행태정보, 어렵지 않아요!
웹사이트나 앱을 쓰다 보면 내가 눌러본 버튼, 검색어, 장바구니에 담아 둔 상품 같은 "발자국"이 남습니다.
이러한 디지털 발자국을 한데 모아 '행태정보(Behavioural Data)' 라고 부릅니다.
행태정보는 개인을 직접 식별하지 않으면서도, 이용자가 어떤 콘텐츠를 좋아하고 무엇에 관심을 보이는지를 알려 주어
더 유용한 서비스/광고를 보여주는 재료가 됩니다.
왜 이 글을 썼을까요?
저희는 보안 컨설팅을 진행하면서 컨설턴트, 기업, 그리고 보안담당자들이 행태정보 처리에 관해 많은 어려움을 겪고 있다는 점을 파악하여, 이러한 현장의 고충을 해소하고 행태정보의 책임 있는 처리에 대한 명확한 가이드를 제공하고자 제작하였습니다.
이 가이드는 개인정보처리방침 내 행태정보 관련 항목에 대한 상세 기재 내용을 안내하며,
첼라에서 만든 행태정보 추적기(CELA)의 활용 전략 및 더 나은 보안환경을 제공하고자 합니다.
1. 행태정보, 이렇게 모아요.
| 정보 구분 | 수집 방법 | 예시 |
|---|
| 지역/위치 정보 | IP 지오로케이션 SDK (모바일 GPS, WipFi) | 국가·도/시·(위도/경도) 등
※ 정밀 위치는 별도 동의 필요 |
| 접속·세션 시간 | 서버 로그, 자바스크립트 | 최초 접속 시각, 마지막 활동 시각, 세션 ID |
| 페이지/게시판 정보 | 자바스크립트, HTTP 리퍼러 | board/free/123 처럼 사용자가 머문 게시판·카테고리·글 번호 |
| 방문 이력 | 쿠키·자바스크립트 | 어떤 URL을 언제 들렀는지 |
| 검색 키워드 | 쿠키·자바스크립트 | “중고 자전거”처럼 사이트 안팎에서 입력한 단어 |
| 클릭·탭 | 자바스크립트·SDK | 상품 클릭, 메뉴 선택 |
| 스크롤·체류 시간 | 자바스크립트 | 페이지 어디까지 읽었는지 |
| 구매·장바구니 | 쿠키·SDK | 담은 상품, 결제 완료 여부 |
| 광고 반응 | 메타 픽셀, 구글 애즈 태그 등 | 광고를 봤는지·눌렀는지 |
| 디바이스 정보 | SDK, HTTP 헤더 | OS, 브라우저, 해상도 |
| 앱 사용 패턴 | SDK | 앱 실행 빈도, 버전 |
※ 행태정보 항목에서 종교·건강·정당 가입 등 민감 카테고리는 절대 수집하면 안돼요.
2. 어디에 쓰일까요? (실제 예시로 보는 행태정보 활용)
| 맞춤형 광고 | 사용자가 최근 ‘아이폰 케이스’를 여러 번 조회했을 경우, 다음 접속 시 메인 페이지나 다른 배너 영역에 아이폰 케이스, 관련 액세서리 광고를 자동으로 노출합니다. 광고는 Google Ads, Meta 등 서드파티 광고 플랫폼을 통해 연동되며, 사용자의 클릭 이력, 장바구니 담기 등의 정보를 기반으로 설정됩니다. |
| 광고 효과 분석 | 리타게팅 광고를 위해 광고 클릭 후 사용자가 구매까지 이어졌는지를 추적합니다. 예를 들어 A광고를 보고 3시간 내에 ‘무선 청소기’를 결제하면, 해당 광고는 전환율이 높은 광고로 분류되어 더 많은 예산이 배정됩니다. 이런 분석은 Meta Pixel, Google Analytics, Airbridge와 같은 태그로 측정됩니다. |
| 서비스 품질 개선 | 카페 앱에서 사용자가 ‘글쓰기’ 버튼을 눌렀다가 중간에 이탈하는 패턴이 반복되면, UX 팀은 버튼 위치나 작동 방식(예: 팝업 대신 새 창)을 수정합니다. 또한 사용자가 특정 게시판에서 평균 체류 시간이 유독 짧다면, 콘텐츠 내용 개선이나 카테고리 분류를 조정하는 방식으로 반영됩니다. |
| 보안 & 안정성 확보 | 사용자의 일반 로그인 패턴(기기 정보, IP 대역, 로그인 시간 등)을 학습한 뒤, 비정상적인 위치(예: 평소와 다른 국가)나 기기에서 로그인 시도가 발생하면 추가 인증(OTP)을 요구하거나 차단합니다. 또한 특정 이용자가 매우 짧은 시간에 다수의 기능을 반복 호출할 경우, 봇 행위로 판단하여 접속 차단 및 보안 로그를 생성합니다. |
3. 저희 첼라 홈페이지에서도 행태정보를 이렇게 활용 중입니다.
Google Analytics로 살펴보는 행태정보 – 실전 예시
현재 저희 홈페이지는 Google에서 제공하는 무료 분석 도구, Google Analytics(구글 애널리틱스) 를 사용해 방문자 정보를 확인하고 있습니다.
전문 마케터나 분석가처럼 고도화된 설정은 하지 않았고, 회원가입 기반 서비스도 아니지만,
어떤 지역에서 방문했는지,
하루에 얼마나 들어왔는지 정도는 확인할 수 있습니다.
아래는 실제 대시보드 화면입니다.
위 이미지는 Google Analytics의 사용자 위치 지도입니다.
대한민국을 중심으로 일본, 인도, 미국, 프랑스 등에서 접속 기록이 확인됩니다.
이는 사용자의 IP 주소를 기반으로 지역을 추정한 것으로, 특정 국가·도시의 사용자가 많다면
해당 지역에 맞는 콘텐츠나 언어, 특정 이벤트 대상을 기획하는데 도움을 받을 수 있습니다.
이 화면은 최근 90일간의 접속 통계를 요약한 화면입니다.
저희는 특별한 마케팅 없이 운영 중이라 데이터가 크진 않지만,
이처럼 기본 설정만으로도 방문자 수·접속 경로·활성 시간 등 주요 지표를 확인할 수 있습니다.
이처럼 '행태정보'를 통해 아래의 다양한 데이터를 확인할 수 있습니다.
사용자가 언제 방문했는지,
어디에서 접속했는지,
어떤 경로로 홈페이지에 도달했는지,
그리고 얼마나 머물렀는지
이 모든 정보는 앞서 설명드린 행태정보(Behavioural Data) 의 실제 예시이며, 저희는 이 데이터를 활용할 때
또한, 이러한 행태정보의 수집 및 활용 방식에 대해서는 개인정보처리방침을 통해 안내하고 있습니다.
제7조 (개인정보 자동 수집 장치의 설치∙운영 및 거부에 관한 사항)
① 회사는 이용자에게 개별적인 맞춤서비스를 제공하기 위해 이용정보를 저장하고 수시로 불러오는 ‘쿠키(cookie)’를 사용합니다.
② 쿠키는 웹사이트를 운영하는데 이용되는 서버(http)가 이용자의 컴퓨터 브라우저에게 보내는 소량의 정보이며 이용자들의 PC 컴퓨터내의 하드디스크에 저장되기도 합니다.가. 쿠키의 사용목적: 이용자가 방문한 각 서비스와 웹 사이트들에 대한 방문 및 이용형태, 인기 검색어, 보안접속 여부, 등을 파악하여 이용자에게 최적화된 정보 제공을 위해 사용됩니다. 나. 쿠키의 설치∙운영 및 거부 : 웹브라우저 상단의 도구>인터넷 옵션>개인정보 메뉴의 옵션 설정을 통해 쿠키 저장을 거부 할 수 있습니다. 다. 쿠키 저장을 거부할 경우 맞춤형 서비스 이용에 어려움이 발생할 수 있습니다. ③ Google Analytics가. "회사"는 구글(Google)에서 제공하는 Analytics를 사용하고 있습니다. Google Analytics를 통해 개인을 식별할 수 있는 정보는 수집하지 않습니다. - Analytics 사용목적 : 서비스 이용 통계 분석 - Analytics 설치·운영 및 거부 : Google Analytics 차단 브라우저 부가 기능(add-on) 설치 :** https://tools.google.com/dlpage/gaoptout - Analytics 정보의 처리를 거부할 경우에도 서비스 이용이 가능합니다. |
4. 그럼, 개인정보 처리방침에는 어떻게 행태정보를 표기하는게 올바를까요?.(그 전에 쿠키 이해 부터)
그 전에 쿠키라는 녀석 부터 이해해야 합니다.
우선, 개인정보 처리방침에 보면 '행태정보'를 설명하는데, 그 전에 '쿠키 설치 및 거부 방법' 에 대한 내용이 꼭 따라붙는 걸 볼 수 있습니다.
'행태정보 얘기인데 왜 쿠키?' 하고 궁금하신 분들도 계실거에요.
이유는 간단합니다.
행태정보는 대부분 '쿠키'를 통해 수집되며,
Google Analytics, Meta Pixel 같은 도구들도 내부적으로 쿠키 기반 사용자 식별을 기본값으로 사용하기 때문입니다.
쿠키에 대해서 더 자세히 설명드리겠습니다.
쿠키는 웹 사이트가 사용자의 브라우저에 저장하는 작은 텍스트 파일입니다.
과 같은 기록을 브라우저에 저장해두고 다음 방문 때 이 정보를 다시 활용합니다.
이런 정보를 종합하면, 사용자의 행동 패턴(=행태정보)을 알 수 있게 됩니다.
그런데.... 꼭 쿠기를 써야만 한걸까요?
사실 쿠키 없이도 행태정보 전송은 가능합니다.
예를 들어, 특정 게시판을 클릭했을 때, Javascript 가 이벤트를 감지해 Google Analytics로 URL 요청을 보내는 구조라면
쿠키 없이도 데이터 전송이 이뤄질 수 있습니다.
이런 경우는 단순히 '어떤 일이 발생했는가'를 기록하는 것이고, '누가 했는가'를 식별하진 않습니다.
그럼에도 불구하고, 쿠키 안내가 중요한 이유가 있습니다.
Google Analytics는 다음과 같은 식별 목적의 쿠키를 자동으로 설정합니다.
_ga: 고유 방문자 식별 ID
_gid: 하루 기준의 사용자 추적
_gat: 세션 추적 속도 조절 등
즉, 대부분의 경우 브라우저는 이미 쿠키를 만들고 사용자 정보를 추적하고 있습니다.
따라서 사용자에게:
어떤 정보를 수집하는지
쿠키는 어떤 역할을 하는지
어떻게 차단할 수 있는지
이 세 가지를 명확히 고지해야 법적·윤리적 책임을 다한 것이 됩니다.
내 쿠키는 어떻게 확인할 수 있을꺼요?
크롬 브라우저를 기준으로 크롬 개발자 도구(F12)를 통해서 확인할 수 있습니다.
접속한 사이트 > 개발자 도구(F12) > 상단 Application 탭 > 좌측 Storage > Cookies
위 이미지는 제가 www.cela.kr 홈페이지 접속했을 때 저장되는 Cookie 값입니다.
가장 상단에 _bs_imweb 값을 URL-decode하여 어떤정보가 들어가 있는지 설명드리겠습니다.
(일부 민감할 수 있는 정보는 주석처리 하겠습니다. :-) )
{ "deviceId": "019600b8**************efaa", // 기기 식별자 (브라우저 단위, 고유값) "deviceIdCreatedAt": "2025-02-15T18:30:00", // deviceId가 생성된 날짜 "sessionId": "ss019840**************ca278bc6", // 세션 식별자 (방문 시 고유값) "memberCode": "m20200123*************63", // 내부 회원 코드 (서비스 내 사용자 식별용) "initialReferrer": "@direct", // 첫 유입 경로 (직접 방문) "initialReferrerDomain": "@direct", // 첫 유입 도메인 (직접 방문) "siteCode": "S20200123184f221c5a82f", // 서비스 식별용 코드 (어떤 사이트인지) "unitCode": "u202001235e288176f113e", // 서비스 내 하위 유닛 또는 영역 코드 "utmSource": null, // 유입 출처 (마케팅 캠페인 추적용) "utmMedium": null, // 유입 매체 (예: email, banner) "utmCampaign": null, // 캠페인 이름 "utmTerm": null, // 키워드 (검색 광고 시) "utmUpdatedTime": null, // UTM 정보가 마지막으로 변경된 시간 "utmLandingUrl": null, // 처음 도착한 URL (캠페인 추적용) "platform": "DESKTOP", // 접속 플랫폼 "os": "WINDOWS", // 운영체제 "language": "ko-KR", // 브라우저 언어 설정 "browserName": "Chrome", // 브라우저 이름 "browserVersion": "138.0.0.0", // 브라우저 버전 "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)...", // 브라우저 식별 문자열 "path": "/Pickle/", // 사용자가 접속한 URL 경로 "updatedAt": "2025-08-06T22:06:04.273Z" // 쿠키 정보가 마지막으로 업데이트된 시각 } |
정말 많은정보가 들어가 있네요. :-0
이런 정보를 기업이 동의 없이 마음대로 가지고 가는건 썩 기분 좋은 일은 아닐겁니다.
그래서 기업은 서비스 이용자의 쿠키값을 전달할 지 말지 선택할 수 있도록 해야하고,
기업은 서비스 이용자의 쿠키값 활용 여부를 투명하게 공개하여 이용자의 정보권리를 보장해야 겠죠?
5. 개인정보 처리방침에 쿠키 및 행태정보에 대한 올바른 표기방법
그럼 이제 개인정보 처리방침에는 어떻게 기재해야 할까요?
많은 분들이 궁금해하시는 부분이죠.
개인정보보호법에서 요구하는 필수 항목들을 빠뜨리지 않으면서도,
이용자가 이해하기 쉽게 작성하는 것이 중요합니다.
특히, 사용자가 원하지 않는 경우 쿠키 및 행태정보를 차단하는 방법을 명확히 안내하고,
서비스 제공자가 어떤 정보를 수집.활용하는지 투명하게 공개하는 것이 올바른 작성 방법입니다.
아래는 실무에서 바로 활용할 수 있는 개인정보 처리방침 기재 예시입니다.
각 기업의 서비스 특성에 맞게 참고하시면 됩니다.
----------------------------------------------- 개인정보 처리방침 쿠키 및 행태정보 안내 예시 기준 -----------------------------------------------
<설치ㆍ운영하는 개인정보 자동 수집 장치>
① <개인정보처리자명>은(는) 정보주체에게 개별적인 서비스와 편의를 제공하기 위해 이용정보를 저장하고
수시로 불러오는 ‘쿠키(cookie)’를 사용합니다.
② 쿠키는 웹사이트 운영에 이용되는 서버(http)가 정보주체의 브라우저에 보내는 소량의 정보로서 정보주체의 컴퓨터 또는 모바일에 저장되며, 웹사이트 접속 시 정보주체의 브라우저에서 서버로 자동 전송됩니다.
③ 정보주체는 브라우저 옵션 설정을 통해 쿠키 허용, 차단 등의 설정을 할 수 있습니다.
<쿠키 허용 / 차단 방법>
▶ 웹 브라우저에서 쿠키 허용/차단
・ 크롬(Chrome) : 웹브라우저 오른쪽 상단 ‘⋮’ 표시 선택 > 새 시크릿 창 (단축키 : Ctrl+Shift+N)
・ 엣지(Edge) : 웹 브라우저 오른쪽 상단 ‘…’ 표시 선택 > 새 InPrivate 창 (단축키 : Ctrl+Shift+N)
▶ 모바일 브라우저에서 쿠키 허용/차단
・ 크롬(Chrome) : 모바일 브라우저 오른쪽 상단 ‘⋮’ 표시 선택 > 새 시크릿 탭
・ 사파리(Safari) : 모바일 기기 설정 > 사파리(Safari) > 고급 > 모든 쿠키 차단
・ 삼성 인터넷 : 모바일 브라우저 아래쪽 ‘탭’ 아이콘 선택 > 비밀 모드 켜기 > 시작
<행태정보의 수집ㆍ이용 및 거부 등에 관한 사항>
<개인정보처리자> 서비스 이용과정에서 고객님께 최적화된 맞춤형 서비스 및 혜택, 온라인 맞춤형 광고 등을 제공하기 위하여 행태정보를 수집·이용하고 있습니다.
<개인정보처리자> 다음과 같이 행태정보를 수집합니다.
법적근거
| 수집 항목
| 수집 방법
| 수집 목적
| 보유·이용기간
|
|---|
개인정보 보호법 제15조제1항제1호 (동의)
| 이용자의 웹/앱 방문이력, 검색 및 상품 조회이력, 구매이력, 광고식별자
| 이용자가 당사 웹사이트를 방문하거나 앱을 실행할 때 자동수집 및 전송
| 서비스 개선을 위한 통계 분석, 이용자 관심 및 성향에 기반한 개인 맞춤형 상품 추천 서비스(광고 포함) 제공
| 최대 38개월 (보유기간 이후 파기 또는 조회 불가 처리)최대 38개월 (보유기간 이후 파기 또는 조회 불가 처리)
|
<개인정보처리자> 다음과 같이 온라인 맞춤형 광고 사업자(제3자)에게 행태정보를 수집·처리하도록 허용하고 있습니다.
| 행태정보를 수집, 처리 하는 사업자 | 수집 항목 | 수집 방법
| 수집 목적
| 보유·이용기간
|
|---|
구글, 페이스북, 카카오, Branch, 크리테오, 당근마켓, 네이버, 애플, 타불라, 틱톡
| 이용자의 웹/앱 방문이력, 검색 및 상품 조회이력, 구매이력, 광고식별자, 매출금액, 첫구매이력, 회원가입, 장바구니
| 이용자가 당사 웹사이트를 방문하거나 앱을 실행할 때 자동수집 및 전송 | 맞춤형 광고 제공
| 최대 18개월 |
<개인정보처리자>은(는) 최적화된 맞춤형 서비스 및 혜택, 온라인 맞춤형 광고 등에 필요한 최소한의 행태 정보만을 수집하며, 사상, 신념, 병력 등 개인의 권리·이익이나 사생활을 침해할 우려가 있는 민감한 행태 정보를 수집하지 않습니다.
정보주체는 웹브라우저의 쿠키 설정 변경 등을 통해 맞춤형 광고를 일괄적으로 차단·허용할 수 있습니다. 다만, 쿠키 설정 변경 시 웹사이트 자동로그인 등 일부 서비스의 이용이 제한될 수 있습니다.
▶ 웹브라우저를 통한 맞춤형 광고 차단/허용
(1) 크롬(Chrome)
① 웹브라우저에 저장된 쿠키 삭제 방법
- 크롬에서 오른쪽 상단 ‘⋮’ 표시를 클릭한 후, 「설정」 표시를 클릭합니다.
- 설정 페이지 좌측에 「개인정보 보호 및 보안」을 클릭하고, 「인터넷 사용기록 삭제」를 클릭하여 인터넷 사용 기록 삭제 여부를 선택합니다.
② 웹브라우저에서 제3자 쿠키를 차단하는 방법
- 크롬에서 오른쪽 상단 ‘⋮’ 표시를 클릭한 후, 「설정」 표시를 클릭합니다.
- 설정 페이지 좌측에 「개인정보 보호 및 보안」을 클릭하고, 「서드파티쿠키」를 클릭하여 「서드파티쿠키 차단」 여부를 선택합니다.
③ 웹브라우저에서 모든 쿠키 저장을 차단하는 방법
- 그 외에도 크롬에서 오른쪽 상단 ‘⋮’ 표시를 클릭한 후, 「새 시크릿 창」 표시를 클릭합니다. 이 경우 시크릿 모드로 전환되어 방문 기록, 쿠키 및 사이트 데이터, 양식에 입력된 정보가 기기에 저장되지 않습니다.
(2) 엣지(Edge)
① 웹브라우저에 저장된 쿠키 삭제 방법
- 엣지에서 오른쪽 상단 ‘…’ 표시를 클릭한 후, 「설정」을 클릭합니다.
- 설정 페이지 좌측에 「개인정보, 검색 및 서비스」를 클릭 후,「검색 데이터 지우기」를 클릭하여 모든 쿠키 및 사이트 데이터를 제거합니다.
② 웹브라우저에서 제3자 쿠키를 차단하는 방법
- 엣지에서 오른쪽 상단 ‘…’ 표시를 클릭한 후, 「설정」을 클릭합니다.
- 설정 페이지 좌측의 「개인정보, 검색 및 서비스」를 클릭 후, 「추적방지」 섹션에서 「추적방지」 여부 및 수준을선택(균형조정 또는 엄격)합니다.
- 또는, 설정 페이지 좌측에 「쿠키 및 사이트 권한」을 클릭하고, 「쿠키 및 사이트 데이터 관리 및 삭제」를 클릭하여 ‘타사 쿠키 차단’을 선택합니다.
③ 웹브라우저에서 모든 쿠키 저장을 차단하는 방법
- 엣지에서 오른쪽 상단 ‘…’ 표시를 클릭한 후, 「새 InPrivate 창」 표시를 클릭합니다. 이 경우 시크릿모드로 전환되어 방문 기록, 쿠키 및 사이트 데이터, 양식에 입력된 정보가 기기에 저장되지 않습니다.
<개인정보처리자>은(는) 앱에서 맞춤형 광고를 위하여 광고식별자를 수집·이용합니다. 정보주체는 모바일 단말기의 설정 변경을 통해 앱의 맞춤형 광고를 차단·허용할 수 있습니다.
▶ 스마트폰의 광고식별자 차단/허용
(1) (안드로이드) ① 설정 → ② 보안 및 개인정보 보호 → ③ 개인정보 보호 → ④ 기타 개인정보 설정 → ⑤ 광고 → ⑥ 광고ID 재설정 또는 광고ID 삭제
(2) (아이폰) ① 설정 → ② 개인정보 보호 및 보안 → ③ 추적 → ④ 앱 추적 허용 해제
※ 모바일 OS 버전에 따라 메뉴 및 방법이 다소 상이할 수 있습니다.
6. 그럼 처리방침에 맞게 내 행태정보를 올바로 보내고 있는지 어떻게 확인할까요? - CELA 행태정보 추적기
행태정보가 실제로 어떤 경로를 통해, 어떤 데이터가 전송되는지 확인하려면
보통 크롬 개발자 도구(F12)에 들어가 네트워크 탭을 열고, 수많은 요청 중 특정 패턴을 찾아야 합니다.
이 과정은 비개발자나 보안담당자에게는 꽤나 번거롭고, 분석 경험이 없으면 놓치는 데이터도 많습니다.
한번 아래 화면을 볼까요?
위 이미지는 첼라 홈페이지에 접속해서 크롬 개발자 도구 통해 주고받는 네트워크 통신 패킷을 캡쳐한 내용입니다.
여기에서 보면 구글 애널리틱스(google-analytics.com)으로 보내는 정보가 보입니다.
이 정보가 바로 위에서 말한 서비스 이용중에 수집되는 행태정보 입니다.
이곳을 확인하기 위해선 다음과 같은 방법이 필요합니다.
구글 개발자 도구 실행(F12) → Network 탭 클릭 → 패킷 중 행태정보를 수집하는 URL 식별 → Headers 탭 클릭 → 전송정보 확인(URL Decoder 확인)
복잡하고 어지러운 과정이죠. :-(
이 불편함을 해소하기 위해, 저희 첼라(CELA)는 ‘행태정보 추적기’라는 크롬 확장프로그램을 직접 개발했습니다.
이 도구는 다음과 같은 기능을 제공합니다.
필터링 기능: Google Analytics, Meta Pixel, 광고 태그, 특정 제3자 도메인 등 행태정보 전송이 의심되는 요청만 골라 표시
실시간 표시: 해당 데이터가 어떤 URL로, 어떤 형식으로 전송되는지 즉시 확인
분석 도움: 요청 파라미터와 쿠키 값까지 분석해, 개인정보 여부·행태정보 항목을 한눈에 파악
한번 어떻게 작동하는지 볼까요?
우측 상단에 있는 눈 모양의 아이콘을 클릭하면 현재 사이트에 전송되고 있는 행태정보를 식별해줍니다.
이를 통해 정보보호 담당자뿐 아니라 일반 사용자도
“내가 방문한 사이트가 어떤 행태정보를 수집·전송하는지”
쉽고 빠르게 확인할 수 있습니다.
혹시 필요한 분들은 다음 링크를 통해 정보를 다운로드 받으시기 바랍니다.
설치 후, 관심 있는 웹사이트에 접속해 어떤 데이터가 오가는지 직접 확인해 보세요.
첼라 행태 정보 추적기
7. 마무리
개인정보보호법 개정으로 행태정보 수집에 대한 투명성이 강화되었지만, 실제로 우리의 데이터가 어떻게 처리되고 있는지 확인하는 것은 여전히 어려운 일입니다.
CELA 행태정보 추적기는 이런 기술적 진입장벽을 해소하고, 누구나 쉽게 자신의 행태정보 수집 현황을 확인할 수 있도록 돕습니다.
복잡한 개발자 도구 대신, 간단한 클릭만으로 Google Analytics나 Meta Pixel 등이 전송하는 데이터를 실시간으로 파악할 수 있습니다.
디지털 시대에 개인정보 자기결정권을 제대로 행사하기 위해서는 먼저 '내 정보가 어떻게 수집되고 있는지' 아는 것이 첫 번째 단계입니다.
이 가이드와 도구가 기업의 책임 있는 행태정보 처리와 이용자의 프라이버시 권리 보호에 실질적인 도움이 되기를 바라며, 앞으로도 더 안전한 디지털 환경이 만들어지기를 바랍니다.
 김민수 | kms@cela.kr |
행태정보, 어렵지 않아요!
웹사이트나 앱을 쓰다 보면 내가 눌러본 버튼, 검색어, 장바구니에 담아 둔 상품 같은 "발자국"이 남습니다.
이러한 디지털 발자국을 한데 모아 '행태정보(Behavioural Data)' 라고 부릅니다.
행태정보는 개인을 직접 식별하지 않으면서도, 이용자가 어떤 콘텐츠를 좋아하고 무엇에 관심을 보이는지를 알려 주어
더 유용한 서비스/광고를 보여주는 재료가 됩니다.
왜 이 글을 썼을까요?
저희는 보안 컨설팅을 진행하면서 컨설턴트, 기업, 그리고 보안담당자들이 행태정보 처리에 관해 많은 어려움을 겪고 있다는 점을 파악하여, 이러한 현장의 고충을 해소하고 행태정보의 책임 있는 처리에 대한 명확한 가이드를 제공하고자 제작하였습니다.
이 가이드는 개인정보처리방침 내 행태정보 관련 항목에 대한 상세 기재 내용을 안내하며,
첼라에서 만든 행태정보 추적기(CELA)의 활용 전략 및 더 나은 보안환경을 제공하고자 합니다.
1. 행태정보, 이렇게 모아요.
※ 정밀 위치는 별도 동의 필요
※ 행태정보 항목에서 종교·건강·정당 가입 등 민감 카테고리는 절대 수집하면 안돼요.
2. 어디에 쓰일까요? (실제 예시로 보는 행태정보 활용)
3. 저희 첼라 홈페이지에서도 행태정보를 이렇게 활용 중입니다.
Google Analytics로 살펴보는 행태정보 – 실전 예시
현재 저희 홈페이지는 Google에서 제공하는 무료 분석 도구, Google Analytics(구글 애널리틱스) 를 사용해 방문자 정보를 확인하고 있습니다.
전문 마케터나 분석가처럼 고도화된 설정은 하지 않았고, 회원가입 기반 서비스도 아니지만,
어떤 지역에서 방문했는지,
하루에 얼마나 들어왔는지 정도는 확인할 수 있습니다.
아래는 실제 대시보드 화면입니다.
위 이미지는 Google Analytics의 사용자 위치 지도입니다.
대한민국을 중심으로 일본, 인도, 미국, 프랑스 등에서 접속 기록이 확인됩니다.
이는 사용자의 IP 주소를 기반으로 지역을 추정한 것으로, 특정 국가·도시의 사용자가 많다면
해당 지역에 맞는 콘텐츠나 언어, 특정 이벤트 대상을 기획하는데 도움을 받을 수 있습니다.
이 화면은 최근 90일간의 접속 통계를 요약한 화면입니다.
총 방문자 수는 약 1.4만 명
대부분이 Organic Search(자연 검색) 를 통해 유입
최근 30분 내 활성 사용자도 실시간으로 확인 가능
저희는 특별한 마케팅 없이 운영 중이라 데이터가 크진 않지만,
이처럼 기본 설정만으로도 방문자 수·접속 경로·활성 시간 등 주요 지표를 확인할 수 있습니다.
이처럼 '행태정보'를 통해 아래의 다양한 데이터를 확인할 수 있습니다.
사용자가 언제 방문했는지,
어디에서 접속했는지,
어떤 경로로 홈페이지에 도달했는지,
그리고 얼마나 머물렀는지
이 모든 정보는 앞서 설명드린 행태정보(Behavioural Data) 의 실제 예시이며, 저희는 이 데이터를 활용할 때
개인을 식별하지 않는 범위에서,
개인정보와 분리된 상태로,
서비스 개선과 콘텐츠 최적화를 위한 목적으로만 사용하고 있습니다.
또한, 이러한 행태정보의 수집 및 활용 방식에 대해서는 개인정보처리방침을 통해 안내하고 있습니다.
① 회사는 이용자에게 개별적인 맞춤서비스를 제공하기 위해 이용정보를 저장하고 수시로 불러오는 ‘쿠키(cookie)’를 사용합니다.
② 쿠키는 웹사이트를 운영하는데 이용되는 서버(http)가 이용자의 컴퓨터 브라우저에게 보내는 소량의 정보이며 이용자들의 PC 컴퓨터내의 하드디스크에 저장되기도 합니다.
4. 그럼, 개인정보 처리방침에는 어떻게 행태정보를 표기하는게 올바를까요?.(그 전에 쿠키 이해 부터)
그 전에 쿠키라는 녀석 부터 이해해야 합니다.
우선, 개인정보 처리방침에 보면 '행태정보'를 설명하는데, 그 전에 '쿠키 설치 및 거부 방법' 에 대한 내용이 꼭 따라붙는 걸 볼 수 있습니다.
'행태정보 얘기인데 왜 쿠키?' 하고 궁금하신 분들도 계실거에요.
이유는 간단합니다.
행태정보는 대부분 '쿠키'를 통해 수집되며,
Google Analytics, Meta Pixel 같은 도구들도 내부적으로 쿠키 기반 사용자 식별을 기본값으로 사용하기 때문입니다.
쿠키에 대해서 더 자세히 설명드리겠습니다.
쿠키는 웹 사이트가 사용자의 브라우저에 저장하는 작은 텍스트 파일입니다.
방문 시각,
클릭한 버튼,
검색한 단어 등
과 같은 기록을 브라우저에 저장해두고 다음 방문 때 이 정보를 다시 활용합니다.
이런 정보를 종합하면, 사용자의 행동 패턴(=행태정보)을 알 수 있게 됩니다.
그런데.... 꼭 쿠기를 써야만 한걸까요?
사실 쿠키 없이도 행태정보 전송은 가능합니다.
예를 들어, 특정 게시판을 클릭했을 때, Javascript 가 이벤트를 감지해 Google Analytics로 URL 요청을 보내는 구조라면
쿠키 없이도 데이터 전송이 이뤄질 수 있습니다.
이런 경우는 단순히 '어떤 일이 발생했는가'를 기록하는 것이고, '누가 했는가'를 식별하진 않습니다.
그럼에도 불구하고, 쿠키 안내가 중요한 이유가 있습니다.
Google Analytics는 다음과 같은 식별 목적의 쿠키를 자동으로 설정합니다.
_ga: 고유 방문자 식별 ID
_gid: 하루 기준의 사용자 추적
_gat: 세션 추적 속도 조절 등
즉, 대부분의 경우 브라우저는 이미 쿠키를 만들고 사용자 정보를 추적하고 있습니다.
따라서 사용자에게:
어떤 정보를 수집하는지
쿠키는 어떤 역할을 하는지
어떻게 차단할 수 있는지
이 세 가지를 명확히 고지해야 법적·윤리적 책임을 다한 것이 됩니다.
내 쿠키는 어떻게 확인할 수 있을꺼요?
크롬 브라우저를 기준으로 크롬 개발자 도구(F12)를 통해서 확인할 수 있습니다.
접속한 사이트 > 개발자 도구(F12) > 상단 Application 탭 > 좌측 Storage > Cookies
위 이미지는 제가 www.cela.kr 홈페이지 접속했을 때 저장되는 Cookie 값입니다.
가장 상단에 _bs_imweb 값을 URL-decode하여 어떤정보가 들어가 있는지 설명드리겠습니다.
(일부 민감할 수 있는 정보는 주석처리 하겠습니다. :-) )
{
"deviceId": "019600b8**************efaa", // 기기 식별자 (브라우저 단위, 고유값)
"deviceIdCreatedAt": "2025-02-15T18:30:00", // deviceId가 생성된 날짜
"sessionId": "ss019840**************ca278bc6", // 세션 식별자 (방문 시 고유값)
"memberCode": "m20200123*************63", // 내부 회원 코드 (서비스 내 사용자 식별용)
"initialReferrer": "@direct", // 첫 유입 경로 (직접 방문)
"initialReferrerDomain": "@direct", // 첫 유입 도메인 (직접 방문)
"siteCode": "S20200123184f221c5a82f", // 서비스 식별용 코드 (어떤 사이트인지)
"unitCode": "u202001235e288176f113e", // 서비스 내 하위 유닛 또는 영역 코드
"utmSource": null, // 유입 출처 (마케팅 캠페인 추적용)
"utmMedium": null, // 유입 매체 (예: email, banner)
"utmCampaign": null, // 캠페인 이름
"utmTerm": null, // 키워드 (검색 광고 시)
"utmUpdatedTime": null, // UTM 정보가 마지막으로 변경된 시간
"utmLandingUrl": null, // 처음 도착한 URL (캠페인 추적용)
"platform": "DESKTOP", // 접속 플랫폼
"os": "WINDOWS", // 운영체제
"language": "ko-KR", // 브라우저 언어 설정
"browserName": "Chrome", // 브라우저 이름
"browserVersion": "138.0.0.0", // 브라우저 버전
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)...", // 브라우저 식별 문자열
"path": "/Pickle/", // 사용자가 접속한 URL 경로
"updatedAt": "2025-08-06T22:06:04.273Z" // 쿠키 정보가 마지막으로 업데이트된 시각
}
정말 많은정보가 들어가 있네요. :-0
이런 정보를 기업이 동의 없이 마음대로 가지고 가는건 썩 기분 좋은 일은 아닐겁니다.
그래서 기업은 서비스 이용자의 쿠키값을 전달할 지 말지 선택할 수 있도록 해야하고,
기업은 서비스 이용자의 쿠키값 활용 여부를 투명하게 공개하여 이용자의 정보권리를 보장해야 겠죠?
5. 개인정보 처리방침에 쿠키 및 행태정보에 대한 올바른 표기방법
그럼 이제 개인정보 처리방침에는 어떻게 기재해야 할까요?
많은 분들이 궁금해하시는 부분이죠.
개인정보보호법에서 요구하는 필수 항목들을 빠뜨리지 않으면서도,
이용자가 이해하기 쉽게 작성하는 것이 중요합니다.
특히, 사용자가 원하지 않는 경우 쿠키 및 행태정보를 차단하는 방법을 명확히 안내하고,
서비스 제공자가 어떤 정보를 수집.활용하는지 투명하게 공개하는 것이 올바른 작성 방법입니다.
아래는 실무에서 바로 활용할 수 있는 개인정보 처리방침 기재 예시입니다.
각 기업의 서비스 특성에 맞게 참고하시면 됩니다.
----------------------------------------------- 개인정보 처리방침 쿠키 및 행태정보 안내 예시 기준 -----------------------------------------------
<설치ㆍ운영하는 개인정보 자동 수집 장치>
① <개인정보처리자명>은(는) 정보주체에게 개별적인 서비스와 편의를 제공하기 위해 이용정보를 저장하고
수시로 불러오는 ‘쿠키(cookie)’를 사용합니다.
② 쿠키는 웹사이트 운영에 이용되는 서버(http)가 정보주체의 브라우저에 보내는 소량의 정보로서 정보주체의 컴퓨터 또는 모바일에 저장되며, 웹사이트 접속 시 정보주체의 브라우저에서 서버로 자동 전송됩니다.
③ 정보주체는 브라우저 옵션 설정을 통해 쿠키 허용, 차단 등의 설정을 할 수 있습니다.
<쿠키 허용 / 차단 방법>
▶ 웹 브라우저에서 쿠키 허용/차단
・ 크롬(Chrome) : 웹브라우저 오른쪽 상단 ‘⋮’ 표시 선택 > 새 시크릿 창 (단축키 : Ctrl+Shift+N)
・ 엣지(Edge) : 웹 브라우저 오른쪽 상단 ‘…’ 표시 선택 > 새 InPrivate 창 (단축키 : Ctrl+Shift+N)
▶ 모바일 브라우저에서 쿠키 허용/차단
・ 크롬(Chrome) : 모바일 브라우저 오른쪽 상단 ‘⋮’ 표시 선택 > 새 시크릿 탭
・ 사파리(Safari) : 모바일 기기 설정 > 사파리(Safari) > 고급 > 모든 쿠키 차단
・ 삼성 인터넷 : 모바일 브라우저 아래쪽 ‘탭’ 아이콘 선택 > 비밀 모드 켜기 > 시작
<행태정보의 수집ㆍ이용 및 거부 등에 관한 사항>
<개인정보처리자> 서비스 이용과정에서 고객님께 최적화된 맞춤형 서비스 및 혜택, 온라인 맞춤형 광고 등을 제공하기 위하여 행태정보를 수집·이용하고 있습니다.
<개인정보처리자> 다음과 같이 행태정보를 수집합니다.
<개인정보처리자> 다음과 같이 온라인 맞춤형 광고 사업자(제3자)에게 행태정보를 수집·처리하도록 허용하고 있습니다.
<개인정보처리자>은(는) 최적화된 맞춤형 서비스 및 혜택, 온라인 맞춤형 광고 등에 필요한 최소한의 행태 정보만을 수집하며, 사상, 신념, 병력 등 개인의 권리·이익이나 사생활을 침해할 우려가 있는 민감한 행태 정보를 수집하지 않습니다.
정보주체는 웹브라우저의 쿠키 설정 변경 등을 통해 맞춤형 광고를 일괄적으로 차단·허용할 수 있습니다. 다만, 쿠키 설정 변경 시 웹사이트 자동로그인 등 일부 서비스의 이용이 제한될 수 있습니다.
▶ 웹브라우저를 통한 맞춤형 광고 차단/허용
(1) 크롬(Chrome)
① 웹브라우저에 저장된 쿠키 삭제 방법
② 웹브라우저에서 제3자 쿠키를 차단하는 방법
③ 웹브라우저에서 모든 쿠키 저장을 차단하는 방법
(2) 엣지(Edge)
① 웹브라우저에 저장된 쿠키 삭제 방법
② 웹브라우저에서 제3자 쿠키를 차단하는 방법
③ 웹브라우저에서 모든 쿠키 저장을 차단하는 방법
<개인정보처리자>은(는) 앱에서 맞춤형 광고를 위하여 광고식별자를 수집·이용합니다. 정보주체는 모바일 단말기의 설정 변경을 통해 앱의 맞춤형 광고를 차단·허용할 수 있습니다.
▶ 스마트폰의 광고식별자 차단/허용
(1) (안드로이드) ① 설정 → ② 보안 및 개인정보 보호 → ③ 개인정보 보호 → ④ 기타 개인정보 설정 → ⑤ 광고 → ⑥ 광고ID 재설정 또는 광고ID 삭제
(2) (아이폰) ① 설정 → ② 개인정보 보호 및 보안 → ③ 추적 → ④ 앱 추적 허용 해제
※ 모바일 OS 버전에 따라 메뉴 및 방법이 다소 상이할 수 있습니다.
6. 그럼 처리방침에 맞게 내 행태정보를 올바로 보내고 있는지 어떻게 확인할까요? - CELA 행태정보 추적기
행태정보가 실제로 어떤 경로를 통해, 어떤 데이터가 전송되는지 확인하려면
보통 크롬 개발자 도구(F12)에 들어가 네트워크 탭을 열고, 수많은 요청 중 특정 패턴을 찾아야 합니다.
이 과정은 비개발자나 보안담당자에게는 꽤나 번거롭고, 분석 경험이 없으면 놓치는 데이터도 많습니다.
한번 아래 화면을 볼까요?
위 이미지는 첼라 홈페이지에 접속해서 크롬 개발자 도구 통해 주고받는 네트워크 통신 패킷을 캡쳐한 내용입니다.
여기에서 보면 구글 애널리틱스(google-analytics.com)으로 보내는 정보가 보입니다.
이 정보가 바로 위에서 말한 서비스 이용중에 수집되는 행태정보 입니다.
이곳을 확인하기 위해선 다음과 같은 방법이 필요합니다.
구글 개발자 도구 실행(F12) → Network 탭 클릭 → 패킷 중 행태정보를 수집하는 URL 식별 → Headers 탭 클릭 → 전송정보 확인(URL Decoder 확인)
복잡하고 어지러운 과정이죠. :-(
이 불편함을 해소하기 위해, 저희 첼라(CELA)는 ‘행태정보 추적기’라는 크롬 확장프로그램을 직접 개발했습니다.
이 도구는 다음과 같은 기능을 제공합니다.
필터링 기능: Google Analytics, Meta Pixel, 광고 태그, 특정 제3자 도메인 등 행태정보 전송이 의심되는 요청만 골라 표시
실시간 표시: 해당 데이터가 어떤 URL로, 어떤 형식으로 전송되는지 즉시 확인
분석 도움: 요청 파라미터와 쿠키 값까지 분석해, 개인정보 여부·행태정보 항목을 한눈에 파악
한번 어떻게 작동하는지 볼까요?
우측 상단에 있는 눈 모양의 아이콘을 클릭하면 현재 사이트에 전송되고 있는 행태정보를 식별해줍니다.
이를 통해 정보보호 담당자뿐 아니라 일반 사용자도
“내가 방문한 사이트가 어떤 행태정보를 수집·전송하는지”
쉽고 빠르게 확인할 수 있습니다.
혹시 필요한 분들은 다음 링크를 통해 정보를 다운로드 받으시기 바랍니다.
설치 후, 관심 있는 웹사이트에 접속해 어떤 데이터가 오가는지 직접 확인해 보세요.
첼라 행태 정보 추적기
7. 마무리
개인정보보호법 개정으로 행태정보 수집에 대한 투명성이 강화되었지만, 실제로 우리의 데이터가 어떻게 처리되고 있는지 확인하는 것은 여전히 어려운 일입니다.
CELA 행태정보 추적기는 이런 기술적 진입장벽을 해소하고, 누구나 쉽게 자신의 행태정보 수집 현황을 확인할 수 있도록 돕습니다.
복잡한 개발자 도구 대신, 간단한 클릭만으로 Google Analytics나 Meta Pixel 등이 전송하는 데이터를 실시간으로 파악할 수 있습니다.
디지털 시대에 개인정보 자기결정권을 제대로 행사하기 위해서는 먼저 '내 정보가 어떻게 수집되고 있는지' 아는 것이 첫 번째 단계입니다.
이 가이드와 도구가 기업의 책임 있는 행태정보 처리와 이용자의 프라이버시 권리 보호에 실질적인 도움이 되기를 바라며, 앞으로도 더 안전한 디지털 환경이 만들어지기를 바랍니다.
김민수 | kms@cela.kr