| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- OS
- 메모리
- package-private
- Public
- 운영체제
- 우리카드
- IT
- 신입사원
- 알고리즘
- 공채
- 깃
- 정보처리기사
- 디지털
- 스터디
- 깃허브
- 컴퓨터공학
- 스프링
- 세마포어
- 이펙티브 자바
- 자바
- CS
- Effective Java
- 컴퓨터과학
- 프로그래밍
- java
- 개발
- spring
- 뮤텍스
- 신입
- github
- Today
- Total
주니어 개발자 성장기
구글의 서드파티 쿠키 사용 중단 정책 철회 본문
테크 아티클 번역, 요약 - 1
본 글은 Simple Analytics의 블로그를 번역한 글입니다.
Published on Aug 1, 2024 by Carlo Cilento
3줄 요약
구글은 공식적으로 크롬 브라우저에서 기존의 장기 지연된 서드파티 쿠키 사용 중단 계획을 폐기했다.
이는 인터넷 애드테크 생태계에 큰 영향을 미칠 것이다. 또한 구글은 EU, 미의회 등 다양한 곳으로부터 계속해서 압박을 받을 것이다
Third-party cookie?
먼저, 쿠키란 브라우저가 서버와 교환하는 작은 파일이다. 타겟 광고, 유저 인증, UI 설정 또는 장바구니 목록 저장 등 다양한 목적으로 사용되곤 한다.
그리고 First-Party Cookie는 사용자가 접속한 도메인에서 직접 사용하는 쿠키를 말한다. 반면, Thrid-party cookie는 접속 도메인이 아닌 외부 도메인에서 사용하는 제 3의 쿠키를 말한다. 예를 들어서, news.com 도메인에 adnetwork.com의 광고가 게시되어 있다고 할 때, 사용자가 news.com에 접속하면 news.com과 교환하는 쿠키는 퍼스트파티 쿠키, adnetwokr.com과 교환하는 쿠키는 서드파티 쿠키이다.
이런 서드파티 쿠키는 타겟광고에 매우 유용하다. 왜냐면 쿠키로 웹서핑 습관에 따른 유저별 관심사를 파악해서 관심있을만한 광고를 노출시킬 수 있기 때문이다.
서드파티 쿠키의 문제점
서드파티 쿠키의 문제점은 웹사이트가 사용자의 웹 브라우징 행위를 알게됨으로써 사생활 침해, 악의적인 광고 노출 등 다양한 문제점이 생길 수 있다.
더 심각한 점은 웹사이트가 유저 정보를 갖고 있기만 하는 것이 아니라는 것이다. 타겟광고는 광고에 입찰하는 모든 광고주에게 (심지어는 입찰에 실패하는 광고주에게도) 유저들의 개인 정보를 제공하기 때문이다. 이런 타겟광고의 실시간 입찰 환경은 ICCL에 자세히 설명되어 있다. 이런 프라이버시 이슈에도 불구하고 서드파티 쿠키는 애드 테크의 필수요소로 오랫동안 자리 잡았다.
하지만 대중의 개인정보 프라이버시에 관한 관심이 나날이 높아지고 있고, GDPR(EU에서 통과된 법안)의 영향으로 전 세계에서 강력한 개인정보 보호 법안이 통과되는 추세에 있다. 즉, 현재는 이런 규제가 없던 Web 2.0의 시대와는 다르기 때문에 애드 테크 업계는 어쩔 수 없이 퍼스트파티 데이터를 활용하며 변화에 적응하고 있다.
구글과 서드파티 쿠키
구글 크롬은 전세계 브라우저 시장에서 65%를 차지하는 메이저 브라우저다. 그리고 서드파티 쿠키를 기본값으로 허용하는 유일한 메이저 브라우저이기도 하다. 다시 말해서, 구글이 서드파티 쿠키의 생명을 유지하는 것이나 다름없다.
구글의 동기는 명확하다. 애드테크 산업을 독점하고 있기 때문이다.(이것이 바로 미 법무부가 애드테크 사업을 분리하려는 부수적인 이유다.) 구글은 Google 360, AdExchange, DoubleClick, and Google Analytics 등 애드테크 환경을 지원하는 주요 서비스들을 많이 소유하고 있다.
장기간에 걸쳐 구글의 애드테크 서비스는 서드파트 쿠키로 유저의 개인정보를 침해하는 유저 트래킹(추적)에 힘입어 높은 수익성을 낼 수 있었다. 하지만 결국 구글조차도 웹사이트에서 유저들을 트래킹하는 것이 장기적으로 지속할수 없다는 것을 인정했다. 그래서 구글은 애드테크 제국을 유지하면서도 서드파티 쿠키를 넘어서기 위한 방법들을 실험하기 시작했다.
구글의 서드파티 쿠키를 대체하기 위한 계획은 몇가지 주요한 키포인트를 축으로 한다. 구글은 프라이버시 친화적인 타겟 광고를 유도하는 새로운 표준과 아이디어를 연구하기 시작했다. 이러한 것들을 총칭해서 소위 프라이버시 샌드박스라고 한다. 구글은 표준을 개발할 뿐 아니라 서드파티 쿠키와 Universal Analytics(서드파티 쿠키로 동작하는 Google Analytics의 옛 버전이다.)를 사용 자제(Deprecate)함으로써 이해관계자들이 새 표준을 받아들일 수 있도록 유도하고 있다.
하지만 계획은 예상대로 흘러가지 않았다. 구글은 2020년에 처음 2022년을 기한으로 쿠키를 사용 중단하겠다고 발표했지만, 2023년, 2024년, 2025년 미루다가 결국 계획을 폐기했다. 그래서 쿠키 Deprecation은 테크 커뮤니티에서는 일종의 농담처럼 되어버리기도 했다.
왜 구글은 쿠키를 폐기하지 않았는가?
구글은 서드파티 쿠키를 대체하는데 실패해서 폐기하지 못했다. 첫 시도인 FLoC(Federated Learning of Cohorts)는 프라이버시 옹호자들, 규제 기관, 일부 이해관계자들의 반발로 폐기되었고, 구글은 Topics라는 것을 다시 제안했지만 FLoC와 같은 운명을 맞이하게 됐다.
Topics에 대해 간략하게 말하자면 Topics는 유저의 관심사를 파악해 광고주에게 브로드캐스트하기 위해 방문 기록을 분석한다. FLoC에서와 마찬가지로 이런 분석은 크롬 브라우저가 직접 수행하며 구글의 서버가 개입하지 않는다.
모두가 Topics를 찬성하지는 않았다. 다른 브라우저의 개발자들은(마이크로소프트를 제외하고) 10 피트 장대로 Topics를 건드리지 않았다.(굳이 도입하지 않았다는 이야기인듯) 그들은 브라우저가 유저 에이전트 라는 점을 강조하면서, 브라우저는 개발자가 아니라 사용자의 이익을 위해 동작해야 한다고 했다.
Topics는 이외에 다른 문제점도 가지고 있다. 프라이버시 옹호자들은 구글이 크롬 사용자들에게 사용 동의를 얻기 위해서 "프라이버시 기능"이라고 Topics를 표현하는 사탕 발림을 하며 기만적인 언어를 쓰고 있다고 주장한다. 모질라 재단이 Topics를 깊게 조사한 결과, 재인증 공격 취약점을 부각시킬 수 있었다. 마지막으로 중요한 것은, 영국 프라이버시 보호 감시 기관과 반독점 당국 모두 Topics에 이슈를 제기했다.
구글은 무엇을 할 것인가?
구글은 현재 프라이버시 샌드박스를 완전히 폐기하지는 않았으나 그렇다고 서드파티 쿠키를 곧 바로 폐기할 계획은 없어 보인다. 그래서 서드파티 쿠키를 교체하는 것은 잘해봐야 장기적인 목표라고 할 수 있다.
현재 구글은 다음 행보에 대해 모호한 입장을 취하고 있다. 구글 블로그에는 "크롬에서 사용자들이 웹 브라우징을하며 정보가 충분한 상태로 선택할 수 있는 새로운 경험"을 위해 노력하고 있다고 언급하고 있는데, 마치 서드파티 쿠키에 더 강한 제한이 시행될 것처럼 들린다.
이 "새로운 경험"이 어떻게 프라이버시를 위한 의미 있는 변화를 대변할지는 알기 어렵다. 다시 말하자면, 크롬은 쿠키를 허용하는 유일한 주류(메이저) 브라우저다. 사파리, 파이어폭스, 심지어 마이크로소프트 엣지도 프라이버시 친화적인 쿠키 세팅이 제공된다. 오직 크롬만이 기본적으로 침투적(invasive)이다.
하지만, 유저들은"언제든 선택을 바꿀 수 있다."고 할수 있습니다. 마치, 개인정보에 대한 어느 정도의 통제권을 누리는 것이 EU와 전세계 많은 국가에서 법적 요구에 의해서가 아니라 구글의 은혜로운 배려덕분인 것처럼 말이다.
프라이버시에 시사하는 바는?
서드파티 쿠키는 여전히 존재하고 성가시다. 반면에, 브라우저를 트래킹 머신으로 바꾸는 제안이 마땅한 반발에 부딪힌 것에는 만족한다. 이런 반발로 인해 구글은 프라이버시와 광고의 필요성 사이의 균형을 맞출 수 있는 좋은 제안을 내놓을 수도 있다.
하지만 이런 균형이 가능하기나 할까?
대중들은 몇 번이고 트래킹을 싫어한다는 것을 보여줬다. 애플이 2020년 서드파티 트래킹에 대한 유저의 제어 기능을 구현했을 때, 무려 96%의 미국 사용자가 트래킹을 거부했으며, 이는 광고주들의 우려를 뛰어 넘는 수치다. 업계에서 구글의 Topics처럼 유저들에게 덜 추척한다고 약속한다고 해서 대중들의 반응이 과연 더 좋을까?
이 의문은 단지 이론에만 머무르는 것이 아니다. 매년 전세계의 프라이버시 관련 법이 점점 더 개인 정보에 대한 유저의 통제권을 강화시키고 있고 많은 경우에 유저 트래킹에 대한 유저의 동의를 요구한다. 이것이 바로 상업적 감시(광고를 위한 트래킹)이 유저에 대한 협박과 속임수에 기반하는 이유다.
우리는 이 두 가지 전략을 흔히 볼 수 있다. 구글은 Topics에 속임수를 썼고 메타는 페이스북과 인스타그램에서 take-it-or-leave-it 강탈 전략을 택했다. 이것은 단지 빅테크에만 해당하는 것이 아니다. 많은 온라인 뉴스매체에서 독자에게 쿠키를 제공하며, 수많은 앱들은 수익 창출외에는 필요하지 않은 기기에 저장된 개인정보에 대한 접근 권한을 허용해야만 사용할 수 있다.
하지만, 이런 관행은 점점 규제 기관들의 조사와 프라이버시 옹호자들의 반발에 직면하고 있다. GDPR이 유효한 동의에 대해 높은 기준을 세웠고, 이 규정에 영감을 받은 법률이 제정됐기 때문에 옹호자들은 어느정도 법적 근거를 가지고 있다. 이제 사용자를 속이거나 협박하는 것은 현재 규제 환경에서 매우 비열할 뿐만 아니라 점점 더 위험해지고 있다.
애드테크에 다가올 것
지금은 불확실성의 시대다. 규제의 발전은 애드테크 환경에 큰 영향을 미치겠지만 어떻게 미칠지는 아직 말하기 어렵다. 규제 기관들은 법적 회색지대에 있는 침투적 (업계)관행을 제도권 내로 끌어들이거나 최소한 주요 유럽 시장에서는 상업적 트래킹에 최종 타격을 가할 수도 있다.
메타의 오랫동안 운영되었던 pay-or-ok 사가는 유럽에서 상업적 트래킹의 마지막 보루다. 우리 블로그에서 이미 pay-or-ok를 다뤘으며 주요 내용은 다음과 같다. 회사가 유저에게 개인 정보를 서비스 비용으로 요구할 수 있는 범위와 조건을 사법부가 명확히 해야할 필요가 있다는 것이다. 이것에 대한 대답은 애드테크 산업 전체적으로 엄청난 영향을 미칠 것이고 아마 잘하면 쿠키월과 그외의 의무적 동의 관행을 없앨 수 있을 것이다.
또한, 유럽은 중요한 역할을 맡고 있는데, 오랫동안 기다렸던 e프라이버시 규제가 준비 중이고 결국 현재 EU에서 쿠키를 다루는 e프라이버시 지침을 대체할 것이다. 최종안은 기존 지침의 엄격한 접근 방식을 고수하며 엄격한 동의를 강제하거나, 광고에 대해 프라이버시를 보호하는 접근 방식을 위한 여지를 남길 수도 있다. 또한, 이 규제는 CCPA를 따라 Global Privacy Controls나 브라우저의 기타 추적 방지 신호를 엄격히 강제할 수도 있다.
마지막으로 중요한 것은, 최근 미국의 연방 프라이버시 법에 대한 초당적 시도인 ADPPA가 있다. ADPPA는 애드 테크 산업 전체에 큰 영향을 미칠것이다. 왜냐하면, 구글/메타 독과점은 미국 법률의 영향을 많이 받기 때문이다. 현재 법안은 광고에 관련해서는 불명확하다. 부디 새 법안이 명확히 형식을 갖춰서 ADPPA 법안이 통과됐을 때 어떤 결과가 있을 지 미리 엿볼 수 있기를 바란다.
최종 정리
이런 모든 규제의 발전으로, 프라이버시 친화적인 인터넷이 등장할지도 모릅니다. 하지만 과연 기다릴 필요가 있을까요?
우리는 방문자에게 친화적인 독립적인 인터넷이 필요하다고 믿습니다. 그래서 우리는 Simple Analytics를 만들어 유저 프라이버시를 보호하면서 모든 트래픽 인사이트를 제공하고 있습니다.
쿠키 배너없이 100% GDPR을 준수하면서도 사용하기 편합니다. 자유롭게 한번 사용해 보세요.
(결국엔 광고로 이어져서 갑자기 존댓말로 바꿨음)