FTC 공식 가이드·16 CFR Part 316 기반 요건 정리와, beta DB 실발송 데이터로 본 린다의 준수 현황·리스크.
opt-out(사후 거부) 모델. 사전 동의는 불요하나, 아래 7개 형식·행위 요건을 강제. B2B에도 예외 없이 100% 적용.
| # | 요건 | 핵심 규정 |
|---|---|---|
| 1 | 발신 정보(header) 비기만 | From/Reply-To/도메인이 정확하고 발신 주체를 정확히 식별. 위조·은닉 금지 |
| 2 | 제목 비기만 | 제목이 내용을 정확 반영. 거래성 위장 금지(Experian 제재 사유) |
| 3 | 광고임을 명시 | 광고임을 clear & conspicuous하게 고지 |
| 4 | 유효한 물리적 우편주소 | 본문에 발신자 등록 우편주소 포함 — 가두주소 / USPS 등록 PO Box / CMRA 등록 사서함 |
| 5 | opt-out 방법 제공 | 수신거부를 clear & conspicuous하게. 회신 또는 웹 1페이지로 가능, “전체 거부” 옵션 필수 |
| 6 | opt-out 신속 처리 | 거부 메커니즘 30일 이상 작동 + 요청 10영업일 내 반영. 수수료·추가정보·추가단계 요구 금지 |
| 7 | 위탁해도 양쪽 책임 | 대행 발송이어도 광고주·발송자 양쪽 법적 책임 — 떠넘겨 면책 불가 |
연도별 추이: $50,120 → $51,744 → $53,088(2025-01-17 발효, 매년 인플레 조정). 이론상 1,000통 위반 = 최대 약 $5,300만 노출(FTC는 실무상 행위·규모 기준 협상).
| 집행 사례 | 금액 | 위반 |
|---|---|---|
| Verkada Inc. (2024-08) | $2.95M | unsubscribe 없음 + opt-out 무시 + 물리주소 누락 |
| Experian Consumer Services | $650,000 | opt-out 사용자에 발송 + 마케팅을 거래성으로 위장 |
집행 주체: FTC(주력)·DOJ(형사)·주 법무장관·FCC.
| B2B 적용 | FTC 명문: “The law makes no exception for business-to-business email.” 콜드 아웃리치 전면 적용 |
| 사전동의 | 불요(opt-out 모델). 동의 없이 발송 가능하되 7대 요건 + 거부 즉시 중단이 조건 |
| 국제 발송 | 수신자 소재지 기준 역외 적용. 미국 수신자면 한국 발신·한국 서버여도 적용 |
| commercial 판정 | primary purpose가 상업 광고/판촉이면 전체 요건. 제목만으로 광고로 보이거나 거래성 콘텐츠가 앞부분에 없으면 commercial로 간주 |
beta PostgreSQL 최근 2일 실측(52,437건).
| 국가 | 발송(2일) | 적용 법 |
|---|---|---|
| 🇺🇸 미국 (United States + 미국) | ≈ 2,456 | CAN-SPAM |
| 🇳🇱 네덜란드 / 🇬🇧 영국 / 🇩🇪 독일 / 🇫🇷 프랑스 / 🇵🇱 폴란드 / 🇧🇪 벨기에 / 🇮🇹 이탈리아 … | EU 합산 다수(네덜란드 3,149 외) | GDPR/ePrivacy |
| 🇯🇵 일본 | ≈ 3,406 | opt-in 위반 소지 |
| 🇰🇷 한국 | 2,415 | 정보통신망법 opt-in |
| 🇦🇺 호주 / 🇧🇷 브라질 / 🇳🇴 노르웨이 / 🇻🇳 베트남 / 🇨🇦 캐나다 … | 각 700~2,300 | 각국 안티스팸법 |
| 요건 | 린다 현황 (실측) | 판정 |
|---|---|---|
| #4 물리주소 | compliance footer 주입 25/52,437건 = 0.05%. 실발송 본문엔 수신거부 버튼만, 발신자 등록주소 없음 | 위반 노출 |
| #5 본문 unsubscribe | 본문 박힌 unsubscribe 블록 98.7%로 존재 (One-Click 헤더도 적용) | 대체로 충족 |
| #6 거부 처리 | List-Unsubscribe 토큰 기반 — 처리 시한(48h/10일) 운영 점검 필요 | 확인 요 |
| 고지 언어 일치 | 한국어 캠페인 5,661건 중 99.8%가 영어 수신거부. 본문↔고지 언어 불일치 | 리스크 |
| #1 헤더 인증 | SES/Unipile 발송 — SPF/DKIM/DMARC 정렬 상시 점검 전제 | 전제 충족 |
buildComplianceFooter가 실발송 경로에 연결되지 않아(0.05%), 미국 수신 전량이 물리주소 누락 상태로 나갑니다. 템플릿 footer 하나로 전 캠페인에 일괄 발생하는 전형적 형식 위반입니다.
FTC는 “반드시 영어”라고 규정하지 않지만, opt-out·물리주소·광고 명시는 보통 수신자가 이해 가능해야 의미가 있습니다. 본문과 고지 언어가 어긋나면(영어 본문+한국어 footer, 또는 한국어 본문+영어 수신거부) “clear and conspicuous” 충족이 다투어질 여지가 있고 “은닉”으로 해석될 위험이 있습니다.
| CAN-SPAM | Gmail/Yahoo 벌크(2024-02~) | |
|---|---|---|
| 성격 | 연방 법률(민사·형사) | 민간 정책(전달 차단·스팸) |
| 트리거 | 모든 commercial email | Gmail/Yahoo에 하루 5,000통+ |
| 수신거부 | 본문 가시 링크 + 10영업일 | One-Click List-Unsubscribe 헤더 + 48시간 |
| 인증 | 명시 의무 아님 | SPF+DKIM+DMARC 의무 |
| 스팸률 | 규정 없음 | 0.3% 미만(권장 0.1%) |
One-Click 헤더(RFC 8058)는 CAN-SPAM의 본문 unsubscribe 링크를 대체하지 않고 보완. 처리 시한은 더 엄격한 48시간으로 통일하는 게 안전. 린다는 17만통/주 규모라 5,000통/일 기준을 크게 초과 → Gmail/Yahoo 요건도 강제 대상.
| 분류 | 요건 | 린다 액션 | 우선 |
|---|---|---|---|
| 형식 | 모든 발송 footer에 유효 물리주소 자동 삽입 | buildComplianceFooter를 전 실발송 경로에 연결 (현 0.05%→100%). workspaces.legal_* 강제 입력 | P0 |
| 헤더/제목 비기만 + 인증 정렬 | SPF/DKIM/DMARC 상시 점검 (대체로 충족) | 유지 | |
| 수신거부 | 본문 가시 unsubscribe + One-Click 헤더 | 이미 적용 — footer 일원화 시 유지 | 유지 |
| 거부 48시간 내 처리 + 30일 작동 | 처리 SLA·suppression 동작 점검 | P1 | |
| suppression 전역 관리(WS 간 누수 방지) | 거부 주소 전역 차단 검증 | P1 | |
| 언어 | 고지 = 본문 언어 | footer 언어 SSOT = 시퀀스 발송 언어로 통일 | P1 |
| 국제 | 수신자별 관할 중첩(미 opt-out / EU·한·일 opt-in) | opt-in 국가 타깃 경고 또는 미·영·프 중심 가이드 | P2 |
legal_* 주소 입력 강제 → ② buildComplianceFooter를 실발송에 실제 주입 두 가지가 최우선. 이것만으로 가장 큰 건별 누적 리스크가 제거됩니다.
FTC — CAN-SPAM Act: A Compliance Guide for Business · Candid answers to CAN-SPAM questions · Federal Register — Definitions (2008) · Prospeo — Penalties Per Email 2026 · Prospeo — Physical Address Requirement · USPS — CMRA · RevNew — B2B Compliance · Cornell LII — Core Requirements · Gmail sender guidelines · Mailgun — RFC 8058