectFeature: false로 설정해두고, 시행일에 true로 바꾸면 동의를 받지 않은 유저에 대한 리다이렉트가 활성화되는 구조입니다. 배포와 기능 활성화를 분리한 것입니다.

결국 법 시행일보다 일찍 모든 준비를 마치고, 3월 22일에 전면 시행했습니다.

개인정보처리방침도 바꿨다

작업을 하다 보니 또 다른 문제가 보였습니다.

소셜 로그인(Google, Apple)으로 가입하는 유저의 경우, 이메일 주소가 동의 전에 DB에 저장되는 구조였습니다. 기술적으로는 흔한 방식이지만, 개인정보보호법 제15조 관점에서는 개선이 필요한 부분이었습니다.

단기적으로는 개인정보처리방침에 수집 근거를 명시하는 방식으로 해결했습니다.

"소셜 로그인 제공자로부터 수집되는 정보는 서비스 이용 계약 체결 및 이행을 위한 불가피한 처리로 수집되며, 마케팅 등 별도 목적에는 동의 없이 활용하지 않습니다."

장기적으로는 동의를 먼저 받고 계정을 생성하는 플로우로 개선할 예정입니다.

마치며

법 개정 대응은 귀찮은 숙제처럼 느껴질 수 있습니다. 하지만 이번 작업을 통해 오히려 제품의 신뢰 기반을 다졌다고 생각합니다.

유저가 자신의 정보가 어떻게 쓰이는지 알고, 언제든 통제할 수 있는 것. 그게 결국 좋은 제품의 기본이 아닐까요.