처리중입니다. 잠시만 기다려주세요.
TTJ 코딩클래스
정규반 단과 자료실 테크 뉴스 코딩 퀴즈
테크 뉴스
Hacker News 2026.07.04 38

미국 버지니아주, 위치정보 '판매' 자체를 법으로 금지했어요 — 동의를 받아도 안 됩니다

Hacker News 원문 보기
미국 버지니아주, 위치정보 '판매' 자체를 법으로 금지했어요 — 동의를 받아도 안 됩니다

여러분이 매일 쓰는 스마트폰 앱들, 그중 상당수가 여러분의 위치정보를 수집해서 제3자에게 팔고 있다는 사실 알고 계셨나요? 날씨 앱, 게임, 쇼핑 앱까지, 위치 권한을 허용하는 순간 내 이동 경로가 상품이 되어 거래되는 경우가 많거든요. 그런데 미국 버지니아주가 이 관행에 정면으로 제동을 걸었어요. 정밀 위치정보(precise geolocation data)의 '판매' 자체를 법으로 금지한 거예요.

뭐가 바뀐 건가요?

버지니아주는 원래 VCDPA(버지니아 소비자 데이터 보호법)라는 프라이버시 법을 갖고 있었는데요, 이번 개정으로 정밀 위치정보를 파는 행위가 아예 금지됐어요. 여기서 '정밀 위치정보'가 뭐냐면, 일정 반경 안에서 특정 개인의 위치를 식별할 수 있을 정도로 정확한 데이터를 말해요. GPS 좌표는 물론이고, 와이파이나 기지국 신호로 추정한 위치라도 그 정도 정밀도면 해당되는 거죠.

진짜 핵심은 '동의를 받아도 안 된다'는 점이에요. 기존 미국의 주별 프라이버시 법들은 대부분 옵트아웃(opt-out) 방식이었거든요. 사용자가 '내 데이터 팔지 마세요'라고 명시적으로 거부하지 않는 한 팔 수 있는 구조였어요. 그런데 이번 법은 판매라는 행위 자체를 불법으로 만들어버렸어요. 사용자가 동의 버튼을 눌렀든 말든 상관없이요. 규제의 성격이 '선택권 보장'에서 '거래 금지'로 근본적으로 달라진 거예요.

왜 이렇게까지 하는 걸까요?

위치정보가 그만큼 민감하기 때문이에요. 이게 어떤 데이터냐면, 내가 어디서 자고, 어느 병원에 다니고, 어떤 종교 시설이나 집회에 가는지가 전부 드러나는 데이터거든요. 미국에서는 데이터 브로커(개인정보를 사고파는 중개업체)들이 앱에서 수집한 위치 데이터를 '익명화했다'고 주장하며 팔아왔지만, 이동 패턴만 봐도 개인을 특정할 수 있다는 게 여러 연구로 반복해서 증명됐어요. 매일 밤 머무는 곳과 낮에 머무는 곳, 딱 두 지점만 있어도 사실상 그 사람이 누군지 알 수 있으니까요.

미국 연방거래위원회(FTC)도 최근 몇 년간 위치 데이터 브로커들을 상대로 소송과 제재를 이어왔어요. 병원이나 종교 시설 같은 민감한 장소 방문 기록을 판매한 업체들이 주요 타깃이었죠. 버지니아의 이번 법은 이런 흐름이 개별 기업에 대한 제재를 넘어, 아예 입법으로 굳어지고 있다는 신호예요. 미국은 연방 차원의 통합 프라이버시 법이 없어서 주 단위로 법이 만들어지는데, 한 주에서 강한 기준이 생기면 다른 주들이 따라가는 패턴이 반복되어 왔거든요. 캘리포니아의 CCPA가 그랬던 것처럼요.

한국은 어떨까요?

사실 한국은 이 분야에서 꽤 앞서 있는 편이에요. '위치정보의 보호 및 이용 등에 관한 법률', 줄여서 위치정보법이 별도로 존재해서, 위치기반 서비스를 하려면 사업자 신고를 해야 하고 수집·이용·제3자 제공에 대한 동의 절차도 엄격하거든요. 다만 한국은 철저히 '동의 기반' 모델이라, 유효한 동의만 있으면 제3자 제공이 가능해요. '동의가 있어도 판매는 안 된다'는 버지니아식 접근과는 철학이 다른 거죠. 동의 화면을 아무도 안 읽고 누른다는 현실을 생각하면, 어느 쪽이 실질적인 보호인지 생각해볼 지점이에요.

글로벌 서비스를 만드는 개발자라면 이 뉴스가 남 일이 아니에요. 특히 광고 SDK나 애널리틱스 SDK를 앱에 넣을 때가 위험한데요, 그 SDK가 위치 데이터를 수집해서 어디로 보내는지 파악하지 못하면 우리 서비스가 규제 위반의 당사자가 될 수 있어요. SDK 문서에서 데이터 흐름을 확인하고, 정밀 위치가 꼭 필요한 기능이 아니라면 처음부터 대략적인 위치(coarse location)만 요청하는 게 안전한 설계예요. 데이터를 덜 모으는 게 최고의 컴플라이언스라는 원칙은 어디서나 통하거든요.

정리하면

버지니아주가 정밀 위치정보의 판매를 동의 여부와 무관하게 전면 금지하면서, '동의만 받으면 된다'는 기존 프라이버시 규제의 틀에 균열이 생기기 시작했어요. 위치 데이터는 점점 '팔 수 없는 데이터'가 되어가는 중이에요. 여러분은 어떻게 생각하세요? 동의 기반 모델로 충분할까요, 아니면 민감 정보는 거래 자체를 금지하는 게 맞을까요? 실무에서 위치 권한이나 SDK 데이터 수집 때문에 고민해본 경험이 있다면 함께 나눠주세요.


🔗 출처: Hacker News

이 뉴스가 유용했나요?

TTJ 코딩클래스 정규반

월급 외 수입,
코딩으로 만들 수 있습니다

17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.

144+실전 강의
17개수익 모델
4.9수강생 평점
정규반 자세히 보기

"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"

실제 수강생 후기
  • 비전공자도 6개월이면 첫 수익
  • 20년 경력 개발자 직강
  • 자동화 프로그램 + 소스코드 제공

매일 AI·개발 뉴스를 받아보세요

주요 테크 뉴스를 매일 아침 이메일로 전해드립니다.

스팸 없이, 언제든 구독 취소 가능합니다.