본문 바로가기
카테고리 없음

1인 커머스 플랫폼 개발기 #03 - 개발 전 알아야 할 법적 요구사항 (통신판매업자)

by owel.dev 2026. 5. 4.

이번 글에서는 본격적인 커머스 플랫폼 개발에 앞서 알아두어야 할 법적 요구사항들을 정리해 보겠습니다.

 

한국에서 커머스 서비스를 운영하려면 거래 기록을 어떻게 보존할 지, 개인정보를 어떻게 다뤄야 하는 지 등 법률로 정해진 의무들이 있습니다. 이걸 모르고 서비스의 DB를 설계하면 나중에 설계를 갈아엎어야 할 수도 있기에 개발 전 반드시 짚고 넘어가야 합니다.

 

본 글은 개발자 시점에서 정리한 자료이며, 법률 자문이 아닙니다. 실제 사업 진행 시에는 관할 기관 또는 전문가의 검토를 받으시기 바랍니다. 또한 법령은 개정될 수 있으므로 글 작성 시점(2026년 5월) 이후의 변경사항은 반영되어 있지 않을 수 있습니다.

 

법적 지위 구분

법령에서는 커머스 플랫폼의 관계자들을 다음과 같이 구분합니다.

  1. 자사몰 관리자 -> 통신판매업자
  2. 커머스 플랫폼 관리자 -> 통신판매중개업자
  3. 커머스 플랫폼에 입점한 판매자 -> 통신판매중개의뢰자

자사몰(통신판매업자)을 개발할 경우와 커머스 플랫폼(통신판매중개업자)을 개발하는 경우, 각각이 지켜야 할 법적 요구사항이 다릅니다.

 

이번 프로젝트는 MVP로서 자사몰 형태로 시작하지만, 이후 커머스 플랫폼으로 확장하기 좋은 구조로 설계하려고 합니다. 따라서, 법적 요구사항에 대해 통신판매업자를 비롯해 나머지 두 가지 경우에 대해서도 살펴볼 예정입니다.

다만, 한 글에 담기에는 내용이 많아, 이번 글에서는 통신판매업자가 지켜야 할 것들에 대해 다뤄보겠습니다.

 

통신판매업자(자사몰 관리자)가 지켜야 할 것들

1.  사업 개시

  • 공통
    1. 사업자 등록 (부가가치세법 제8조): 부가가치세법상 모든 사업의 출발점입니다. 매출이 발생하기 전에 관할 세무서에 신청하면 사업자등록증이 발급됩니다. PG 가맹, 통신판매업 신고 등 모든 후속 절차의 전제조건이 됩니다.
    2. 통신판매업 신고 (전자상거래법 제12조) : 인터넷/전화/우편 등 통신수단으로 상품이나 용역을 판매하는 사업자가 사업자등록 소재지 관할 기관에 신고해야 하는 의무입니다. 직전연도 거래횟수 50회 미만 또는 부가가치세법상 간이과세자(2020.5 개정)이면 신고가 면제되지만 일반적으로는 미리 신고합니다.
  • 조건부
    1. 부가통신사업 신고 (전기통신사업법 제22조): 자본금 1억원을 초과하는 사업자의 경우, 과학기술정보통신부에 신고해야하는 의무입니다.
    2. 품목별 인허가 (식품위생법, 화장품법, 의료기기법, 건강기능식품에 관한 법률 등): 일반 공산품이 아닌 특정 규제 품목을 다룰 때 별도 신고 및 허가가 필요합니다. 식품(영업신고), 건강기능식품(영업허가/신고), 화장품(제조판매업 및 책임판매업 등록), 의료기기(판매업 신고 + 광고 사전심의), 의약외품(약사법), 주류(주세법, 통신판매 자체가 제한), 농수산물(원산지 표시) 등 품목별로 적용되는 법령이 다릅니다. 사업 시작 전 본인이 다룰 품목에 대해 별도 확인이 필요합니다.
    3. 위치정보 사업 (위치정보의 보호 및 이용 등에 관한 법률 제5조, 제9조) : 위치정보를 직접 수집/제공하거나(위치정보사업, 제5조) 위치정보를 활용한 서비스를 제공하는(위치기반서비스사업, 제9조) 경우 방통위에 신고 후 허가를 받아야 합니다. 일반적인 배송 주소 처리는 개인정보 처리에 해당해 위치정보법 적용 대상이 아니지만, 실시간 배송 추적, 매장 찾기, 지도 기반 서비스 등 GPS 기반 위치 데이터를 다루면 위치기반서비스사업 신고가 필요할 수 있습니다.

2.  개인정보 보호 

  1. 개인정보 최소 수집 원칙 (개인정보 보호법 제3조 제1항, 제16조): 처리 목적에 필요한 최소한의 개인정보만 수집해야 합니다. "있으면 좋을 것 같은" 정보를 받는 것은 위법 소지가 있습니다. 예를들어 결제기능만 필요한 경우 생년월일, 성별을 받을 정당한 사유가 약하므로 문제가 될 수 있습니다. 외부 감사 시 개인정보 수집 시 수집 항목을 정당화할 수 있어야 합니다.
  2. 개인정보 수집/이용 동의 (개인정보 보호법 제15조): 개인정보를 수집 및 이용할 경우, 정보주체에게 명시적인 동의를 받아야 합니다. 
  3. 필수 동의 항목 / 선택 동의 항목 구분 표시 (개인정보 보호법 제22조 제3항, 시행령 제17조 제1항): 필수 동의 항목과 선택 동의 항목을 정보주체가 구분할 수 있도록 표시해야 합니다. 정보주체가 자유로운 의사로 동의 여부를 결정할 수 있어야 하므로, 체크박스에 미리 체크가 되어있는 디자인은 위법입니다.
  4. 선택 동의 거부 시 서비스 제공 거부 금지 (개인정보 보호법 제16조 제3항, 제22조 제5항): 선택적으로 동의할 수 있는 사항에 동의하지 아니한다는 이유로 서비스 제공 거부를 금지합니다. 마케팅 수신 동의를 거부했다고 회원가입을 막거나 기능을 제한하는 것은 위법입니다. 추가로, 거부 옵션과 동의 옵션이 UI 상에서 동등한 가시성을 지녀야 합니다.
  5. 만 14세 미만 아동의 법정대리인 동의 (개인정보 보호법 제22조의2): 만 14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의가 필요하고, 법정대리인 확인을 위한 최소 정보 수집이 허용됩니다. 또한, 처리방침에 동의 획득 방법, 확인 방법, 아동 친화적 제공 방법을 구체적으로 명시해야 합니다. 성인 대상 서비스의 경우는 해당이 없지만, 회원가입 시 14세 미만 차단 절차(생년월일 검증 등)가 없으면 위법 소지가 있습니다.
  6. 개인정보 제3자 제공 동의 (개인정보 보호법 제17조): 개인정보 이용 동의 및 처리방침에 명시된 수집 목적 범위를 초과하여 개인정보를 외부에 제공할 때는 별도 동의가 필요합니다. 제3자 제공과 위탁(7번)의 구분이 중요한데, 제3자 제공은 데이터 통제권 자체가 이전되는 것이고 위탁은 위탁자의 지시 범위 내에서 처리만 대행하는 것입니다. 예를 들어, 광고주/제휴사에 회원 데이터를 넘기는 건 제공, PG사가 결제 처리를 위해 데이터를 받는 건 위탁입니다.
  7. 개인정보 처리위탁 (개인정보 보호법 제26조): 외부 업체에 처리를 맡길 때 (1) 위탁업무·수탁자 등이 명시된 문서 계약, (2) 수탁자에 대한 교육·감독, (3) 위탁업무 내용과 수탁자를 홈페이지에 공개해야 합니다. 위반 시 1천만원 이하 과태료가 발생합니다. PG, 호스팅(AWS 등), 배송업체, CS 챗봇, 이메일 발송, 분석 도구 모두 위탁 대상입니다. 처리방침에 표 형식으로 정리하는 게 일반적입니다.
  8. 개인정보 국외이전 (개인정보 보호법 제28조의8): 법률상 개인정보를 국외로 제공하거나 처리 위탁을 할 수 없습니다. 그러나 정보주체의 동의를 받거나, 개인정보보호위원회가 보호 수준이 양호하다고 인정한 국가에 대해서는 가능합니다만, 처리방침에 이전 국가, 시기, 방법, 항목, 보유기간을 명시해야 합니다. AWS Seoul region을 쓰면 국내 처리지만, Cloudflare(미국), Vercel, Stripe, OpenAI API, 외국 SaaS(Notion, Slack, Se ntry, Datadog 등)는 국외이전에 해당합니다. 위반 시 전체 매출액의 3% 이하 과징금이 부과됩니다.
  9. 자동화된 결정에 대한 거부·설명요구권 (개인정보 보호법 제37조의2): 완전 자동화 시스템(AI 포함)으로 처리한 결정이 정보주체의 권리·의무에 중대한 영향을 미치는 경우, 정보주체는 거부와 설명을 요구할 수 있습니다. 개인정보처리방침에 자동화된 결정의 기준, 절차, 처리 방식을 공개하고, 만약 정보주체가 거부 요청 시 인적 개입에 의한 재처리 등을 해야 합니다. CS 챗봇이 환불 거절, 계정 정지, VIP 등급 자동 부여 같은 결정을 내린다면 적용됩니다. 추천 알고리즘처럼 권리 및 의무에 중대한 영향이 없는 경우는 적용 대상이 아니지만, 경계가 모호하므로 처리방침에 일단 공개하는 게 안전합니다.
  10. 개인정보 보호책임자(CPO) 지정 (개인정보 보호법 제31조): 모든 개인정보처리자는 CPO를 지정해야 합니다. 영세사업자는 별도 지정 없이 사업주/대표자가 자동으로 CPO가 되며, 처리방침에 CPO 성명, 연락처(또는 부서명)를 공개합니다. 미지정 시 1천만원 이하 과태료가 발생합니다. 일정 규모 이상 사업자에게는 CPO 지정 시 이사회 의결과 보호위원회 신고 절차를 요구합니다.
  11. 개인정보 처리방침 공개 (개인정보 보호법 제30조): 처리 목적, 항목, 보유기간, 제3자 제공, 위탁, 국외이전, 정보주체 권리, CPO 연락처, 자동화된 결정 등을 일정 형식에 맞춰 작성하고 공개해야 합니다. 2025.4 개정 작성지침은 자동화된 결정, 쿠키/맞춤형 광고, 개인정보 전송요구권 등 추가 반영을 요구합니다. 형식적 의무가 아니라 분쟁/과징금 산정 시 핵심 증빙이 되므로, 선언 내용과 실제 처리 행태를 일치시키는 것이 중요합니다.
  12. 안전성 확보 조치 (개인정보 보호법 제29조, 시행령 제30조): 접근권한 관리, 접근통제, 암호화, 접속기록 보관, 악성프로그램 방지, 물리적 접근 통제 등이 포함됩니다. KISA의 「개인정보의 안전성 확보조치 기준」 고시가 구체적 기준을 제시합니다. 1인 개발자라도 비밀번호 해싱(bcrypt/Argon2), DB 접근 권한 분리, HTTPS 적용, 접속 로그 보관(최소 1년, 5만명 이상이면 2년) 등은 기본입니다.
  13. 개인정보 유출 통지 및 신고 (개인정보 보호법 제34조): 유출 인지 시 (1) 정보주체에 지체 없이 통지, (2) 1천명 이상 유출 시 개인정보보호위원회 또는 KISA에 72시간 이내 신고. 통지 항목: 유출된 항목, 시점, 경위, 피해 최소화 조치, 대응 절차, 사업자 신고처 등. 정보주체의 연락처를 알 수 없는 경우, 홈페이지에 30일 이상 게시로 갈음 가능. 2026년 통과 개정안은 유출 가능성 인지 단계에서도 통지 의무를 도입했고, 위조, 변조, 훼손도 통지 대상에 포함됩니다.
  14. 파기 의무 (개인정보 보호법 제21조): 보유기간 경과 또는 처리 목적 달성 시(회원 탈퇴, 일정 기간이 지난 서비스 이용로그 등) 개인정보를 지체 없이 파기해야 합니다. 다른 법령에 보존 의무가 있는 경우(예: 전자상거래법상 거래기록 5년)에는 보존 의무가 다하기 전까지 파기가 아닌 별도 보관하되, 기존 개인정보들과 분리하여 저장합니다. 회원 탈퇴 시 거래기록은 5년 보관, 그 외 개인정보는 즉시 파기가 일반적인 패턴입니다. 파기 시점, 방법, 담당자를 기록으로 남기는 게 추후 안전성 확보조치 의무 입증이 필요할 때 유리합니다.

3.  정보 표시

  1. 사업자 정보 표시 (전자상거래법 제10조): 사이버몰 초기화면에 상호, 대표자, 영업소 주소(소비자 불만 처리 가능 주소 포함), 전화번호, 이메일, 사업자등록번호, 통신판매업 신고번호, 호스팅서비스제공자, 사이버몰 이용약관 링크 등을 표시해야 합니다. 통상 푸터에 일괄 배치합니다. 통신판매중개업자가 직접 판매하지 않는 경우 그 사실을 초기화면에 미리 고지해야 하고, 누락 시 시정조치, 과태료 대상입니다.
  2. 이용약관 작성·명시·교부·설 (전자상거래법 제13조, 약관의 규제에 관한 법률 제3조): 약관을 소비자가 쉽게 알 수 있도록 작성 및 표시하고, 청약 시 약관에 동의받아야 합니다. 약관규제법은 별개 법으로, 제3조에서 약관 명시, 교부, 설명 의무, 제6~14조에서 불공정 약관 조항 무효 사유를 규정합니다. 공정위 표준약관(인터넷쇼핑몰 표준약관 등)을 참고해 작성하면 위험을 줄일 수 있고, 분쟁 시 표준약관 사용 사실이 유리하게 작용합니다.

4.  거래

  1. 상품 정보 표시 (전자상거래법 제13조 제2항, 「전자상거래등에서의 상품등의 정보제공에 관한 고시」): 상품군별로 표시 항목이 정해져 있고(의류, 가전, 식품, 디지털 콘텐츠 등 30여 개 카테고리), 제조국, 제조연월일, 크기, 재질, 사용방법, A/S 정보 등을 명시해야 합니다. 카테고리별로 누락 시 과태료 대상입니다. 상품 등록 단계에서 카테고리별 필수 입력값을 검증하는 로직을 두는 게 실무적인 해결책입니다.
  2. 판매가격 표시 의무 (전자상거래법 제13조 제2항): 모든 상품 가격을 정확히 표시해야 하고, 결제 시점에 최초 표시 가격과 다른 금액을 청구해서는 안 됩니다. 부가세 포함 여부 명시는 거래 안전을 위해 권장됩니다. 표시 가격과 결제 금액 불일치는 다크패턴 규제(순차공개 가격책정)와도 직결됩니다.
  3. 할인 표시의 정확성 (표시광고법 제3조, 전자상거래법 제21조 제1항 제1호): "정상가 100,000원 -> 할인가 50,000원" 표기를 하려면 실제로 정상가에 판매한 이력이 있어야 합니다. 판매 이력 없는 가격을 정상가로 표기하거나, 상시 할인을 한정 할인처럼 표기하는 것은 거짓·과장 광고로 처벌 대상입니다. 할인 시작, 종료 일자와 정상가 판매 이력 데이터를 보관해 실증 책임에 대비해야 합니다.
  4. 결제 직전 거래 조건 명시 / 조작 실수 방지 절차 (전자상거래법 제7조): 청약 직전 화면에서 상품, 수량, 총금액(배송비, 옵션 추가금액 포함), 배송지, 결제수단을 다시 확인하고 정정할 수 있는 절차를 마련해야 합니다. "주문 확인" 단계가 이에 해당합니다. 다크패턴 규제(순차공개 가격책정 금지)와 연결되어 있어, 이 화면에서 처음으로 추가 비용이 노출되는 것이어서는 안 됩니다.
  5. 청약 확인 통지 (전자상거래법 제14조): 청약을 받으면 청약 의사표시의 수신 확인 및 판매 가능 여부를 신속하게 알려야 합니다. 주문 완료 이메일/SMS/앱 푸시가 이에 해당하며, 통지에는 주문 내역과 상태가 포함되어야 합니다. 통지 미발송은 후속 분쟁 시 사업자에게 불리한 증거가 됩니다.
  6. 공급 절차 정보 제공 (전자상거래법 제15조): 청약 후 7일 이내에 재화 공급에 필요한 조치를 해야 하며, 선지급식 통신판매(대금 선결제)의 경우 대금 지급일부터 3영업일 이내에 공급에 필요한 조치를 해야 합니다(별도 약정 시 약정 우선). 공급이 어려운 경우 그 사유를 지체 없이 알리고 선지급식이라면 3영업일 이내에 환급해야 합니다(제15조 제2항). 또한 소비자가 공급 절차 및 진행 상황을 확인할 수 있도록 적절한 조치를 해야 합니다(제15조 제3항).
  7. 청약 철회권 (전자상거래법 제17조): 소비자는 계약서면을 받은 날(또는 공급 시작일 중 늦은 날)부터 7일 이내에 청약을 철회할 수 있습니다. 표시 및 광고와 다르게 이행된 경우는 공급일부터 3개월, 인지일부터 30일 이내. 청약철회 제한 사유(소비자 책임 훼손, 가치 현저 감소, 복제 가능 포장 훼손, 주문 제작 등)는 사전에 명확히 표시한 경우에만 유효하므로, 상품 페이지 및 결제 페이지에 표시해야 합니다. 청약철회 기간을 7일 미만으로 표기하는 것은 위법입니다.
  8. 환불 처리 (전자상거래법 제18조, 시행령 제21조의3): 재화 반환받은 날(용역/디지털 콘텐츠는 청약철회한 날, 미공급 시 청약철회한 날)부터 3영업일 이내 환급. 지연 시 연 100분의 40 이내 범위에서 시행령으로 정한 이율(시행령 제21조의3에 따라 연 100분의 15)의 지연배상금. 카드 결제는 결제업자에게 청구 정지·취소 요청. 적립금·쿠폰만으로 환불하는 정책은 위반이고, 결제 수단으로 원복하는 것이 원칙입니다.
  9. 거래기록 보존 (전자상거래법 제6조, 시행령 제6조): 보존 기간은 다음과 같습니다. 표시 및 광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금결제 및 재화 등의 공급에 관한 기록 5년, 소비자의 불만 또는 분쟁처리에 관한 기록 3년. 이 기간 동안 소비자가 본인의 거래기록을 사이버몰에서 열람 및 확인할 수 있어야 합니다. 회원 탈퇴 후에도 이 기록은 별도 분리 보관합니다(파기 의무와의 조화).

5.  인터페이스 설계 (다크패턴 금지)

2025.2.14 시행, 2025.10.24 「전자상거래 등에서의 소비자보호 지침」 개정으로 구체적 해석 기준 마련. 2025.8.13 계도기간 종료 후 본격 단속 중.
  1. 숨은 갱신 금지 (전자상거래법 제13조 제6항): 정기결제(구독) 대금을 증액하거나 무료 체험을 유료로 전환하는 경우, 30일 이내에 소비자의 사전 동의를 받아야 합니다. 단순 통지가 아닌 명시적 동의(체크박스, 별도 버튼 등)가 필요합니다. 동의 없이 자동 결제 진행 시 위반이고, 2025년 OTT 사업자에 대한 첫 과태료 부과 사례의 핵심 사유였습니다.
  2. 순차공개 가격책정 금지 (전자상거래법 제21조의2 제1항 제1호): 가격을 처음 표시하는 화면에, 구매자가 구입 시 필수적으로 지급해야 하는 총금액을 표시해야 합니다. 배송비 및 필수 옵션 비용을 결제 단계에서야 공개하는 행위가 금지됩니다. 옵션이 다양해 총액이 변동되는 경우, "최소 ~원부터" 같은 명시 + 옵션 선택 즉시 총액을 갱신하는게 일반적인 방법입니다.
  3. 특정 옵션 사전선택 금지 (전자상거래법 제21조의2 제1항 제2호): 다른 상품 구매 여부를 묻는 선택항목을 제공할 때 미리 청약 의사가 있는 것으로 표시해 제공하는 것을 금지합니다. "함께 구매" 체크박스 사전 체크, 정기구독 항목 사전 체크, 보험/연회비 옵션 사전 선택 등이 해당. 옵션은 기본 미선택 상태로 두고, 소비자가 능동적으로 선택할수 있도록 해야합니다.
  4. 잘못된 계층구조 금지 (전자상거래법 제21조의2 제1항 제3호): 선택항목 간 크기, 모양, 색깔에 현저한 차이를 두어 특정 항목만 선택할 수 있는 것처럼 오인하게 하는 행위 금지. "동의" 버튼은 크고 컬러풀하게, "거부" 버튼은 작고 흐리게 표시하는 패턴이 대표적 위반입니다. 디자인 시스템 차원에서 동등한 시각적 비중을 적용해야 합니다.
  5. 취소·탈퇴 방해 금지 (전자상거래법 제21조의2 제1항 제4호): 정당한 사유 없이 구매 취소, 탈퇴, 해지 절차를 복잡하게 설계하거나, 가입과 다른 방법으로만(전화·방문) 가능하게 하는 행위 금지. 가입은 클릭 3번, 탈퇴는 ARS 통화하라는 OTT 사례들이 첫 과태료 부과 대상이었습니다. 회원탈퇴 버튼은 다른 요소와 시각적으로 구별되게, 직관적 경로(예: 계정관리 메뉴)에 배치하라는 게 공정위 권고사항입니다.
  6. 반복 간섭 금지 (전자상거래법 제21조의2 제1항 제5호): 이미 소비자가 결정한 사안에 대해 팝업 등으로 반복적으로 변경을 요구하는 행위 금지. (예: 광고 수신 거부한 사용자에게 매번 로그인 시 "수신 동의해 주세요" 팝업) "7일간 다시 보지 않기" 같은 재요청 방지 옵션을 함께 제공한 경우는 예외로 인정됩니다.

6.  결제

  1. 결제대금예치(에스크로) 또는 소비자피해보상보험 (전자상거래법 제24조 제2·3항): 선지급식 통신판매(상품 공급 전 대금 수령) 시 사업자는 (1) 결제대금예치 또는 소비자피해보상보험 체결을 사전에 준비해 두고(통신판매업 신고 시 증명 서류 필수), (2) 소비자에게 선택권을 고지하며(제13조 제2항 제10호), (3) 소비자가 실제로 선택한 경우 그 서비스를 제공해야 합니다(제24조 제2항). 다음은 적용 제외: 신용카드 결제, 디지털 콘텐츠(정보통신망 전송 재화), 분할 공급(구독), 다른 법률에 따라 구매 안전이 충분히 갖춰진 경우 또는 공정위 고시에 해당하는 거래. PG로 신용카드만 받는 일반 쇼핑몰은 적용 제외 사유에 포함되어 운영 단계 의무가 사실상 발동하지 않지만, 통신판매업 신고 시점에는 구매안전서비스 이용확인증을 PG사로부터 발급받아 제출해야 합니다. 즉 신고 단계 절차와 운영 단계 의무는 분리해서 이해해야 합니다.
  2. 카드 결제 거부 금지 (여신전문금융업법 제19조 제1항): 신용카드 가맹점이 카드 결제를 거부하거나 카드 결제를 이유로 불리하게 대우하는 것이 금지됩니다. 위반 시 1년 이하 징역 또는 1천만원 이하 벌금. 사이버몰은 PG가 자동 처리하는 구조라 카운터 거부 같은 전형적 위반은 발생하기 어렵지만, 다음 패턴은 위반에 해당합니다
    1. 결제수단별 가격 차등: "현금결제 5% 할인", "카드결제 시 +500원" 등 카드 페널티로 해석될 수 있는 표기 (제19조 제4항 수수료 전가와도 연결)
    2. 최소 결제금액 설정: "1만원 이상부터 카드결제 가능" 같은 제한
    3. 특정 카드사 선택적 제외: PG 가맹이 있음에도 특정 카드만 배제
    4. 결제 후 우회 취소: 카드 주문만 선별적으로 취소 처리. 반면 "무이자 할부 한정 적용, 카드사별 프로모션 차등, 해외 발급 카드 미지원(PG 미가맹)" 은 혜택 차이일 뿐 거부가 아닙니다. 실무상 결제 UI 설계와 마케팅 문구 검수 시점에 한 번 점검할 항목입니다.
  3. 가맹점 수수료 전가 금지 (여신전문금융업법 제19조 제4항): 카드 가맹점 수수료를 회원(소비자)에게 부담시키는 것이 금지됩니다. "카드 결제 시 +500원" 같은 표기는 명백한 위반입니다. 위반 시 1년 이하 징역 또는 1천만원 이하 벌금.
  4. 카드깡 및 가맹점 명의 관련 금지행위 (여신전문금융업법 제19조 제5항): (1) 실체 없는 가짜 거래, (2) 실제 매출 초과 거래(이상 흔히 "카드깡"), (3) 다른 가맹점 명의 사용, (4) 가맹점 명의를 타인에게 빌려주는 행위(이상 "위장가맹점")는 위법입니다. 처벌은 1년 이하 징역 또는 1천만원 이하 벌금.
  5. 카드 회원 신용정보의 업무 외 사용 금지 (여신전문금융업법 제19조의2): 결제 처리 등 본래 업무 목적 외에 카드 회원의 신용정보를 사용해서는 안 됩니다. 마케팅 분석, 추천 알고리즘 학습 등에 카드정보 사용 금지. 개인정보보호법상 목적 외 이용 금지와 중복 적용됩니다. (여기서 신용정보란 누군가의 금융, 상거래 활동과 그 사람을 식별할 수 있는 정보가 결합된 것을 말합니다.)
  6. 외부 유출 방지 의무 (여신전문금융업법 제19조의2): 카드 회원 신용정보가 외부에 유출되지 않도록 안전조치 의무. 개인정보보호법상 안전성 확보조치(2.11)와 중복 적용되며, 카드 정보 처리 환경에 대해서는 PCI-DSS(Payment Card Industry Data Security Standard) 수준의 통제가 사실상 요구됩니다.
  7. 카드 정보 자체 저장 금지 (신용정보법 + 카드사 가맹계약상 PCI-DSS 의무): 여전법에 직접 조항은 없지만 신용정보법 + 카드사 가맹계약상 PCI-DSS 준수 의무의 조합으로 사실상 강제됩니다. 일반 가맹점은 PG를 통해 카드정보가 PG의 환경에서만 처리되는 구조(PCI-DSS Compliant PG의 토큰 방식)를 채택하므로, 자체 DB에 카드번호를 저장할 일이 없습니다. 직접 저장하려면 PCI-DSS Level 1 인증과 카드사 별도 승인이 필요해 사실상 불가능합니다.

7.  광고

  • 사전 수신 동의 의무 (정보통신망법 제50조 제1항): 영리 목적 광고성 정보를 전자적 매체(이메일, SMS, 앱 푸시 등)로 보내려면 수신자의 명시적 사전 동의 필요. 예외: 거래 관계로 직접 연락처를 수집한 경우 6개월 이내 동종 재화 광고 가능.
  • 야간 발송 제한 (정보통신망법 제50조 제3항): 21시~익일 8시에 광고성 정보를 보내려면 별도 사전 동의가 필요합니다. 즉 일반 마케팅 동의 외에 "야간 수신 동의"를 추가로 받아야 합니다. 이메일은 야간 제한 예외. 도달 시각 기준이라 발송 시간을 추정해 조정해야 합니다.
  • 광고 표시 의무 (정보통신망법 제50조 제4항, 시행령 별표6): 광고 시작 부분에 "(광고)", 본문에 전송자 명칭·연락처, 끝 부분에 수신거부/철회 방법을 명시. (광/고), [광고], "광고", (ad) 같은 변칙 표기 금지(필터링 회피 의도로 간주). 앱 푸시 알림도 제목 앞 "(광고)" 표기 필수.
  • 부당한 표시·광고 행위 금지 (표시광고법 제3조, 전자상거래법 제21조 제1항 제1호): 거짓·과장, 기만적, 부당하게 비교, 비방하는 표시 및 광고 금지. 전자상거래에서의 거짓, 과장 광고는 형사처벌 대상이고, "최저가 보장" 같은 문구도 실증되지 않으면 위반입니다. 2025년 다크패턴 규제와 함께 공정위 단속이 강화됐습니다.
  • 중요 정보 공개 의무 (표시광고법 제4조): 공정위가 고시한 「중요정보 공개 고시」 항목(상품 종류별로 다름)을 표시 및 광고에 명시해야 합니다. 예: 다이어트 식품의 부작용, 화장품의 전성분, 기능성 표시 식품의 효능 한계 등.
  • 실증 책임 (표시광고법 제5조): 표시·광고에 사용된 사실 주장은 사업자가 실증할 수 있어야 하고, 공정위가 요구하면 15일 이내에 실증자료를 제출해야 합니다. "효과 200% 향상", "고객 만족도 1위" 같은 수치적/서열적 주장은 실증자료 없이 사용 시 즉시 위반. 광고 송출 전 실증자료를 확보하는 사전 검수 절차를 거치는 것이 안전합니다.
  • 수신 거부 처리 (정보통신망법 제50조 제2항·제7항): 수신자가 거부 의사를 표시하면 즉시 광고 발송 중단. 수신거부/철회 처리 결과를 14일 이내에 수신자에게 통지(전송자 명칭, 의사표시 사실, 일자, 처리 결과). 미통지 시 3천만원 이하 과태료. 수신거부 의사는 본사, 지사, 대리점에 모두 공유되는 것으로 간주됩니다.
  • 수신 동의 정기 확인 (정보통신망법 제50조 제8항): 최초 수신 동의를 받은 날부터 매 2년마다 수신 동의 유지 여부를 확인해야 합니다. 미응답 시 자동 유지로 처리되지만, 확인 자체를 누락하면 위반입니다. 2년마다 자동으로 확인 메일, 문자가 발송되도록 시스템화하는 게 일반적입니다.
  • 무료 수신 거부 수단 제공 (정보통신망법 제50조 제6항): 수신자가 수신거부/철회 시 발생하는 비용(전화요금 등)을 부담하지 않도록 해야 합니다. SMS의 경우 080 무료 거부 번호, 이메일은 1-click unsubscribe 링크가 일반적입니다. 추가 정보 입력 요구 및 로그인 요구 등으로 절차를 번거롭게 만드는 것은 금지됩니다(다크패턴 5번과 연결).

 

이번 글에서는 자사몰을 운영하는 통신판매업자가 지켜야 할 의무들을 다음과 같이 정리해 봤습니다.

  1. 사업 개시
  2. 개인정보보호
  3. 정보 표시
  4. 거래
  5. 인터페이스 설계 (다크패턴 금지)
  6. 결제
  7. 광고

 

다음 글에서는 통신판매중개업자(커머스 플랫폼 운영자)와 통신판매중개의뢰자(입점 판매자)에게 적용되는 의무를 다뤄 보겠습니다. 자사몰에서 플랫폼으로 확장할 때 어떤 점이 달라지는지에 초점을 맞춰 정리해 볼 예정입니다.

 

본 글은 개발자 시점에서 정리한 자료이며, 법률 자문이 아닙니다. 실제 사업 진행 시에는 관할 기관 또는 전문가의 검토를 받으시기 바랍니다. 또한 법령은 개정될 수 있으므로 글 작성 시점(2026년 5월) 이후의 변경사항은 반영되어 있지 않을 수 있습니다.

 

저작자표시 (새창열림)

티스토리툴바