유럽 규제가 글로벌 플랫폼의 광고 전략을 바꾸는 속도가 빨라지고 있다. 2018년 GDPR이 개인정보 처리의 기준선을 끌어올린 데 이어, EU는 디지털서비스법(DSA)과 디지털시장법(DMA) 등 후속 규제를 촘촘히 쌓아 올리며 온라인 광고의 설계 방식 자체를 흔들고 있다. 규제의 무게중심은 이용자 권리와 데이터 보호, 그리고 광고 생태계의 투명성으로 옮겨갔다.

이 흐름은 유럽 시장 안에만 머물지 않는다. EU 이용자를 대상으로 서비스를 제공하는 사업자라면 본사 소재지와 무관하게 적용되는 조항이 많아, 글로벌 기업들은 제품 설계부터 동의 체계, 타기팅 방식까지 ‘유럽형 기준’을 먼저 맞춘 뒤 다른 지역으로 확장하는 방식으로 대응하고 있다. 이른바 ‘브뤼셀 효과’가 디지털 경제에서도 재현되면서, 광고주와 퍼블리셔, 애드테크까지 연쇄적으로 영향을 받는 구조가 굳어지는 모습이다. 실제로 규제 대응은 단순한 법무 이슈를 넘어 플랫폼 정책과 수익모델 조정의 문제로 번지고 있다.

DSA 전면 적용 이후 광고 투명성과 미성년자 보호가 광고 규제의 중심으로

EU의 디지털서비스법(DSA)은 2024년 2월 17일부터 EU 전역에서 전면 적용되며, 온라인 중개 서비스 전반에 책임과 투명성 의무를 부과했다. 특히 이용자 수가 큰 초대형 온라인 플랫폼(VLOP)은 위험평가, 투명 보고, 연구자 접근 등 추가 의무가 겹겹이 붙는다. 고의 또는 과실로 규정을 위반하거나 시정 조치를 따르지 않을 경우, 전 세계 연간 매출의 최대 6%까지 과징금이 가능하도록 설계돼 부담이 크다.

광고와 직결되는 핵심은 광고 규제의 세부 조항이다. DSA는 이용자 판단을 흐리는 다크패턴을 금지하고, 미성년자의 개인정보 또는 민감정보를 활용한 타기팅을 제한한다. 동시에 광고와 추천 시스템의 주요 매개변수를 공개하도록 요구하며, ‘왜 이 광고가 노출됐는지’에 대한 설명 가능성을 제도화했다. 디지털 마케팅 실무에서는 크리에이티브보다도 동의·노출 로직과 데이터 흐름을 먼저 점검하는 일이 일상화됐다는 평가가 나온다.

집행은 이미 시작됐다. EU 집행위원회는 2024년 2월, 틱톡(TikTok)의 미성년자 보호와 광고 투명성, 데이터 접근, 유해 콘텐츠 위험관리 등이 DSA를 위반했는지 평가하기 위한 공식 절차에 착수했다고 밝힌 바 있다. 이 사례는 “규정은 원칙, 집행은 현실”이라는 메시지를 업계에 각인시켰고, 이후 여러 플랫폼이 콘텐츠·광고 정책을 재정렬하는 계기가 됐다. 관련 흐름은 유럽 플랫폼 이용자 보호 이슈로도 이어지며, 광고 운영과 신뢰 확보가 분리될 수 없다는 점을 보여준다.

결국 DSA는 ‘광고를 팔기 위해 데이터를 쓰는 방식’이 아니라, ‘데이터 보호를 전제로 광고가 허용되는 방식’으로 순서를 뒤집었다. 이 전환은 다음 단계인 DMA 집행과 맞물리며 더 직접적인 수익 구조 조정으로 연결되고 있다.

DMA가 촉발한 광고 데이터 접근권 경쟁, 빅테크의 광고 전략 재설계

디지털시장법(DMA)은 2023년 5월부터 시행되며, 시장 지배력이 큰 기업을 ‘게이트키퍼’로 지정해 사전 규제를 부과한다. EU 집행위원회는 Alphabet(구글), Amazon, Apple, ByteDance, Meta, Microsoft를 게이트키퍼로 지정했고, 이들의 핵심 플랫폼 서비스 다수가 규제 대상으로 묶였다. 위반 시 제재 강도는 높다. 규정상 과징금은 전 세계 매출의 최대 10%까지 가능하고, 반복 위반은 최대 20%로 상향될 수 있도록 설계돼 있다.

광고 산업이 특히 주목하는 지점은 “광고주와 퍼블리셔가 성과 측정에 필요한 데이터에 접근할 수 있어야 한다”는 요구다. 기존에는 플랫폼 내부 측정 지표에 의존하는 경우가 많았지만, DMA는 광고 관행의 가격·보수 정보와 측정 데이터 접근을 의무화해 불투명한 중개 구조를 문제 삼는다. 동시에 이용자 동의 없이 게이트키퍼 간 데이터 결합을 제한해, 교차 서비스 타기팅과 측정 모델에 제동을 건다. 지속적 영향은 바로 여기서 발생한다. 광고 효율을 유지하려면 ‘더 많은 데이터’가 아니라 ‘규정에 맞는 데이터’로 모델을 다시 짜야 하기 때문이다.

집행위원회는 2024년 3월 DMA에 근거해 주요 빅테크가 의무를 이행했는지 첫 조사를 개시했다. 이후 업계에서는 각 사의 정책 업데이트가 사실상 ‘규제 준수 로드맵’으로 읽히기 시작했다. 공개된 대응 사례로는 구글의 사용자 동의 정책 업데이트, 메타의 서비스 간 데이터 공유 선택권 강화, 애플의 iOS 결제·마켓플레이스·브라우저 선택지 확대 등이 거론된다. 이는 단순한 기능 추가가 아니라 광고 상품 설계와 수익 배분 구조를 동시에 손보는 작업에 가깝다.

여기서 ‘브뤼셀 효과’는 플랫폼만의 문제가 아니다. 광고주 입장에서는 측정과 어트리뷰션이 흔들리고, 퍼블리셔는 수익배분과 데이터 접근 조건을 다시 협상해야 한다. 이 변화는 구글 메타 마이크로소프트 온라인 안전 이슈처럼 안전·책임 논의와도 결합하며, 광고 생태계를 ‘성과 중심’에서 ‘준법·신뢰 중심’으로 이동시키고 있다.

DMA는 플랫폼 간 경쟁 촉진을 내세우지만, 현실에서는 광고 예산의 흐름과 측정 방식까지 바꾸는 촉매로 작동하고 있다. 그렇다면 다음 질문은 자연스럽다. 데이터 자체에 대한 권한 배분이 바뀌면, 광고는 어디까지 재편될까.

GDPR에서 데이터법까지 이어진 데이터 보호 체계, 온라인 광고의 기본값을 바꾸다

유럽의 디지털 규제 흐름을 이해하려면 출발점인 GDPR을 빼놓을 수 없다. 2018년 5월 시행된 GDPR은 개인정보보호를 강화하는 동시에 EU 역내 자유로운 데이터 이동을 보장하는 틀을 세웠고, 글로벌 기업들이 유럽 기준에 맞춰 개인정보 처리 체계를 정비하게 만들었다. 그 결과 개인정보보호가 사실상 글로벌 표준처럼 작동하는 기반이 마련됐다는 평가가 많다.

이후 EU는 데이터거버넌스법(DGA)을 2023년 9월부터 적용해 공공데이터 재사용과 데이터 이타주의, 국제 데이터 흐름의 안전장치를 제도화했다. 이어 데이터법(Data Act)은 2024년 1월 11일 발효됐고, 20개월 유예기간을 거쳐 2025년 9월부터 시행되도록 설계됐다. 데이터법은 특히 연결된 기기와 관련 서비스에서 생성되는 데이터에 대해 소비자와 기업의 접근·사용을 촉진하고, 데이터 처리 서비스 간 전환을 용이하게 하는 등 시장 구조에 직접 개입한다.

광고 관점에서 이 조합은 의미가 크다. 개인 정보의 보호 장치가 강화되는 동시에, 어떤 데이터는 더 넓게 공유되고, 어떤 데이터는 더 엄격히 통제된다. 결국 애드테크 기업과 마케터는 ‘수집’보다 ‘권한’과 ‘정당성’을 설계해야 한다. 검색과 생성형 AI가 결합된 광고·콘텐츠 환경에서도 이 기준은 유효하며, 관련 변화는 구글 AI 검색 마케팅처럼 새로운 노출 지면이 늘어나는 흐름과 충돌하면서 더 복잡해지고 있다.

EU는 AI법(AI Act)도 2024년 3월 유럽의회 통과를 거치며 위험 기반 규제의 틀을 확정해가고 있다. 챗봇 등 인간과 상호작용하는 시스템에는 고지 의무가 붙고, 고위험 분야는 적합성 평가와 기록 보관 의무가 강화된다. 광고 영역에서 생성형 AI가 카피·크리에이티브·타기팅 최적화에 더 깊이 들어올수록, 플랫폼 정책은 개인정보, 안전, 차별 방지 기준을 동시에 만족해야 하는 다층 구조가 된다.

정리하면, 유럽의 데이터 보호와 플랫폼 책임 강화는 일회성 규정이 아니라 광고 운영의 ‘기본값’을 바꾸는 연속적 장치로 작동하고 있다. 글로벌 플랫폼과 광고 산업은 이제 유럽에서 요구하는 설명 가능성과 통제 가능성을 갖추지 못하면, 성장 전략 자체가 흔들릴 수 있는 국면에 들어섰다.