고객 데이터 분석에 사활 건 유통가…연 1800억 매출 기업, 마이데이터 적용에 ‘초긴장’[현장]

26일 한국유통법학회 학술대회서 우려감 고조

멤버십·추천 알고리즘으로 성장한 유통가
마이데이터·과징금 강화에 ‘경영 전면 재설계’
데이터는 성장 동력, 규제는 상향평준화
보호와 활용 사이 균형 시험대

26일 서울 성북구 고려대학교 CJ법학관 베리타스홀에서 열린 2026년 한국유통법학회춘계학술대회 및 정기총회장의 모습이다.(황민주 기자 minchu@)

국내 유통산업이 단순 상품 판매를 넘어 고객 행동 패턴을 분석하는 ‘데이터 산업’으로 재편되고 있다. 멤버십과 고객관계관리(CRM), 추천 알고리즘이 매출을 좌우하는 구조다. 그러나 정부의 개인정보 규제 강화와 유통 분야 마이데이터 도입이 본격화되면서, 데이터는 새로운 성장동력이자 동시에 최고경영자(CEO)가 직접 챙겨야 할 핵심 리스크로 부상했다.

26일 서울 성북구 고려대학교에서 열린 한국유통법학회 학술대회에서는 개인정보 보호 강화가 유통업의 수익모델과 경영 환경을 구조적으로 바꾸고 있다는 진단이 나왔다.

이날 발표에 나선 황태희 성신여대 법학부 교수는 “유통업은 이미 고객 개개인의 구매 이력과 검색 데이터를 분석해 개인화 마케팅을 수행하는 산업으로 진화했다”며 “데이터가 단순한 마케팅 수단이 아니라 매출을 창출하는 핵심 인프라가 됐다”고 말했다.

멤버십 70~90%…데이터가 곧 매출 구조

현재 백화점과 대형마트의 멤버십 가입률은 70~90% 수준에 이른다. 이커머스 역시 검색·클릭·구매 데이터를 기반으로 한 추천 알고리즘을 통해 구매 전환율을 끌어올린다.

이처럼 고객 데이터를 바탕으로 한 타깃 쿠폰, 개인화 추천, 정기구독 모델은 유통업의 고마진 전략으로 자리 잡았다. 데이터 분석 정밀도가 곧 객단가와 재방문율로 연결되는 구조다.

문제는 규제 환경의 급변이다. 최근 개인정보 보호 규제는 ‘최소 수집 원칙’을 강화하고, 목적 외 이용을 엄격히 제한하는 방향으로 상향평준화되고 있다. 데이터 결합과 활용 범위에 대한 해석도 한층 엄격해졌다.

2026년 2월 ‘유통 마이데이터’ 도입…영업비밀 논란

특히 2026년 2월부터 연 매출 1800억원 이상 유통사에 적용되는 정보전송요구권(마이데이터) 제도는 최대 쟁점으로 부상했다.

고객이 자신의 구매 품목·가격·이용 이력 등을 다른 사업자로 이전할 수 있게 되면서, 업계에서는 “수십 년간 축적해온 고객 데이터가 사실상 외부에 공유될 수 있다”는 우려가 나온다.

정부는 데이터 이동권 확대를 통해 경쟁을 촉진하겠다는 입장이지만, 유통업계는 영업비밀 노출과 무임승차 가능성을 문제 삼고 있다. 특히 해외 플랫폼 사업자가 국내 소비자 데이터를 이전받을 경우 경쟁력 약화로 이어질 수 있다는 지적도 제기된다.

과징금 최대 매출 3%…경영 리스크 현실화

제재 수위도 크게 높아졌다. 현행 개인정보 보호 체계는 위반 시 전체 매출액의 최대 3%까지 과징금을 부과할 수 있도록 하고 있다. 정부와 개인정보보호위원회는 기존 매출액의 3% 제한을 넘어서는 ‘징벌적 과징금’ 특례 도입을 추진하고 있다. 반복적이거나 중대한 개인정보 보호법 위반 행위에 대해서는 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 특례가 검토·입법 과정에 있다.

이 같은 조치는 과거 대규모 유출 사례가 잇따르면서 “단순 과징금 수준으로는 억지력이 부족하다”는 평가가 나오는 데 따른 것이다. 특례가 법제화되면 대기업에서는 수천억원 대 벌금 수준으로까지 제재가 확대될 가능성도 제기된다.

제재 수위가 높아짐에 따라 경영 리스크도 커졌다. 지난해 루이비통 등 명품 3사는 보안 관리 소홀로 총 360억원 규모의 과징금을 부과받았다. 유통업 특성상 물류망, 협력업체, 입점업체가 복잡하게 연결돼 있어 사고 발생 시 책임 범위 역시 광범위하다.

전문가들은 “과거에는 마케팅 부서의 문제였다면 이제는 CEO와 CFO가 직접 관리해야 할 컴플라이언스 이슈가 됐다”고 입을 모았다.

글로벌 규제 흐름…보호와 활용 사이 균형 숙제

해외에서도 개인정보 보호 강화 기조는 분명하다. 유럽의 GDPR(General Data Protection Regulation)은 ‘데이터 주권’을 핵심 원칙으로 삼아 기업의 책임 범위를 대폭 확대했다. 매출 기준 과징금 체계를 도입해 억지력을 높였고, 정보 이동권과 삭제권도 명문화했다.

미국 캘리포니아주의 CPRA(California Privacy Rights Act) 역시 소비자가 자신의 정보를 광고·마케팅에 활용하지 못하도록 요구할 수 있는 권리를 보장한다.

이탈리아도 2021년 법령 정비를 통해 일정한 위반 행위에 대해 직전 회계연도 총매출의 최대 10%까지 과징금을 부과할 수 있도록 제재 수단을 강화했다.

이처럼 글로벌 규제의 공통된 방향은 ‘데이터 활용의 자유’보다 ‘정보주체 보호’에 무게를 두는 흐름이다. 맞춤형 광고와 데이터 결합에 대한 통제가 강화되면서, 유통업계는 외부 데이터 활용을 축소하고 자사 고객 데이터를 중심으로 한 전략을 확대하고 있다.

대표적인 대응 모델이 ‘리테일 미디어 네트워크(RMN)’다. 이는 유통사가 자체 보유한 고객 구매·이용 데이터를 기반으로 자사 플랫폼 안에서 광고를 집행하는 구조다. 제3자 데이터 의존을 낮추고, 동의를 확보한 퍼스트파티 데이터 활용을 강화하는 방식으로 규제 환경 속 비교적 안정적인 대안으로 평가된다.

다만 보호와 활용 사이의 균형을 어떻게 설계할 것인지는 여전히 과제로 남는다. 학계에서는 사전 규제 중심 접근에서 사후 책임 중심 관리로 전환하고, 가명 정보 활용 범위를 보다 명확히 할 필요가 있다는 의견이 나온다.

황 교수는 “개인정보 보호 강화는 피할 수 없는 흐름”이라면서도 “유통산업의 데이터 활용 특성을 반영한 구체적 가이드라인이 마련돼야 한다”고 강조했다. 이어 “기획 단계에서부터 보안을 내재화하는 ‘프라이버시 바이 디자인(Privacy by Design)’ 문화 확산이 필요하다”고 제언했다.