맥싸이트-픽
AI 시대 속 개인정보 보호 - 1단계 인식변화
Team MAXONOMY ・ 2025.07.23
지난 맥사이트픽 포스팅 “여러분의 고객 데이터는 안전한가요? (feat. DX·AX)”에서는 고객 데이터를 관리하지 못하는 기업이 점차 늘어나고 그에 따라 여러 문제가 발생하고 있음을 짚어봤습니다.
각 기업마다 가지고 있는 문제와 고객 데이터를 관리하는 환경은 전부 제각각 일 것입니다. 그렇다면, 각 기업의 문제점을 하나하나 들여다보기보단, 잘하고 있는 기업 사례를 살펴보고 유사하게 적용하려는 시도가 더 나은 방법일 수 있습니다.
이번 포스팅에서는 디지털 전환(DX)과 AI 전환(AX)을 잘 대처하면서도 개인정보 보호에 앞장서는 글로벌 기업 사례들을 살펴보겠습니다.
소비자의 개인정보 인식 실태
맥사이트픽을 읽는 여러분이 떠올리는 고객정보는 무엇인가요? 물론 취미나 관심사같은 사소한 정보까지 고객정보에 포함될 수 있겠지만, *PII와 같은 개인정보로 구성되어있는 데이터를 보통 고객정보라 칭하고 있습니다.
*PII(Personally Identifiable Information): 개인 식별 정보. 이름, 주민등록번호, 생성월일, 전화번호, IP주소 등 개인을 식별하거나 연락할 수 있는 모든 정보를 의미.
사실 대부분의 소비자들은 평소에 “내 개인정보가 잘 보호받고 있는가’, ‘기업이 내 개인정보를 소중히 다루고 있는가’에 대해 크게 의문을 갖지 않습니다. 나의 개인정보가 얼마나 중요한지 잘 체감하지 못하기도 하고, 내가 구매하고, 이용 중인 브랜드가 신뢰를 먼저 주는 경우도 잘 없기 때문이죠. 이 때문에, 회원가입 또는 기업의 이벤트를 참여하기 위해 기업이 제시하는 개인정보 제공 동의에 아무런 거부를 가지지 않는 경우가 많습니다. 단 1초만에 개인정보제출 동의를 클릭하고 다음 페이지로 넘어가는 것이지요.
하지만 이번 소비자도 개인정보 이슈가 발생하면, 아주 빠르게 뒤돌아 설 것입니다. 어쩌면 소비자는 기업에게 보이지 않는 신뢰를 주고 있었는지도 모릅니다. 기업은 이에 마땅히 응해야 하겠죠.
마이크로소프트: Privacy Dashboard
이미지 출처: Microsoft | Privacy Dashboard
고객데이터라는 기본 개념에 대해 마이크로소프트는 다음과 같이 말합니다. “고객에게 데이터 주권을 돌려주자”
이러한 개념을 바탕으로 Microsoft는 사용자에게 Privacy Dashboard를 제공하고 있습니다. Privacy Dashboard는 Microsoft 서비스 사용자가 자신의 계정을 통해 어떠한 데이터들이 수집되고 또 삭제, 관리되는지 등을 손쉽게 확인하고 직접 관리할 수 있게 하는 서비스입니다. 개인별로 원하는 수준의 개인정보보호 범위를 지정 가능하다는 장점이 있으며, 유럽 외 GDPR 국가 기준의 데이터 보호조치를 글로벌 표준으로 확장시킨 주역이기도 합니다. 현재는 구글 크롬과 같은 브라우저도 이와 비슷한 개인정보 설정 페이지를 운영 중입니다.
에어비앤비, 세일즈포스: 익명 기반의 데이터 분리 설계
해외 공유 숙박 브랜드 에어비엔비의 정보보안 핵심전략은 익명을 기반으로하는 데이터 분리 설계 입니다. 에어비엔비는 내부 직원이더라도, 데이터 엔지니어링팀도 개인 식별 가능 데이터, PII에 접근할 수 없습니다. 특히, 2018년 GDPR 도입 초기 기준을 철저히 따르도록 자체 개인정보보호 관리팀을 구성하고, privacy by design 이라는 코드베이스를 내장해 AI 기술을 활용하고 있습니다.
이처럼 데이터를 안전하게 다루기 위해서는 이를 위한 기술 뿐만 아니라 데이터 보안을 위한 조직 구조가 체계적으로 구현되어야 하는 점을 엿볼 수 있습니다. 유사한 사례로 세일즈포스는 AI와 관련된 제품과 서비스를 직접 개발하고 있지만, 동시에 AI 학습데이터에 개인 식별 정보가 포함되어있으면, 학습을 거부하도록 추가적인 정보 보호 조치를 만들어 놓고 있습니다.
웰스파고: 표준화된 데이터 품질 관리 구축
미국의 웰스파고 은행에서는 단일 소스 형태로의 고객 데이터 통합을 준비했습니다. 이를 통해 표준화된 데이터 품질 관리 운영을 목표한다는 것인데요. 고객의 온오프라인 행동에 맞춰 언제 어디서라도 데이터는 생겨납니다. 다양한 접점에서 생성된 고객 정보와 금융 거래 데이터를 중앙 CDP로 통합시키고 관리한다는 것이 웰스파고의 보호 정책의 핵심이었습니다. 그 밖에 분석 솔루션을 통해 구축한 대시보드를 기준으로 데이터 품질과 오류 발생 등을 모니터링하였습니다. 통합된 데이터로 데이터 정합성을 높여 데이터 오분류 및 오용 리스크등을 사전 예방하겠다는 것입니다.
건강 데이터와 AI 익명 솔루션
해외에서는 개인정보 중에서도 환자의 건강 정보등을 매우 중요하게 보관, 관리하고 있습니다. 특히 전자의무기록(EHR)은 접근 권한을 엄격히 제어하여 관리 담당자가 아니라면 절대 이를 확인, 활용할 수 없도록 강력한 규제를 적용합니다. 모든 접근에 대한 감사로그 유지와 규제 준수를 위한 정기 관리 체계 등이 일반 기업의 개인정보 관리 체계와 비교해, 개인정보 보호관리가 가장 세분화된 분야일 것 입니다. 최근 국내 의료기관에서도 DX를 준비하고, 환자의 개인정보 보호를 위한 체계 마련에 서둘루고 있습니다. 환자의 정보는 일반인의 개인정보보다 더 민감한 정보들로 구성되기 때문에 법적, 윤리적 기준을 준수해야만 한다는 인식이 확고한 이유이기도 합니다.
북미 마이애미의 한 어린이 병원 Nicklaus Children's Hospital에서는 이러한 개인정보 보호 체계 위에 AI 기반 익명 솔루션을 도입시켜, 의료 영상과 문서, 진료 정보 등 PII를 자동 탐지하고 마스킹 처리가 가능하도록 구현하여 AI 도입으로 인해 예전보다 조금 더 빠른 개인정보 데이터 관리를 향상시키는 노력을 하고 있습니다.
개인정보 보호 모범기업의 공통점
지금까지의 기업 브랜드 예시를 살펴보면 공통점을 찾을 수 있습니다. 언급된 기업들 모두 단순히 자신들의 데이터를 기술 중심에서 활용하는 재료로만 취급하는 것이 아니라, 데이터 거버넌스, 데이터 보호 조직과 문화 그리고 표준화된 접근, 통제 방식 등을 구축하고 이를 실질적으로 구현하기위한 노력을 하고 있다는 것입니다. 여기에 투명한 감시체계를 결합하여 자신들이 고객정보 보호 체계에 조금의 문제라도 발생한다면 가장 빠르게 수습, 해결할 수 있는 프로세스까지 마련되어있죠. 소비자가 기업에게 개인정보 보호에 관련한 신뢰를 먼저 내어주었던 만큼, 기업은 그에 합당한 리소스를 투입해야하는 의무가 있습니다.
🚩맥소노미가 PICK한 이유
AI대전환을 맞이하고 있는 현재, 왜 AI에게 개인정보 보호를 전적으로 맡기지 못하느냐는 질문이 생길 수 있습니다. 분명 AI의 데이터 처리는 훨씬 더 빠르고 계산 및 학습 능력이 더 높아지는 것은 맞지만, 신뢰도가 같은 속도로 높아지고 있는지는 아직 의문입니다.
대표적으로 대중들이 현재 사용중인 LLM 기반 생성형 AI에는 과도한 데이터가 모이고 그 데이터 안에는 잘못된 데이터 비중이 높아지고 있습니다. 이 때문에 AI의 환각은 줄어들기는 커녕 오히려 가짜 정보를 진짜 정보인 것처럼 제공하는 경우가 더 흔해지고 있다는 시각이 있습니다.
이전 포스팅에서도 언급했지만 현재 변화하는 디지털 환경에서는 신뢰가 바탕이된 효율성이 필요합니다. 그런 의미로 다음 포스팅에서는 AI와 외부데이터를 연결시키는 표준 (MCP)에 대해 이야기하고, AI를 통해 데이터들이 처리되는 과정에 대해 이야기 해보겠습니다.
팀맥소노미
YOUR DIGITAL MARKETING HERO
맥소노미의 마케팅 인사이트를
뉴스레터로 만나보세요 💌
관련 글 보기
이메일 전략 : 인증(Authentication) 이란?
이메일을 이용하는 팀에서 항상 궁금해하는 점들이 있습니다. "이메일은 잘 전달되고 있나?" "고객들은 어떤 이메일에 반응하고, 어떤 이메일을 싫어하지?" 하지만 이러한 반응을 보기 위해서는 이메일을 연동하고 지속적으로 유지하기 위해 확인해야 할 여러 사항들이 존재합니다. IP Pool 셋업, 서브도메인 파악 및 IP 워밍 작업 등과 같은 기술적인 장벽 뿐만 아니라 가장 어려워하는 이메일 인증(authentication)에 대해서도 알아 두어야 합니다.이메일 인증이란 무엇이고 왜 필요할까요?이메일 인증을 자세히 알아보기 시작하면 복잡하고 기술적인 전문용어들을 마주하게 될텐데요, 요점만 파악해보자면, 이메일이 악의적인 목적으로 대량으로 전달되고 있는지를 ISP(internet service providers)들이 파악하기 위해 "인증"이라는 절차를 거친다고 볼 수 있습니다.한 사기꾼이 이메일 주소를 가진 모든 사람들에게 "1만원을 보내면 부자가 되게 해 드립니다!"라며 그럴싸한 스토리를 담는다면 어떻게 될까요? 대부분은 무시하겠지만 단 0.1%의 사람들이라도 커피 몇잔 값 버린다치고 도전 해볼수도 있으며, 사기꾼은 많은 돈을 벌 수 있을 것입니다. 돈을 번 사기꾼은 더 많은 스팸메일을 발송하기 시작 하겠지요. 사기나 스팸메일은 날로 교묘해지고 있으며, 이메일을 사용하는 사람들은 언제나 이러한 위험에 노출되어 있습니다. 그래서 ISP는 우리가 받는 이메일이 실제 "발신자"로 등록된 사람들로 부터 온 것인지 더 쉽게 확인함으로써 통신 채널을 보호하는 업무를 하고 있습니다. ISP는 스팸메일이 우리의 편지함에 전달되지 않도록 노력하며 우리가 받고 싶어하는 메일만 받을 수 있도록 노력하고 있습니다.인증은 어떻게 진행되나요?사기꾼은 고객에게 믿음을 주기 위해 유명한 브랜드를 사칭하므로 이러한 스팸메일로 인한 피해는 사칭당한 브랜드에게도 영향을 주게 됩니다. ISP는 인증 프로세스를 통해 메일을 받는 고객을 보호할 뿐만 아니라, 발신자, 즉 사칭당하는 브랜드를 보호하는 역할도 하게 됩니다. 궁극적으로 인증이란, 수신한 이메일이 실제 등록되어 있는 "송신자(또는 브랜드)"로 부터 전송 되었는지 확인하는 것 입니다. 하지만 이메일이 오고가는 통로(SMTP) 상에는 인증 작업을 염두하지 않았기 때문에, 이 문제를 대처하고자 효과적인 이메일 인증을 지원하는 다양한 표준(standards)이 등장 하였습니다.SPF 어디서 많이 본 단어 같지요? 자외선 차단 지수를 생각하셨을 수 있겠지만, 발신자 정책 프레임워크(Sender Policy Framework)에서 나온 단어입니다. 여기서는 발신자(등록하고자 하는 자)는 자신이 되므로, 우리가 이메일 도메인(e.g. @회사명.com)을 발송할 수 있는 IP 주소를 선택하는 것으로 볼 수 있습니다. 선정된 이메일 도메인과 IP 주소는 DNS 레코드에 게시되게 됩니다. SPF는 메일박스(이메일 클라이언트) 제공자들이 "전송된 메일의 IP 주소"와 "DNS 레코드에 공개된 허가된 IP 주소"를 비교함으로써 스팸메일을 발견할 수 있도록 정보를 제공합니다. 쉽게 말해, 다른 사람들이 함부로 우리의 이메일 도메인을 사용할 수 없도록 막을 수 있다는 것이지요.DKIM DKIM(Domain Keys Identified Mail)은 이메일을 작성하거나 전송할 때, 아무것도 수정되지 않았음을 보장하는 것으로, 각 메세지에 암호키와 디지털 서명을 제공합니다. 이를 통해, 이메일이 고객에게 이동하는 중간에 악의적인 3자에 의해 내용이 변조되지 않고 원본 그대로 전달되는 "무결성"을 보장할 수 있습니다.DMARC 쉽게말해 SPF와 DKIM에서 각각 제공하는 안전장치를 DMARC 하나로 제공된다고 볼 수 있습니다. DMARC는 발신자와 메일박스 제공자가 서로 통신하는 통로라고 생각할 수 있습니다. 메일박스 제공자는 메일이 전달되어져 오면 메일을 보낸 사람에게 메일 내용을 보고하고, 발신자는 이에 대한 처리방침을 메일박스 제공자에게 안내합니다. 수신 이메일에 대한 확인 절차를 진행함으로써 악의적인 3자의 행위를 예방할 수 있는 것이지요.인증이 무엇인지, 인증이 어떻게 작동하는지 그리고 인증이 왜 중요한지를 파악하게 된다면, 열심히 작업한 이메일이 고객에게 도달되지 못하는 불상사를 예방할 수 있을 것입니다.주의사항 : SPF와 DKIM 모두 설정이 비교적 간단하며 현재 사용 중인 ESP(이메일 제공 업체)에 의해서도 실행이 가능하지만, DMARC 구현에는 개발 팀의 더 많은 참여가 필요하다는 점 참고 바랍니다.마치며 위에서 소개드린 각 과정과 용어들은 승인된 서버에서 이메일이 적합한 방법으로 전송되고, 고객의 메일 수신함에 안전하게 도착되도록 하기위한 절차입니다. 이메일 인증은 메일박스 제공자, ESP 및 마케팅 담당자 간의 간극을 좁혀, ROI 향상이라는 최종 목표에 도달할 수 있는 길(도메인 평판 및 이메일 전달 보장)을 제시합니다.
이메일 전략 : IP Warming 이란?
마케터가 고객들에게 이메일을 보내야 할 상황은 여러가지가 있을 것입니다. 신상품 판매 정도를 전달하거나, 비밀번호 재발급에 대한 안내, 또는 운영 정책 변경으로 인한 고지 등 다양한 의도를 가지고 전달될 수 있습니다. 전달하고자 하는 이메일의 목적이 무엇이었건 간에 이메일이 고객의 메일 수신함에 도착해야 한다는 전재 조건이 달성되어야 할 것입니다.이메일은 단순히 고객을 잘 지정하고 좋은 메세지를 작성하여 발송한다고 잘 도착하는 것이 아닙니다. 이번에는 이메일이 잘 도착시키기 위해 필요한 중요한 핵심 개념 중 하나인 IP Warming에 대해 이야기 해 보고자 합니다.이메일 발송을 처음 시작하는 분들은 여러가지 난관에 부딪히게 됩니다. 한번에 모든 고객들에게 메일을 전송하고 싶다고 처음부터 2만명에게 메세지를 발송한다면, 인터넷 서비스 제공자(ISP)들에 의해 이메일이 스팸으로 처리될 것이니까요. 이메일 채널로 많은 고객들에게 다가가기 위해서는 이메일 발송 볼륨을 점진적으로 늘리는 작업이 필요합니다. 이러한 점진적으로 이메일 발송 볼륨을 높이는 작업을 "IP Warming"이라고 부르며, 이를 보다 효과적으로 수행할 수 있는 몇 가지 방안에 대해 아래와 같이 안내 드립니다.1. 브랜드 충성도가 높고 반응률이 높은 고객군을 파악하라이메일 "전송"에 관여하는 ISP는 마케터가 전달하는 이메일이 실제 고객이 원하는 메일인지 확인하려고 합니다. 따라서, IP Warming 시작할 때는 반응률이 높은 고객군들을 타겟팅하여 소규모 이메일 발송부터 시작하는 것이 좋습니다. 이메일을 받은 고객들이 이메일을 오픈, 회신, 다른 사람에게 전달 등의 동작을 수행 할수록 ISP가 이메일을 스팸으로 처리할 확률을 감소시킬 수 있습니다.2. 가장 매력적인 콘텐츠를 파악하라적절한 고객을 타겟팅하는 것도 중요하지만 그들이 반응할 메세지를 제공하는 것도 중요합니다. 제목이 흥미를 이끌지 못한다거나, CTA(Call to Action)를 적합하게 배치하지 못하였다면 충성도 높은 고객에게 조차 좋은 반응을 이끌어낼 수 없을 것입니다. 이전에 진행했던 이메일이나 푸시 알림 캠페인이 있다면, 각 캠페인의 반응률을 바탕으로 고객들에게 효과적이었던 주제와 접근 방식을 확인하여 현재 보내고자 하는 이메일 컨텐츠에 잘 적용할 수 있는 방법을 생각해 보십시오.3. 소량의 이메일로 시작하라 이메일을 처음 보내거나 기존에 사용하던 이메일 도메인이 낮은 평판(reputation)으로 도달율이 떨어져 새로 시작하셨다면, 우선은 소규모로 시작하는 것이 중요합니다. IP Warming을 시작할 때는 ISP에게 좋은 메일을 전달한다는 것을 보여주어야 하므로, 많은 고객들에게 보내는 것 보다는 반응률이 높은 소규모의 고객군을 타겟팅하여 반응을 이끌어낼만한 고품질의 콘텐츠를 제공하는 것이 좋은 평판을 유지하는데 가장 효과적입니다.4. 목표량에 도달할 때 까지 점진적으로 이메일 발송량을 늘려라 이메일에 반응하는 고객들이 증가하고 있다면, 이제 발송량 증가를 검토할 때 입니다. 계획 중인 "1일 발송 최대치" 수를 염두에 두고 1일 발송량을 점차적으로 증가시키다 보면 원하는 볼륨에 도달할 수 있을 것입니다. 일반적으로 4~6주 정도의 시일이 소요되지만 계획중인 월간 발송량, 메일 발송 빈도, 고객 이메일 리스트의 유효성 비율에 따라 더 많은 시일이 소요될 수도 있습니다.5. 이메일 측정 기준에 대해 주의하라 IP Warming 작업을 수행할 때는 전송율, 지연율, 오픈율을 주의깊게 보아야합니다. 전송율은 얼마나 많은 이메일이 ISP의 게이트웨이를 통과해 고객에게 전달 되었는지를 볼 수 있으며, 지연율을 통해 ISP에 이메일을 너무 빨리 보내는 것은 아닐지 체킹해 볼 수 있습니다. 마지막으로, IP Warming 수행 중에 오픈율이 갑자기 떨어지는 현상이 발생한다면, 이는 전송한 이메일이 수신함이 아닌 스팸함으로 들어간다는 신호일 것 입니다.6. ISP의 블록 정책에 대해 조사하라 가끔 특정 ISP에서 우리의 이메일 주소를 블랙리스트에 등록하는 경우가 발생할 수 있습니다. 이렇게되면 고객이 아무리 우리의 이메일을 받고 싶어하더라도, 결국 많은 이메일이 자동으로 스팸으로 처리되게 될 것입니다. 특정 ISP에서 우리 이메일을 블랙리스트로 등록하였다면, 우리 이메일 발송에 어떤 문제가 있는지, 해당 ISP의 블록 정책을 확인해야 합니다. 원인을 해결하여 재발 방지가 가능하다면, 해당 ISP에 우리의 이메일을 블랙리스트에서 제외해 줄 것을 요청할 수 있을 것입니다.마치며. 이메일은 앱을 사용하는 고객을 대상으로 하는 푸시나 인앱메세지에 비해, 반응율이나 전환율이 높지 않으므로 효과가 적은 채널로 인지 되곤 합니다. 하지만 이메일 채널도 계속 진화하고 있으며, 앱을 삭제한 고객(회원)과 직접적으로 컨택할 수 있는 강력한 채널임은 확실합니다. 이메일로 컨택이 필요한 고객을 파악하고 맞춤형 콘텐츠를 제공함으로써 다시 한번 우리 서비스를 이용하실 수 있도록 손을 내밀어 보세요.
전환(Conversion) 뜻, 의미, 정의, 종류
캠페인 전환은 무엇인가요?
이메일 도달률을 높이는 9가지 팁
Braze(브레이즈) Bonfire 마스터 클래스의 전문가가 제안하는 이메일의 도달률을 높여 고객 인게이지먼트를 향상하는 9가지 주요 팁