AI 광고 계정 권한 감사 체크리스트 2026, Google Ads·Meta·대행사 계정을 연결하기 전 확인할 기준
AI 광고 계정 권한 감사 체크리스트 2026, Google Ads·Meta·대행사 계정을 연결하기 전 확인할 기준
광고 운영을 대행사, 프리랜서, AI 광고 자동화 도구와 함께 시작할 때 가장 먼저 묻는 것은 보통 "성과가 좋아질까"입니다. 하지만 연결 버튼을 누르기 전에는 다른 질문이 먼저 필요합니다. 이 계정에서 누가 캠페인을 만들 수 있고, 누가 결제 정보를 볼 수 있고, 누가 픽셀과 전환을 바꿀 수 있고, 누가 고객 목록을 업로드하거나 공유할 수 있는가입니다.
Google Ads, Meta Business, Microsoft Advertising은 모두 여러 사용자와 파트너를 초대할 수 있습니다. 편리하지만 권한 범위가 넓습니다. 광고 계정 권한은 캠페인 수정 권한만 뜻하지 않습니다. 결제, 전환 목표, 픽셀, 고객 목록, 연결된 계정, 대행사 manager 계정까지 함께 봐야 합니다.
이 글은 법률 자문이나 개인정보보호 컨설팅이 아닙니다. 광고 성과, 매출, 전환율 개선을 보장하지도 않습니다. 작은 팀이 광고 계정을 외부 파트너나 AI 자동화 도구와 연결하기 전 실수를 줄이기 위한 운영 체크리스트입니다. 실제 적용 전에는 회사 정책, 플랫폼별 최신 공식 문서, 내부 개인정보 처리 기준을 다시 확인해야 합니다.
공식 문서 확인 기준은 2026년 6월 25일입니다.
먼저 결론부터 보면
광고 계정을 외부 파트너와 연결하기 전에는 아래 12개 질문에 답해야 합니다.
| 항목 | 확인 질문 |
|---|---|
| 계정 owner | 광고 계정 최종 관리자와 결제 책임자가 내부 인원인가 |
| 초대 목적 | 캠페인 운영, 리포트 확인, 전환 설정, 결제 관리 중 무엇이 목적인가 |
| 관리자 권한 | 외부 파트너에게 full admin이 꼭 필요한가 |
| manager 연결 | Google Ads manager account 또는 Microsoft manager account 연결 범위를 확인했는가 |
| Meta 파트너 | Business portfolio의 partner 권한이 광고 계정 단위로 제한됐는가 |
| 결제 접근 | 결제 수단, 청구서, 지출 한도 변경 권한을 분리했는가 |
| 픽셀 접근 | Meta Pixel, Conversions API, UET tag 같은 데이터 소스 권한을 별도 점검했는가 |
| 전환 목표 | 전환 action, event, goal을 외부 파트너가 바꿀 수 있는가 |
| 고객 목록 | Customer Match, Custom Audiences, customer lists 접근 권한을 제한했는가 |
| 연결 계정 | Merchant Center, CRM, 앱, 데이터 소스 연결을 기록했는가 |
| 종료일 | 대행사 계약 종료일과 권한 회수 담당자가 정해졌는가 |
| 감사 로그 | 누가 언제 권한을 주고 회수했는지 남길 수 있는가 |
고객 목록을 광고 오디언스로 동기화하는 기준은 AI 광고 오디언스 동기화 보안 체크리스트에서 따로 다뤘습니다. GA4와 Google Tag Manager 권한은 GA4·Google Tag Manager 권한 감사 체크리스트를 함께 봐야 합니다. 이번 글은 광고 플랫폼 계정 자체의 사용자, 파트너, 결제, 픽셀, 전환, 고객목록 권한에 집중합니다.
AI 마케팅 자동화 도구를 같이 쓰고 있다면 AI 마케팅 자동화 보안 체크리스트도 연결해서 봐야 합니다. 광고비 결제 권한과 SaaS 관리자 인수인계는 SaaS 결제 관리자 인수인계 체크리스트와 이어집니다.
광고 계정 권한은 5개 층으로 나눠 보기
광고 계정 감사는 "관리자 몇 명인가"만 보면 부족합니다. 실제 운영에서는 권한이 아래처럼 층으로 나뉩니다.
| 권한 층 | 예 | 점검 기준 |
|---|---|---|
| 계정 관리 | 사용자 초대, partner 연결, manager account 연결 | 내부 owner 중심으로 제한 |
| 캠페인 운영 | 캠페인 생성, 예산 수정, 광고 소재 변경 | 대행사에 허용 가능하나 한도 기록 |
| 결제 | 결제 수단, 청구서, 지출 한도, 세금 정보 | 외부 파트너 기본 차단 |
| 데이터 소스 | pixel, CAPI, UET tag, offline conversion | 변경 전 내부 승인 |
| 고객 목록 | Customer Match, Custom Audiences, customer lists | 업로드·공유·삭제 권한 최소화 |
AI 광고 도구를 연결할 때도 이 표를 기준으로 봅니다. 도구가 캠페인 이름과 성과만 읽는지, 예산을 자동으로 바꾸는지, 고객 목록을 만들거나 업로드하는지, 전환 목표를 수정하는지에 따라 위험이 달라집니다.
Google Ads에서 확인할 권한 기준
Google Ads 도움말은 계정 접근 권한을 admin, standard, read-only, billing 등으로 나눠 설명합니다. 사용자별 접근 수준에 따라 계정 설정, 캠페인, 결제 작업 가능 범위가 달라집니다.
참고: Google Ads Help – About access levels in your Google Ads account
Google Ads manager account는 여러 Google Ads 계정을 한곳에서 관리할 수 있는 구조입니다. 대행사가 manager account로 연결하면 개별 사용자 초대와 다른 방식으로 접근이 열립니다.
참고: Google Ads Help – About manager accounts
Google Ads에는 다른 Google 제품과 서비스를 연결하는 linked accounts 기능도 있습니다. Merchant Center, YouTube channel, Firebase, apps, Analytics 등 연결된 계정은 광고 운영과 데이터 흐름에 영향을 줍니다.
참고: Google Ads Help – Link accounts to Google Ads
Google Ads 권한을 열기 전에는 아래 표를 확인합니다.
| 항목 | 실무 질문 |
|---|---|
| admin | 외부 대행사가 사용자 초대와 계정 설정 변경까지 해야 하는가 |
| standard | 캠페인 운영에 필요한 범위만 열었는가 |
| read-only | 리포트 확인만 필요한 사람에게 편집 권한을 주지 않았는가 |
| billing | 결제 수단과 청구 정보 접근자를 내부 인원으로 제한했는가 |
| manager account | 어떤 manager account가 연결됐고 owner가 누구인지 기록했는가 |
| linked accounts | Merchant Center, YouTube, Analytics, 앱 연결을 확인했는가 |
| Customer Match | 고객 목록 업로드 권한과 캠페인 연결 범위를 제한했는가 |
| conversion actions | 전환 action 생성·수정 권한을 승인 절차에 넣었는가 |
대행사가 캠페인을 운영해야 한다고 해서 billing이나 admin이 항상 필요한 것은 아닙니다. 관리자 권한은 사용자 초대, 계정 설정, 연결 변경으로 이어질 수 있으므로 작업 목적이 분명할 때만 열어야 합니다.
Meta Business에서 확인할 권한 기준
Meta Business는 Business portfolio 안에서 사람, 파트너, asset 권한을 관리합니다. 광고 계정뿐 아니라 Page, Instagram account, Pixel, dataset, catalog 같은 asset이 함께 연결될 수 있습니다.
참고: Meta Business Help – Add people to your business portfolio
외부 대행사는 보통 partner로 추가합니다. 이때 Business portfolio 전체를 넓게 열지 말고 필요한 asset과 task만 지정해야 합니다.
참고: Meta Business Help – Add partners to your business portfolio
Meta 광고 계정 권한은 campaign 관리만이 아닙니다. 광고 계정, Pixel, dataset, catalog, custom audience, 결제 설정이 함께 얽힐 수 있습니다.
참고: Meta Business Help – Manage ad account permissions
Meta Business 권한을 열기 전에는 아래를 확인합니다.
| 항목 | 실무 질문 |
|---|---|
| business admin | 내부 owner 외에 business admin이 남아 있지 않은가 |
| people | 퇴사자, 이전 프리랜서, 임시 계정이 남아 있지 않은가 |
| partners | 대행사 partner가 필요한 광고 계정만 접근하는가 |
| ad account task | 캠페인 관리, 성과 보기, 결제 관리 권한을 분리했는가 |
| Pixel·dataset | Pixel, Conversions API, dataset 변경 권한을 별도 승인으로 뒀는가 |
| Custom Audiences | 고객 목록 기반 맞춤 타깃 생성과 공유 권한을 제한했는가 |
| payment | 결제 수단과 spending limit 변경자를 내부 인원으로 제한했는가 |
| catalog | 상품 catalog와 commerce 연결 권한이 불필요하게 열리지 않았는가 |
Meta에서는 partner를 한 번 추가한 뒤 asset 권한을 계속 넓히는 일이 잦습니다. 대행사 변경 때 광고 계정만 보는 것이 아니라 Pixel, dataset, catalog, Page, Instagram 계정까지 함께 회수해야 합니다.
Microsoft Advertising에서 확인할 권한 기준
Microsoft Advertising도 사용자 역할과 account access를 나눠 관리합니다. 광고 계정 운영, 결제, 관리자 작업 가능 범위가 역할에 따라 달라집니다.
참고: Microsoft Advertising Help – User roles
계정에 사용자를 초대하거나 접근 권한을 관리하는 절차도 공식 도움말에서 확인할 수 있습니다.
참고: Microsoft Advertising Help – Invite users to access your account
Microsoft Advertising 권한 점검표는 아래처럼 둡니다.
| 항목 | 실무 질문 |
|---|---|
| super admin | 외부 파트너가 super admin이어야 하는 이유가 있는가 |
| standard user | 캠페인 운영자에게 필요한 권한만 열었는가 |
| advertiser campaign manager | 캠페인 관리 전용 역할로 충분한가 |
| viewer | 성과 확인만 필요한 사람에게 viewer를 썼는가 |
| billing | 결제와 청구 관련 권한을 내부 담당자로 제한했는가 |
| manager account | 대행사의 manager 계정 연결과 해제 절차를 기록했는가 |
| UET tag | Universal Event Tracking tag 변경 권한을 승인 절차로 관리하는가 |
| customer lists | 고객 목록 업로드와 remarketing list 접근을 제한했는가 |
Microsoft Advertising은 Google Ads나 Meta보다 계정 수가 적어 보여도 같은 기준으로 봐야 합니다. 특히 UET tag와 customer lists는 전환 측정과 remarketing에 직접 연결되므로 캠페인 권한과 별도로 점검합니다.
대행사와 파트너 권한 회수 기준
광고 대행사를 바꾸거나 계약이 끝났을 때는 캠페인 운영 권한만 회수하면 부족합니다. manager account 연결, partner asset 권한, 결제 접근, 고객 목록, 픽셀, 전환, 보고서 공유까지 확인해야 합니다.
| 회수 항목 | 확인할 것 |
|---|---|
| 사용자 | 대행사 이메일, 프리랜서 계정, 임시 계정 제거 |
| manager 연결 | Google Ads manager account, Microsoft manager account 연결 해제 |
| Meta partner | Business portfolio partner 권한 제거 |
| 광고 계정 | 캠페인 생성·수정·예산 변경 권한 회수 |
| 결제 | 결제 수단, invoice, spending limit 접근 제거 |
| 픽셀·태그 | Pixel, CAPI, UET tag, offline conversion 변경 권한 회수 |
| 고객 목록 | Customer Match, Custom Audiences, customer lists 접근 확인 |
| 공유 문서 | 리포트 dashboard, spreadsheet, Looker Studio 공유 권한 확인 |
| 자동화 | Zapier, Make, CRM, AI 광고 도구 연결 해제 |
| 로그 | 회수일, 담당자, 남은 예외 권한 기록 |
계약 종료일 하루 전에는 광고 운영 continuity 때문에 권한을 바로 끊기 어렵습니다. 그래서 종료일, 인수인계일, 최종 회수일을 나눠 두는 편이 좋습니다. 단, 결제와 관리자 권한은 가능한 빨리 내부 담당자에게만 남겨야 합니다.
결제 권한은 캠페인 권한과 분리하기
광고 계정에서 결제 권한은 별도로 봐야 합니다. 외부 파트너가 캠페인 예산을 조정하는 것과 결제 수단, 청구 정보, 세금 정보, invoice를 볼 수 있는 것은 다릅니다.
| 결제 항목 | 기본 기준 |
|---|---|
| 결제 수단 | 내부 owner와 재무 담당자 중심으로 제한 |
| invoice | 필요한 경우 read-only 공유 또는 별도 회계 절차 사용 |
| spending limit | 변경 전 내부 승인 필요 |
| account budget | 캠페인 운영자와 결제 승인자를 분리 |
| 세금 정보 | 외부 대행사 접근 기본 차단 |
| 미수·정지 알림 | 내부 owner가 직접 받도록 설정 |
광고비 결제는 SaaS 구독 결제와 비슷하게 인수인계가 필요합니다. 카드 담당자가 퇴사했거나 대행사 카드로 임시 결제한 계정은 나중에 계정 회수와 청구 증빙에서 문제가 생길 수 있습니다.
픽셀, 전환, 고객목록 접근 범위 점검
광고 계정 권한 감사에서 가장 놓치기 쉬운 부분은 데이터 소스입니다. 캠페인을 못 바꾸는 계정이라도 Pixel, CAPI, UET tag, conversion action, offline conversion, customer list에 접근할 수 있으면 데이터 흐름을 바꿀 수 있습니다.
| 데이터 항목 | 확인 질문 |
|---|---|
| Meta Pixel | partner가 Pixel 설정과 event를 바꿀 수 있는가 |
| Conversions API | 서버 이벤트 access token과 연결 도구 owner가 누구인가 |
| Google conversion actions | 입찰에 쓰이는 primary conversion을 바꿀 수 있는가 |
| Microsoft UET tag | UET tag와 goal 변경 권한이 누구에게 있는가 |
| offline conversion | CRM 또는 CSV 업로드 권한자가 제한되어 있는가 |
| Customer Match | 고객 목록 업로드, 수정, 삭제 권한을 최소화했는가 |
| Custom Audiences | 고객 목록 기반 audience를 다른 계정과 공유하지 않는가 |
| customer lists | remarketing list와 제외 목록 owner가 문서화됐는가 |
이 항목은 GA4나 GTM 권한 감사와 다릅니다. 여기서는 광고 플랫폼 안에 있는 전환 목표, 광고 최적화 기준, 고객 목록, 데이터 소스 접근을 봅니다. 측정 태그 자체를 고치는 작업은 별도 절차로 분리하는 편이 좋습니다.
월간 광고 계정 권한 감사표
월 1회 아래 표만 채워도 권한 방치가 줄어듭니다.
| 점검 항목 | 확인 결과 |
|---|---|
| Google Ads admin이 내부 owner 중심인가 | |
| Google Ads manager account 연결이 현재 대행사와 일치하는가 | |
| Google Ads billing 접근자가 내부 인원인가 | |
| Meta Business admin과 partner 목록을 확인했는가 | |
| Meta Pixel, dataset, Custom Audiences 권한을 확인했는가 | |
| Microsoft Advertising super admin이 내부 인원인가 | |
| UET tag와 conversion goal 변경 권한을 확인했는가 | |
| 고객 목록 업로드 권한자가 최소 인원인가 | |
| 대행사 종료일과 권한 회수일이 문서화됐는가 | |
| AI 광고 자동화 도구의 읽기·쓰기 범위를 확인했는가 | |
| 결제 수단과 spending limit 변경 권한을 분리했는가 | |
| 퇴사자, 이전 대행사, 임시 계정을 제거했는가 |
이 표는 복잡한 보안 문서가 아니라 운영 점검표입니다. 담당자가 바뀌어도 "누가 광고 계정을 소유하고, 누가 결제를 관리하고, 누가 데이터 소스를 바꿀 수 있는가"를 바로 볼 수 있어야 합니다.
공개 전 마지막 체크리스트
광고 계정을 외부 파트너나 AI 도구와 연결하기 전에는 아래 10개를 마지막으로 확인합니다.
| 번호 | 체크 항목 |
|---|---|
| 1 | 광고 계정 owner와 결제 owner가 내부 인원이다 |
| 2 | 외부 파트너에게 admin이나 super admin을 기본 부여하지 않는다 |
| 3 | Google Ads manager account 연결 목적과 종료일을 기록했다 |
| 4 | Meta Business partner 권한을 필요한 asset으로 제한했다 |
| 5 | Microsoft Advertising 사용자 역할을 작업 목적에 맞게 낮췄다 |
| 6 | 결제 수단, 청구서, spending limit 접근 권한을 분리했다 |
| 7 | Pixel, CAPI, UET tag, conversion action 변경 권한을 별도 점검했다 |
| 8 | Customer Match, Custom Audiences, customer lists 접근자를 최소화했다 |
| 9 | 대행사 변경 시 사용자, partner, manager, 자동화 연결 회수 절차가 있다 |
| 10 | 월 1회 권한 감사표를 업데이트할 담당자를 정했다 |
광고 계정 권한 감사의 목적은 광고 운영을 느리게 만드는 것이 아닙니다. 누가 무엇을 바꿀 수 있는지 분명히 해서 캠페인 운영, 결제, 전환 측정, 고객 목록 관리가 서로 섞이지 않게 만드는 것입니다.
작은 팀일수록 처음부터 복잡한 보안 체계를 만들기는 어렵습니다. 대신 외부 파트너를 초대할 때마다 목적, 권한, 종료일, 회수 담당자 네 가지만 남겨도 사고 가능성을 크게 줄일 수 있습니다.
About The Author
