캘리포니아 ‘DROP’ 발효, 데이터 브로커 시대에 진짜 ‘지우개’를 쥐다

카페에서 커피 한 잔 마신 것뿐인데, 집에 돌아오니 커피 구독 광고가 쏟아진 적 있나요?
우리가 언제, 어디서, 무엇을 하는지 그야말로 숨 쉬는 것까지 팔아먹는 이들이 있습니다. 바로 데이터 브로커입니다.

2026년 1월 1일, 이 데이터 브로커들에게는 악몽 같은, 캘리포니아 주민에게는 꽤 짜릿한 새 법이 발효되었습니다.
이름은 DROP(Delete Request and Opt-out Platform).
이제 캘리포니아 주민은 단 한 번의 요청으로 수백 개 데이터 브로커에게 “내 정보 싹 지우고, 앞으로도 모으지 마”라고 요구할 수 있습니다¹².

이 글에서는

• 데이터 브로커가 대체 뭘 하고 있었는지

• 기존 Delete Act가 왜 ‘좋은 법인데 안 쓰이던’ 법이었는지

• 이번에 시행된 DROP이 어떤 점에서 게임 체인저인지

• 실제로 캘리포니아 주민이 어떻게 내 데이터를 지울 수 있는지

• 다른 지역·기업에게 어떤 시사점이 있는지

를 쉽게 풀어 설명해 보겠습니다.

데이터 브로커는 누구고, 내 정보는 어디까지 팔렸나

데이터 브로커는 우리와 직접 거래하지 않으면서, 여러 곳에서 긁어 모은 개인정보를 모아서 되파는 사업자입니다.
우리가 회원가입한 적도, 물건을 사본 적도 없지만, 이미 우리에 대해 “너무 잘 알고 있는” 기업들입니다²³.

캘리포니아 개인정보 보호 기관(CPPA)에 등록된 데이터 브로커만 500곳이 넘습니다¹³.
이들은 어디에서 우리 정보를 가져올까요?

비영리 단체 Consumer Watchdog의 설명을 종합하면 데이터 브로커는 다음과 같은 곳에서 데이터를 줍줍합니다.

• 자동차 제조사와 커넥티드카 시스템

• 빅테크와 각종 앱, 웹사이트

• 패스트푸드·프랜차이즈 멤버십 프로그램

• 스마트워치, 운동 기기, IoT 기기 제조사 등³

이렇게 모이는 정보의 스펙트럼도 상당히 넓습니다.

• 소득과 카드 사용 패턴 같은 금융 정보

• 자주 가는 매장, 온라인 쇼핑 내역 같은 구매 습관

• 결혼 여부, 자녀 유무 같은 가족 상황

• 식사·운동 루틴, 다이어트 시도 여부

• 여행 선호지, 자주 보는 콘텐츠, 엔터테인먼트 취향 등³

이 데이터는 광고주에게 팔리기도 하고, 사립 탐정이나 스코어링 회사, 신용평가사, 심지어 일부 경우엔 수사기관과 연계된 서비스로 흘러 들어가기도 합니다²⁴.

문제는, 이 모든 일이 대부분 “조용히, 눈에 잘 띄지 않게” 진행된다는 점입니다.
우리가 어느 순간 받는 스팸 문자·전화·광고는 그 조용한 거래의 부산물일 뿐입니다.

캘리포니아 Delete Act, 좋은 법이 왜 제대로 안 쓰였을까

캘리포니아는 미국에서 가장 강력한 개인정보 보호 체계를 가지고 있는 주 가운데 하나입니다.
CCPA, CPRA에 이어 2023년에 통과된 것이 바로 “Delete Act(SB 362)”입니다⁴.

Delete Act의 핵심 아이디어는 단순했습니다.

“소비자가 한 번 요청하면, 모든 등록된 데이터 브로커가 그 사람의 데이터를 지우게 만들자.”

그렇지만 초기 시행 방식에는 한계가 있었습니다.
법이 발효된 뒤 2년 동안, 주민들이 실제로 Delete Act를 활용한 비율은 1% 수준에 그쳤습니다.

이유는 간단했습니다.

• 각 데이터 브로커마다

• 각자 다른 웹사이트, 다른 양식, 다른 절차를

• 소비자가 하나씩 찾아가며 요청해야 했기 때문입니다.

이론적으로는 “삭제 요청 권리”가 있었지만, 실제로 사용하기에는 너무 번거롭고 지치는 구조였습니다.
결국, 법은 존재했지만, 대부분의 사람에게는 “있으나 마나 한 권리”에 가까웠습니다.

DROP 시스템: 한 번 등록으로 500곳 브로커에 ‘일괄 삭제’

이 문제를 정면으로 해결하라고 만든 게 바로 DROP(Delete Request and Opt-out Platform)입니다.
이 플랫폼은 Delete Act를 실제로 작동하게 만드는 핵심 인프라입니다²⁵⁴.

구조는 생각보다 단순합니다.

1. 캘리포니아 주민이 DROP에 접속해 본인 정보를 입력하고 요청을 제출합니다.

2. 캘리포니아 개인정보 보호 기관(CPPA)이 이 요청을 검증합니다.

3. 검증된 요청이 500곳이 넘는 모든 등록 데이터 브로커에 일괄 전달됩니다⁵⁴.

4. 이후 새로 등록되는 브로커도 자동으로 이 목록을 기준으로 데이터를 삭제해야 합니다⁵⁴.

즉, 예전에는
“수십~수백 개 회사에 하나하나 이메일·양식 제출”
이었다면,

이제는
“주 정부 플랫폼에 단 한 번 등록”
으로 끝나는 겁니다.

게다가 Delete Act에 따라 데이터 브로커는

• 매년 CPPA에 의무적으로 등록해야 하고

• DROP 계정을 만들고

• 45일마다 DROP에 접속해 새로운 삭제 요청이 있는지 확인해야 합니다²⁴.

이를 지키지 않으면 최대 하루 200달러의 과태료가 쌓이기 시작합니다⁵⁴.
아무리 데이터로 돈을 잘 버는 브로커라도, “무시하고 버티기”가 점점 비용이 큰 선택이 되는 셈입니다.

실제로 내 데이터를 지우는 방법: 캘리포니아 주민 사용 가이드

이제 가장 중요한 부분입니다.
캘리포니아에 거주하는 사람이라면, 실제로 어떻게 내 데이터를 지울 수 있을까요?

현재 기준 프로세스는 대략 다음과 같습니다⁶⁵.

1. 공식 사이트 접속
   웹 브라우저에서 캘리포니아 개인정보 보호 기관 사이트인 privacy.ca.gov에 접속합니다⁶.
   홈페이지에서 “Get Started” 또는 DROP 관련 버튼을 찾을 수 있습니다.

2. 기본 정보 입력
   이름, 주소, 이메일 등 본인 확인에 필요한 최소 정보만 입력합니다⁶⁵.
   이 정보는 전체 데이터 브로커가 ‘검색 기준’으로 사용하는 식별자 역할을 합니다.

3. 요청 유형 선택

   • 현재 보유 중인 내 정보 삭제 요청

   • 앞으로 새로 수집·판매하지 말라는 옵트아웃 요청
     두 가지 모두 한 번에 선택해 제출할 수 있습니다²⁴.

4. 제출 후 대기
   DROP은 2026년 1월 1일부터 소비자 요청 접수를 시작했고,
   데이터 브로커는 2026년 8월 1일부터 실제 삭제 요청을 처리하기 시작합니다⁵⁴.
   각 브로커는 요청을 받은 뒤 일정 기간 내(법상 45~90일 수준) 데이터를 삭제하거나,
   찾을 수 없는 경우 추가 정보를 요구할 수 있습니다⁵⁴.

5. 예외 사항 이해하기
   모든 데이터가 삭제되는 것은 아닙니다.

   • 차량 등록, 유권자 명부 같은 이미 공개된 공공 데이터

   • HIPAA 등 다른 법으로 보호되는 민감 의료 정보

   • 기업이 우리와 직접 맺은 관계에서 얻은 ‘1차 데이터’
     등은 Delete Act의 대상에서 일부 제외되거나, 별도의 규제를 받습니다⁵⁴.

그래도 핵심은 하나입니다.
“나와 직접 거래하지 않는, 나를 몰래 팔아온 데이터 브로커”에게는
이제 꽤 강력한 ‘지우개’를 들이밀 수 있게 됐다는 것.

보너스로, CPPA는 이 도구의 효과로

• 원치 않는 광고 메일, 문자, 전화 감소

• 신원 도용·사기, AI 음성·얼굴 도용 위험 감소

• 대규모 데이터 유출 시 피해 범위 축소

를 기대하고 있습니다⁵.

기업과 마케터에게는 무엇을 의미할까

이 변화는 단지 개인정보 보호를 좋아하는 시민들만의 승리가 아닙니다.
캘리포니아와 거래하는 기업, 특히 마케팅·데이터 비즈니스를 하는 회사에게는 상당히 현실적인 이슈입니다.

첫째, 데이터 브로커 기반 타게팅 광고는 더 어려워집니다.
주민 상당수가 DROP을 통해 브로커 데이터 삭제·옵트아웃을 걸어버리면,
브로커를 통해 구매하던 정교한 타겟 리스트의 질과 양이 점점 떨어질 수밖에 없습니다.

둘째, ‘동의 기반 1st-party 데이터’의 가치가 더 올라갑니다.
Delete Act는 데이터 브로커처럼 “직접 관계 없는 회사”를 규제 대상으로 봅니다²⁴.
반대로 말하면, 자사 웹사이트·앱·멤버십에서

• 명확한 동의를 받고

• 투명하게 공지하며

• 사용자가 언제든 삭제·옵트아웃할 수 있는 구조를
  갖춘 1st-party 데이터는 상대적으로 더 안전하고 지속 가능한 자산이 됩니다.

셋째, 프라이버시 컴플라이언스는 ‘법무팀 이슈’가 아니라 ‘제품·마케팅 전략’이 됩니다.
캘리포니아 Delete Act와 DROP은 미국에서도 가장 강한 수준의 개인정보 보호 프레임워크로 평가받고 있습니다²⁴.
다른 주나 국가도 비슷한 시스템을 도입하려는 움직임을 보이고 있기 때문에,
이제 ‘최소한 캘리포니아 기준’에 맞춰 개인정보 설계를 해두는 것이 장기 리스크를 줄이는 길이 될 가능성이 큽니다.

시사점: 프라이버시는 선택이 아니라 ‘기본값’이 된다

데이터 브로커들의 입장에서 DROP은 분명 불편한 제도일 것입니다.
이미 모아둔 정보를 지워야 하고, 앞으로도 지속적으로 삭제 요청을 체크해야 하니까요.

하지만 사용자 입장에서 보면,
“어디서부터 어떻게 지워야 할지 막막하던” 상황을
“몇 분짜리 폼 한 번으로 해결할 수 있는” 환경으로 바꿔준 꽤 큰 업데이트입니다.

정리하자면, 이번 변화는 세 가지 메시지를 줍니다.

1. 프라이버시는 더 이상 ‘깊은 설정 메뉴 속 옵션’이 아니라,
   국가가 보장하는 실질적인 권리로 움직이기 시작했습니다.

2. 데이터 브로커 중심의 그림자 시장은 점점 투명해지고,
   대신 사용자 동의 기반의 1st-party 데이터가 핵심 자산이 됩니다.

3. 캘리포니아에서 시작된 이 흐름은 다른 주·국가로 복제될 가능성이 크며,
   개인과 기업 모두 지금부터 프라이버시 전략을 준비해야 합니다.

캘리포니아에 살고 있다면, 오늘 한 번 시간을 내어
DROP에 들어가 내 데이터 삭제·옵트아웃 요청을 등록해 보세요.
몇 년 동안 여기저기 흩어져 팔려 다니던 내 정보에,
처음으로 제대로 된 “그만”을 걸어보는 경험이 될 겁니다.

참고

¹New DROP privacy tool helps California residents to stop data brokers from selling their personal information - ABC7

²Understanding California’s Delete Act and the DROP System: A Guide

³New tool allows Californians to request data brokers to delete personal details | The Guardian

⁵California residents can use new tool to demand brokers delete their personal data - TechCrunch

⁶California Privacy Protection Agency 공식 사이트