DSA의 적용 범위와 대상

DSA는 지침이 아닌 규정으로서 국내법 전환 없이 모든 EU 회원국에서 직접 효력을 갖습니다. 2023년 8월 초대형 온라인 플랫폼 및 검색엔진에 완전히 발효되었고, 2024년 2월에는 그 외 모든 사업자에게 발효되어 퍼블리셔들은 이미 2년간의 운영 경험을 쌓았습니다. 동법은 규모와 플랫폼 유형에 따라 단계적 의무를 설정합니다: 소기업은 대체로 면제, 중개 서비스는 기본 의무, 호스팅 제공업체는 콘텐츠 모더레이션 의무, 온라인 플랫폼은 추가적인 투명성 규칙, 그리고 초대형 온라인 플랫폼(EU 월간 활성 사용자 4,500만 명 초과)은 시스템적 위험 평가 및 외부 감사를 포함한 가장 엄격한 의무를 집니다.

대부분의 퍼블리셔가 해당하는 위치

퍼블리셔의 압도적 대다수는 온라인 플랫폼 카테고리에 해당합니다—사용자 생성 콘텐츠(댓글, 포럼 게시물, 독자 기고)를 호스팅하고, 광고를 제공하며, 알고리즘 피드 또는 관련 기사 모듈을 통해 콘텐츠를 추천합니다. 온라인 플랫폼 계층이 바로 DSA가 운영상 중요해지는 지점입니다: 미성년자에 대한 타겟 광고 제한, 광고 게재 및 타겟팅 파라미터에 관한 투명성 의무, 추천 시스템 설명 및 옵트아웃, 불법 콘텐츠에 대한 신고·조치 체계. 초대형 온라인 플랫폼 임계값을 초과하는 퍼블리셔에게는 시스템적 위험 평가, 외부 감사인 의무, Commission이 승인한 연구자에게 플랫폼 데이터 접근 제공 요건이 추가됩니다.

지리적 테스트

DSA는 역외에 적용됩니다. 유럽 방문자를 보유한 미국 퍼블리셔는 EU 사용자가 서비스와 상호작용할 수 있는 순간 적용 범위에 들어옵니다—이는 사실상 모든 공개 웹사이트를 대상으로 합니다. 테스트는 퍼블리셔의 소재지가 아니라 서비스가 EU 수신자에게 제공되는지 여부입니다. GDPR을 반영하여, 이는 기본적으로 글로벌 출판 산업의 대부분을 포함합니다.

타겟 광고 제한

쿠키 동의 및 광고 운영에 가장 중요한 DSA 계층은 Article 26으로, 퍼블리셔가 설계상 고려해야 할 두 가지 구체적인 방식으로 타겟 광고를 제한합니다.

미성년자 타겟팅 금지

DSA는 개인 데이터를 이용한 프로파일링에 기반하여 미성년자에게 타겟 광고를 제공하는 것을 금지합니다. 이 금지는 퍼블리셔가 수신자가 미성년자임을 알거나 합리적으로 알아야 할 때 적용됩니다—실제로는 퍼블리셔가 합리적으로 행동할 수 있는 모든 신호(스스로 신고한 나이, 자녀 보호 신호, 젊은 독자층을 강하게 시사하는 콘텐츠 카테고리, 퍼블리셔 자체 사용자 시스템의 계정 플래그)에 적용됩니다. CMP는 이 제한을 코드화해야 합니다: 미성년 사용자가 마케팅 쿠키에 동의하더라도 타겟 광고 경로는 기본적으로 꺼져 있어야 합니다. 대안은 컨텍스트 광고—사용자 프로파일이 아닌 페이지 콘텐츠 기반 광고 선택—이며, 이제 대부분의 주요 SSP 및 광고 서버가 1등급 게재 모드로 제공합니다.

민감한 데이터 금지

DSA는 또한 GDPR Article 9에 정의된 개인 데이터의 특별 범주—인종, 종교, 정치적 견해, 노동조합 가입, 건강, 성생활, 성적 지향, 생체 인식 데이터, 유전자 데이터—를 이용한 프로파일링에 기반한 타겟 광고도 금지합니다. 이 금지는 절대적입니다: 동의가 있어도 해제되지 않습니다. 이러한 영역을 다루는 콘텐츠 카테고리를 운영하는 퍼블리셔—건강 퍼블리셔, 종교 미디어, 정치 뉴스 사이트, LGBTQ+ 출판물—는 사용자가 모든 마케팅 카테고리에 동의한 경우에도 광고 기술 스택이 이 데이터에서 도출된 프로파일 신호를 광고주에게 전달하지 않도록 보장해야 합니다.

CMP에 대한 운영상의 시사점

CMP는 DSA 제한을 동의 상태 전환이 아닌 하드 게이트로 코드화해야 합니다. '모든 카테고리 수락됨'이라는 동의 영수증은 미성년자 또는 Article 9 데이터에 기반한 타겟 광고를 허용하지 않습니다. 가장 깔끔한 구현은 동의 상태, 미성년 신호, 페이지의 민감한 콘텐츠 분류를 CMP와 광고 기술 공급업체 사이에 위치한 단일 결정 함수에 통과시키는 것이며, 이 함수는 DSA 게이트 중 하나가 작동할 때마다 컨텍스트 게재를 기본값으로 설정합니다.

추천 시스템 옵트아웃

DSA Article 38은 추천 시스템을 사용하는 온라인 플랫폼—피드의 알고리즘 콘텐츠 순위, 관련 기사 모듈, 동영상 다음 대기열—에 이러한 시스템의 주요 파라미터를 설명하고 프로파일링에 기반하지 않는 옵션을 최소 하나 이상 사용자에게 제공할 것을 요구합니다. 개인화된 콘텐츠 탐색을 운영하는 퍼블리셔는 프로파일링을 유일한 이용 가능 모드로 만들 수 없습니다.

프로파일링 없는 모드의 형태

프로파일링 없는 모드는 일반적으로 시간 순서 피드, 인기도 순위 피드, 또는 개별 사용자의 행동에 기반하여 개인화하지 않는 편집 큐레이션 피드입니다. 사용자는 계정 설정 깊숙이 숨겨진 것이 아닌 명확히 보이는 컨트롤을 통해 전환할 수 있어야 하며, 선택은 향후 세션을 위해 기억되어야 합니다. 퍼블리셔는 추천 시스템 컨트롤을 동의 UX의 1등급 부분으로 취급해야 하며, 종종 쿠키 기본 설정을 처리하는 것과 동일한 CMP 인터페이스를 통해 표시됩니다.

순위 파라미터 투명성

플랫폼은 추천 시스템이 사용하는 주요 파라미터—최신성, 인기도, 과거 행동과의 유사성, 편집 가중치, 광고 관련성—를 평이한 언어로 공개해야 합니다. 이는 일반적으로 개인정보 처리방침의 섹션이나 전용 투명성 페이지로 게시되며, 규제 당국이 실제 플랫폼 동작에 대해 설명을 검증할 수 있을 만큼 구체적이어야 합니다. '우리는 기계 학습을 사용하여 관심 있을 콘텐츠를 추천합니다'와 같은 모호한 표현은 기준을 충족하지 못합니다.

DSA가 GDPR 및 ePrivacy 위에 층을 이루는 방식

DSA는 GDPR이나 ePrivacy를 대체하지 않습니다—그 위에 플랫폼 수준의 규칙을 추가합니다. 상호작용은 대부분 부가적이지만 두 가지 특정 지점에서 동의 단독으로 허가할 수 있는 것을 제한합니다.

동의는 DSA 금지를 무효화할 수 없다

미성년자 타겟팅 금지와 Article 9 민감한 데이터 금지는 절대적입니다. 어느 경우에도 사용자는 타겟 광고 수신에 동의할 수 없습니다. 이는 역사적으로 동의를 만능 해제 수단으로 취급해온 CMP에 의미 있는 설계 제약입니다—DSA 하에서 동의 상태는 필요하지만 충분하지 않으며, CMP 아키텍처가 이를 반영해야 합니다.

투명성 의무는 GDPR의 의무 위에 중첩된다

DSA의 광고 투명성 의무—광고를 명확히 식별하고, 광고주를 명시하며, 특정 광고 게재에 사용된 주요 타겟팅 파라미터를 설명하는 것—는 GDPR의 투명성 요건과 독립적이며 광고 크리에이티브 자체에서 충족되어야 합니다. 대부분의 퍼블리셔는 게재된 크리에이티브에 DSA 광고 마커 블록을 자동으로 삽입하는 광고 서버 템플릿을 통해 이를 처리합니다.

실질적인 CMP 및 광고 스택 변경

DSA를 인식한 CMP와 광고 스택은 2026년까지 주요 상업 플랫폼 전반에서 안정된 소수의 반복 가능한 요소를 갖추고 있습니다.

미성년 신호 배관

CMP는 퍼블리셔의 사용자 계정 시스템, 페이지의 콘텐츠 분류, 또는 자녀 보호 계층에서 미성년 신호를 수신하고, 그 신호를 동의 결정에 전파해야 합니다. 대부분의 CMP는 이제 광고 스택이 동의 상태와 함께 읽는 동의 영수증의 'minor' 속성으로 이를 제공합니다. 신호는 Google Consent Mode v2, IAB TCF v2.3 문자열, 이를 지원하는 공급업체별 통합을 통해 다운스트림으로 흐릅니다.

민감한 콘텐츠 분류

퍼블리셔는 모든 페이지에서 콘텐츠 분류 패스를 실행하여 DSA의 민감한 데이터 카테고리에 매핑해야 합니다. 분류는 구조화된 분류 체계를 가진 편집 사이트의 경우 수동으로, NLP 기반 콘텐츠 태깅을 사용하는 대용량 사이트의 경우 자동화할 수 있습니다. 분류는 광고 스택의 컨텍스트 폴백 결정에 정보를 제공합니다: 민감한 카테고리로 태그된 페이지는 동의 상태에 관계없이 컨텍스트 광고만으로 라우팅됩니다.

추천 시스템 토글

추천 시스템 옵트아웃은 동의 배너의 기본 설정 보기와 같은 위치에 있어야 합니다—대부분의 CMP는 이 목적을 위해 일반적인 '플랫폼 컨트롤' 모듈을 제공합니다. 토글은 사용자의 세션 수준 기본 설정을 변경하며, 인증된 사용자의 경우 계정 수준 기본 설정도 변경합니다. 다운스트림 추천 서비스는 모든 순위 호출에서 기본 설정을 읽습니다.

결과를 초래하는 일반적인 DSA 실수

2024년과 2025년을 통해 이루어진 DSA 집행 결정은 Commission 조사로 이어지는 패턴의 명확한 목록을 생성했습니다. CMP는 퍼블리셔 자체의 연령 신호를 확인하지 않고 모든 사용자에 대해 미성년자 타겟팅 플래그를 기본값으로 false로 설정합니다. 추천 시스템 옵트아웃은 동의 배너 근처에 표시되지 않고 계정 설정의 세 번 클릭 깊숙이 묻혀 있습니다. 광고 크리에이티브 광고 마커 블록은 디스플레이 광고에는 추가되었지만 동영상 크리에이티브에서는 누락됩니다. 민감한 콘텐츠 분류는 건강 및 종교와 같은 명백한 카테고리를 포함하지만 그럼에도 Article 9의 정치적 견해 보호 하에 자격이 있는 정치 뉴스 사이트를 놓칩니다. 초대형 온라인 플랫폼 계층은 시스템적 위험 평가를 공개하지만 DSA가 요구하는 연간 살아있는 문서가 아닌 일회성 연습으로 취급합니다.

결론

DSA는 GDPR 이후 퍼블리셔가 이미 동의를 수집한 독자의 관심으로 무엇을 할 수 있는지를 실질적으로 재형성하는 첫 번째 주요 EU 규제입니다. 미성년자 타겟팅과 Article 9 금지는 동의 옵션이 아닌 절대적인 설계 제약입니다. 추천 시스템 옵트아웃은 쿠키 배너 옆에 위치한 1등급 사용자 컨트롤입니다. 광고 게재의 투명성 의무는 게재되는 모든 크리에이티브에 올바른 마커를 자동으로 삽입하는 광고 서버 템플릿을 필요로 합니다. 이 중 어느 것도 선택 사항이 아니며, 집행 서한이 도착했을 때 서둘러 개선할 수 없습니다. 2023~2024년 단계적 도입 기간에 CMP와 광고 스택에 DSA 게이트를 구축한 퍼블리셔는 현재 깨끗하게 운영되고 있습니다; DSA를 문서화 작업으로 취급한 퍼블리셔는 2026년을 Commission의 집행 대기열에서 보내고 있습니다. 작업량은 적당하고, 아키텍처는 확립되어 있으며, 이를 건너뛰는 결과는 더 이상 가상의 이야기가 아닙니다.