[그게 뭔가요] 종말이 가까워진 ‘제3자 쿠키’
최근 구글이 2024년 하반기에 크롬 브라우저에서 제3자 쿠키(3rd Party Cookie)사용을 완전히 중단한다고 발표했다. 구글은 이를 위해 1월 4일부터 새로운 추적 방지 기능을 시작할 예정이라고 한다.
제3자 쿠키는 온라인 광고 업계에서 매우 유용하게 사용된 기술이었다. 하지만 프라이버시 침해 가능성이 높다는 비난을 받아왔다.
제3자 쿠키란 무엇인가
웹 세계를 돌아다니다 보면 깜짝 놀랄 때가 있다. 연말에 가족들과 여행 갈 준비를 하고 있는데 방문하는 웹사이트마다 관련 여행지나 숙박업소의 광고를 보여주곤 한다. 내 가족여행 계획을 이 웹사이트는 어떻게 알았을까? 누군가 내 머릿속을 훔쳐보고 있는 걸까? 정답은 제3자 쿠키(3rd Cookie)에 있다.
먼저 쿠키가 무엇인지 살펴보도록 하자. 쿠키는 웹 서버가 이용자의 웹브라우저에 저장시키는 작은 정보 조각이다. 이후 쿠키는 웹 서버에 정보를 전송한다.
쿠키가 하는 가장 큰 역할은 이용자를 식별하고 행동을 추적하는 것이다. 마치 과자를 먹고 부스러기를 떨어뜨려 흔적을 남기는 것처럼 이용자 행동의 흔적을 남기는 것이 쿠키다. A라는 웹사이트에 방문해서 로그인 한 후 다시 방문했을 때 로그인 상태가 유지되는 경험을 누구나 해봤을 것이다. 웹사이트의 서버는 쿠키를 보고 이 이용자가 얼마 전에 로그인 했던 그 이용자임을 파악하고, 접속할 때마다 로그인해야 하는 수고를 덜어준 것이다.
쿠키는 자사 쿠키(1st Party Cookie)와 제3자 쿠키로 구분된다. 자사 쿠키는 내가 접속한 웹사이트에서 내 브라우저에 저장하는 쿠키다. 앞에서 언급한 로그인 유지 등의 기능을 제공하기 위해 자사 쿠키를 심는다.
제3자 쿠키는 내가 접속한 웹사이트가 아닌 다른 웹 서버가 내 웹브라우저에 심은 쿠키다. 예를 들어 A라는 웹사이트에 광고회사 B의 광고가 게재돼 있는 경우가 많다. 이 때 광고회사 B는 이용자의 웹브라우저에 제3자 쿠키를 심을 수 있다. 이 광고회사는 이제 이용자가 어떤 웹사이트에 방문하는지, 어떤 검색어를 입력하는지 등의 정보를 알 수 있다. 물론 이 과정에 이용자 동의는 필요하다.
제3자 쿠키는 온라인 광고업계에서 광범위하게 사용돼 온 기술이다. 이용자가 최근 어떤 상품에 관심이 있는지 파악하고 그에 맞는 광고를 보여주겠다는 의도다.
쿠키의 시작과 제3자 쿠키의 종말
쿠키라는 기술은 1994년 넷스케이프에 근무하던 루 몬툴리라는 프로그래머가 처음 개발했다. 당시 웹브라우저에는 기억력이라는 것이 없었다. 사용자가 페이지를 새로고침하면 웹사이트는 이 사용자를 처음 만난 사람처럼 대했다.
몬툴리가 처음 쿠키를 만들었을 때는 웹사이트가 방문자를 기억할 수 있도록 도울 뿐, 이용자를 추적하려는 목적은 없었다. 하지만 광고가 발전하면서 쿠키는 이용자 추적 광고를 위한 수단으로 용도가 변질됐다. 특히 제3자 쿠키가 문제였다. 제3자 쿠키를 통해 이용자의 정보가 무분별하게 활용됐다. 이 때문에 제3자 쿠키를 차단해야 한다는 목소리가 커지기 시작했다.
이는 온라인 상의 프라이버시 보호를 강화하는 움직임과 맞물려 있다. 유럽연합의 개인정보보호법(GDPR) 시행 등이 결정적 영향을 끼쳤다. 또 이용자 정보를 독점하고 있는 빅테크에 대한 반발의 의미도 적지 않았다.
이에 애플의 사파리, 오픈소스 파이어폭스 등은 제3자 쿠키 수집을 금지했다. 하지만 구글은 이들처럼 급격한 움직임을 보이지 않았다. 구글은 전세계 60% 이상의 브라우저 점유율을 보유한 회사인 동시에 세계 최대 광고 회사이기도 하다. 대안 없이 제3자 쿠키를 중단할 경우 구글 온라인 광고 매출에 타격을 입을 수도 있다. 구글은 제3자 쿠키의 문제점을 인정하면서도 단계적으로 축소해 나갈 방침을 밝혀왔고, 제3자 쿠키 소멸 최종 시기를 내년 하반기로 정한 것이다. 원래는 2023년 말 종말을 추진했지만 시기에 조금 연장됐다.
제3자 쿠키의 대안은?
제3자 쿠키의 종말로 인해 온라인 광고는 발등에 불이 떨어졌다. 개인을 추적할 수 없으면 광고 단가가 떨어지기 때문이다. 구글 조사에 따르면 개인 식별이 불가능할 때 광고 입찰가가 50% 이상 낮아지는 것으로 나타났다.
이 때문에 제3자 쿠키 대신 여러 기술적 대안이 논의되고 있다. 아래는 제3자 쿠키의 대안으로 논의되는 기술들이다.
ID 솔루션 : 이메일 주소, 전화번호, 로그인 ID 등의 개인 데이터를 사용하여 사용자를 추적하는 방식이다. 웹사이트에 방문하면 개인 데이터가 ID 제공업체에 전송되고, 이 ID는 범용적인 식별자로 사용된다.
구글 토픽API : 토픽 API는 크롬 이용자가 방문한 사이트를 통해 이용자의 관심사를 약 350개의 토픽으로 분류해 추적하는 기술이다. 록음악, 만화&애니메이션, 자동차, 문학, 팀스포츠 등이 토픽이 될 수 있다. 토픽API를 사용하는 기업은 지난 3주의 기록을 바탕으로, 매주 상위 5개 토픽 중 무작위로 선택한 토픽 한 개씩, 총 3개를 파트너사와 공유할 수 있도록 허용된다. 다만 크롬 이외의 브라우저는 아직 토픽API를 수용하지 않고 있다는 한계가 있다.
구글 PPID(Publisher Provided Identifiers) : PPID는 웹사이트가 자사 데이터를 기반으로 사용자에게 할당하는 식별자다. 사용자가 로그인하면 웹사이트는 할당된 식별자를 구글 애드 매니저 360에 전달하고, 구글은 적절한 광고를 제공한다.
자사 쿠키(1st Party cookies) : 자사 쿠키는 웹사이트 스스로 쿠키를 저장하고 활용하는 방식이다. 내 사이트에 방문한 이용자를 분석해 타깃 광고를 제공하는 방식이다.
문맥 광고 : 이용자가 아닌 콘텐츠를 분석해서 유사한 광고를 배치하는 기술이다. 골프 관련 기사에 골프 클럽 광고가 붙는 식이다.
ID 그래프 : 이메일 주소 등 개인식별 정보를 자사 쿠키 등과 결합해 활용하는 방식이다.
디지털 지문 : IP, 플러그인, 브라우저 종류, 운영체제 등의 정보를 통해 사용자의 디지털 지문을 채취해 식별하는 방식이다. 브라우저에 데이터를 저장하지 않기 때문에 동의 과정이 필요없다. 그러나 사용자의 동의 없이 사용자를 식별하기 때문에 개인정보침해 논란은 벌어질 수 없다.
글. 바이라인네트워크
<심재석 기자>shimsky@byline.network