브레이즈(Braze) 같은 CRM 플랫폼을 사용할 때, 개인정보 보호와 규제 준수는 보안담당자가 아니더라도 반드시 숙지하고 있을 필요가 있다. 특히 한국에서는 개인정보보호법(이하 개인정보법), 정보통신망법, 그리고 통신비밀보호법 등 다양한 법령이 개인정보 수집과 활용을 엄격히 규제한다. 글로벌 기업들이 GDPR(유럽)이나 CCPA(캘리포니아)을 준수하듯, 국내 기업도 한국 법제에 맞는 설정과 데이터 관리 체계를 갖춰야 한다. 이번 글에서는 브레이즈를 사용할 때 마케터들이 배경지식으로 알고 있으면 좋은 국내 개인정보 규제 준수를 위한 가이드를 다뤄보고자 한다.
1. 수집 최소화 원칙 적용하기
한국 개인정보법은 ‘필요 최소한의 정보만 수집’ 해야 한다는 원칙을 명확히 하고 있다.
- 브레이즈 SDK를 앱에 연동할 때 필수 이벤트(eg. 로그인, 구매) 와 선택 이벤트(eg. 검색어, 상세 행동) 를 구분해야 한다.
- 마케팅 목적이라면 이름, 전화번호, 이메일 같은 식별 정보 외에 꼭 필요한 데이터만 수집하고, 민감 정보(위치, 생체 정보 등)는 별도 동의 없이는 수집하지 않는다.
- 특히 CI인증 등을 통한 정보를 수집하는 경우에는, 꼭 CI정보가 필요한지, 필요하다면 어느 범위까지 필요한지 등 점검이 필요하며 브레이즈에서 제공하는 일종의 태그 기반의 Custom Attributes 기능을 활용해보는 것을 추천한다. 다만, 브레이즈의 Custom Attributes 기능을 사용할 때도 데이터 필드를 최소화하고, 실제 필요 없는 데이터는 저장하지 않는 것을 추천한다.
2. 명확한 동의 절차 설계
국내 법령은 개인정보 수집·이용 동의를 명확하게 받을 것을 명시하고 있다. 특히 마케팅 활용을 위한 알림·이메일·SMS 발송은 별도의 동의가 필요하다.
- 이중 동의(Double Opt-in): 앱 설치 시 개인정보 수집·이용 동의를 받고, 마케팅 수신 동의는 별도로 체크박스나 팝업을 통해 받는 것이 안전하다.
- 브레이즈 캠페인에서는 수신 동의 상태를 속성(Attribute) 으로 저장해, ‘동의 고객’에게만 메시지를 발송하도록 설정되어 있다.
3. 데이터 보관 및 삭제 정책
한국 개인정보법은 수집 당시의 목적 달성 이후 개인정보를 지체 없이 파기하도록 규정한다.
- 브레이즈에서 고객 데이터는 API 또는 CSV 업로드를 통해 유입되는데, 더 이상 CRM 목적으로 쓰이지 않는 데이터는 삭제해야 한다.
- 브레이즈의 Data Erasure API(데이터 삭제 API)를 활용하면 고객 요청 시 자동으로 해당 고객의 모든 데이터를 삭제할 수 있다.
- 고객 탈퇴 이벤트를 트리거로 설정해 Braze에 저장된 데이터까지 실시간 삭제되도록 연동하면 리스크를 크게 낮출 수 있다.
4. 해외 서버 사용 시 조치
브레이즈는 글로벌 SaaS 플랫폼이므로, 기본적으로 해외 서버(주로 미국, 싱가포르 등)를 사용한다. 한국법은 개인정보 국외 이전 시 고객 동의 및 고지 의무를 명확히 규정하고 있다.
- 개인정보 국외 이전 동의 문구를 서비스 이용 약관이나 개인정보 처리방침에 포함해야 하며, 고객이 내용을 인지할 수 있도록 해야한다.
- 어떤 국가로 데이터가 이전되는지, 어떤 목적으로 사용하는지, 보관 기간은 얼마나 되는지를 반드시 명시해야 한다.
5. 권리 보장 및 대응 체계
국내의 법은 이용자가 언제든지 본인의 개인정보 열람, 수정, 삭제를 요청할 권리를 보장한다.
- 브레이즈 데이터와 사내 DB를 연동해 고객이 앱이나 웹에서 탈퇴 신청 시, 브레이즈까지 즉시 반영되도록 API를 설계해야 한다.
- 보안팀이 주도하겠으나, CS팀, CRM팀, 개발팀이 연결된 개인정보 처리 프로세스를 사전에 마련해야 한다.
6. 접근 권한 관리와 로그 기록
브레이즈에 저장된 개인정보는 접근 권한을 최소화해야 한다.
- 꼭 필요한 인원만 접근할 수 있도록 역할(Role)을 부여한다.
- 누가 어떤 데이터를 열람·수정했는지 로그를 기록하고 정기적으로 점검하는 것도 중요하다.
결론적으로, 브레이즈를 사용할 때는 단순히 기술을 이해하는 것 이상으로 법적 요구사항을 운영 프로세스에 녹여야 한다.
- 데이터는 ‘필요 최소한’만 수집하고
- 명확한 동의를 받으며
- 불필요한 데이터는 삭제하고
- 국외 이전 시 고객에게 투명하게 알리고
- 접근 권한과 로그를 철저히 관리해야 한다.
이렇게 하면 CRM 성과를 높이는 동시에, 법적 리스크 없이 안전한 CRM 마케팅을 운영할 수 있을 것이다.
마케터 입장에서 개인정보 보호 준수는 대부분 업무 제약으로 느껴지는 것이 사실이다. 그러나 인식을 바꾸어 개인정보 보호 준수가 리스크를 낮추며 고객과 신뢰를 쌓아가는 과정이라 이해하는 것이 필요한 시점이다.