1. 쿠키(Cookie)란?
쿠키는 웹 브라우징의 필수적인 일부분으로, 웹 개발자가 사용자에게 더 개인화되고 편리한 웹사이트 방문 경험을 제공하는데 사용된다. 하지만 이러한 쿠키는 개인정보의 보고이자 개인정보보호를 취약하게 하는 중대한 요인이 될 수도 있다.
따라서 EU의 GDPR(일반 데이터 보호 규정)같은 국제법과, 캘리포니아 소비자 개인정보보호법(CCPA) 같은 특정 주의 법에 의해 여러 웹사이트에서는 특정 쿠키를 브라우저에 사용할 수 있는 권한을 요청하고, 동의할 경우 쿠키가 어떻게 사용될 것인지에 대한 정보를 제공한다.
2. 쿠키의 유형
01. 반영구 / 영구적 쿠키
[세션 쿠키]
웹 사이트를 탐색하는 동안에만 사용되는 임시 쿠키. 해당 쿠키는 RAM에 저장되고 HDD에는 저장되지 않는다. 따라서 세션이 끝나면 세션 쿠키는 자동으로 삭제된다.
[영구적 쿠키]
컴퓨터에 무기한으로 남아있지만, 만료 날짜를 포함하고 있어 해당 날짜에 자동으로 제거되는 영구적인 쿠키. 해당 쿠키는 주로 "인증", "추적"의 용도로 많이 사용된다.
- 인증: 사용자의 로그인 여부와, 어떤 계정으로 로그인했는지 추적
- 추적: 일정 기간동안 같은 사이트에 여러번 방문한 내역을 추적. 예를 들어, 일부 온라인 판매자는 쿠키를 사용하여 특정 사용자의 방문을 추적하고, 이를 통해 얻은 정보를 활용하여 방문객이 관심을 가질 수 있는 다른 제품을 제안할 수 있다.
02. 퍼스트파티 / 서드파티 쿠키
[퍼스트파티 쿠키]
사용자가 방문하는 웹사이트에서 생성되고 제어된다. 웹사이트를 처음 방문할 때 생성되며, 브라우저가 자동으로 해당 쿠키를 수신하여 디바이스에 저장한다. 일반적으로 작은 텍스트파일의 형식으로 사용자의 브라우징 세션에 대한 고유 데이터가 포함되어있어, 웹사이트가 유저를 인식하고 기억할 수 있다.
[서드파티 쿠키] ⭐
웹의 뒷편에서 작동한다. 유저가 방문하는 웹사이트가 아닌 다른 웹사이트가 쿠키를 디바이스에 배치한다. 해당 쿠키는 주로 추적과 광고에 사용된다. 서드파티 쿠키는 사용자가 광고 네트워크나 소셜 미디어 플러그인 같은 서드파티 서비스가 통합된 웹사이트를 방문할 때 생성된다. 따라서 이러한 서비스들은 유저의 디바이스에 쿠키를 저장하여 다른 웹사이트에서 유저의 활동을 추적할 수 있도록 한다.
한 사이트에서 신발을 검색하는 경우, 다른 사이트에 들어갔을때 해당 신발에 관한 광고가 표시되는것이 서드파티 쿠키 때문!
[퍼스트파티 쿠키 vs. 서드파티 쿠키]
두 쿠키의 차이점은 생성되는 장소와 목적에 있다.
- 퍼스트파티 쿠키: 단일 웹사이트에서 사용자 경험을 향상시키는데 사용됨. 웹사이트 기능 개선 및 유저 경험 맞춤화를 위해 사용된다.
- 서드파티 쿠키: 타겟 광고를 위해 여러 사이트에서 사용자의 활동을 추적. 해당 쿠키로 여러 웹사이트가 데이터를 수집하고 분석할 수 있으므로 개인정보보호 문제가 발생할 수 있다. 현재 GDPR, CCAP같은 규정에 따라 웹사이트가 쿠키를 사용하지 않도록 설정하고 옵션을 제공하도록 요구하고있다.
3. 구글의 서드파티 쿠키 정책 타임라인
01. 개요
서드파티 쿠키(Third-party cookie)는 초기 인터넷에서 사용자 선호도와 로그인 정보를 기억하는 등, 사용자 경험을 향상시키기 위한 목적으로 도입되었다. 현재 서드파티 쿠키는 광고주들에게 필수적인 도구로 발전하여 사용자의 온라인 행동을 추적하고 분석하는 데 광범위하게 사용되고있다.
그러나 개인정보보호 및 프라이버시에 대한 인식이 높아지며, 서드파티 쿠키는 점차 사용자의 기본 권리를 침해하는 기술로 인식되기 시작하였다. 특히 EU 일반 개인정보보호법(GDPR), CCPA(캘리포니아 소비자 프라이버시법) 등의 개인정보보호 관련 법률 제정으로 인해 쿠키 사용에 대한 규제가 강화되는 추세를 보이고있다.
02. 서드파티 쿠키 단계적 폐지 타임라인
Safari와 Firefox 등의 브라우저는 일찍이 서드파티 쿠키를 제한하기 시작하며 업계 변화를 촉구했다.
| 날짜 | 내용 |
| 2003년 1월 | Safari 1.0 출시. WebKit의 '기본 쿠키 정책'을 통해 서드파티 쿠키 제한 시작 |
| 2017년 9월 | Safari 11에서 지능형 추적 방지(ITP) 기능을 도입하여 서드파티 쿠키 제한 강화 |
| 2019년 9월 | Firefox, 향상된 추적 방지(ETP) 기능을 도입하여 알려진 서드파티 추적 쿠키를 기본적으로 차단하기 시작 |
| 2020년 3월 | Safari, Storage Access API를 통해 접근하는 경우를 제외한 모든 서드파티 쿠키를 기본적으로 완전히 차단 |
구글은 2020년 Chrome 웹브라우저에서 서드파티 쿠키를 단계적으로 폐지할 계획을 발표하고 Privacy Sandbox initiative 추진에 착수하였다. Privacy Sandbox는 개인정보 침해로 논란이 되어온 서드파티 쿠키를 대체하기 위한 기술 솔루션으로, 사용자 프라이버시를 보호하면서도 효과적인 온라인 광고를 가능하도록 한다. 아래는 Privacy Sandbox의 일환으로 구글이 제시한 기술들이다.
- Topic API: 사용자 개인의 사이트 이용 행태 정보를 추적하지 않으면서도, 방문한 사이트 자체를 분석함으로써 사용자의 일반적인 관심 분야(Topic)을 추론
- Protected Audience API(구 FLEDGE API): 서드파티에 사용자 정보를 전송하지 않고도 기기에서 관고 입찰 및 송출
- Attribution Reporting API: 사이트 간 추적에 의존하지 않고도 광고 효과를 측정하는 방법을 제공
| 날짜 | 내용 |
| 2020년 1월 | Google, 서드파티 쿠키 지원 중단 계획 발표(2022년 완료 목표) |
| 2021년 6월 | Google, 업계 반발로 서드파티 쿠키 폐지를 2023년 말로 연기 |
| 2022년 7월 | Google, 서드파티 쿠키 폐지를 2024년 하반기로 재연기 |
| 2024년 1월 | Google, 전 세계 크롬 사용자의 1%에 대해 서드파티 쿠키 제한 시작 |
| 2024년 4월 | 영국 경쟁시장청(CMA), 구글에 서드파티 쿠키 전면 제거 연기 요청, Google은 완전한 서드파티 쿠키 폐지를 2025년 초로 연기 |
| 2024년 7월 | Google, 크롬에서 서드파티 지원 중단 계획 철회, 사용자 선택 기반의 옵트인(opt-in) 모델 전환 계획 발표 |
03. 주요국 관련 규제기관, 협단체 및 광고 업계 반응
[1] 영국 개인정보 감독기관(ICO)
그동안 구글의 Privacy Sandbox 진행 상황을 면밀히 감시해온 ICO는, 서드파티 쿠키의 차단이 소비자에게 긍정적인 조치가 될 것이라고 판단했었기에 실망감을 표명했다. ICO는 구글의 새 계획(서드파티 쿠키 지원 중단 철회)이 중대한 변화임을 인지하고, 향후 이와 관련한 업계 반응 모니터링 & 필요시 규제 조치를 고려할 것이가고 밝혔다. 또한 한편으로는 더욱 프라이버시 친화적인 인터넷 창출을 지원하는 목표를 계속해서 추구할 것이라 발표했다.
[2] 영국 경쟁시장청(CMA)
CMA는 초기 Privacy Sandbox 제안에 대해 '구글 생태계에 광고 지출이 더욱 집중되어 경쟁을 왜곡할 수 있다'는 우려를 표명한 바가 있다. CMA는 ICO와 협력해 Privacy Sandbox의 경쟁 관련 측면 & 개인정보보호 측면을 평가하였으며, 앞으로 구글의 새로운 접근 방식을 신중히 검토할 예정이라고 발표했다.
[3] 전자 프론티어 재단(EFF)
EFF는 구글이 크롬 브라우저에서 서드파티 쿠키 지원 종료 계획을 철회한 것에 대해 매우 비판적인 입장을 취하고있다. 특히 구글 수익의 약 80%가 온라인 광고에서 나오는 점을 지적하며 구글이 사용자 프라이버시브다 경제적 이익을 우선시한다고 주장한다. EFF는 서드파티 쿠키를 통해 기업들이 사용자의 상세한 온라인 활동 프로필을 구축할 수 있다고 경고하며, 이와같이 수집된 데이터는 보험사, 헤지펀드, 정부기관 등에 판매될 수 있다는 우려를 표명하고있다.
무엇보다 EFF는 경쟁적 시장 조성과 사용자 프라이버시 보호가 양립 가능하다는 입장을 강조한다. 구글의 서드파티 쿠키 유지 결정은 디지털 광고 시장의 경쟁을 해결하기 위한 잘못된 접근이라고 보며, 이에 대한 단기적 대안으로 AMERICA Act를 제시하였다. 다만 이는 임시방편에 불과하며 근보적인 해결책이 될 수 없기에, 강력한 프라이버시 법안 마련의 필요성을 강조하고있다.
[4] 유럽 온라인광고협회(IAB Europe)
IAB는 구글이 서드파티 쿠키를 완전히 폐지하는 대신 크롬에 새로운 사용자 선택 기능을 도입하기로 한 결정을 인정한다. 또한 과거 구글이 Privacy Sandbox를 개발하는 과정에서 업계와 협력한 노력도 인정하는 입장이다. 다만, 추가적인 선택 단계를 도입함으로써 사용자 경험이 분열될 위험성이 있는 점과 같은 '제안된 기능의 서부 정보 부족'으로 인해 이번 발표의 전체적인 영향을 정확히 평가하기는 어렵다고 언급했다.
04. 요약 및 시사점
여러 차례에 걸친 구글의 크롬 브라우저 서드파티 쿠키 정책 변화는, 강화되는 개인정보보호 요구와 광고 업계의 실질적 필요 사이에서 균형을 찾으려는 노력을 반영한 것으로 해석
- 구글의 새로운 접근 방식은 사용자가 크롬에서 개인정보보호 설정을 더욱 잘 제어할 수 있도록 하여 서드파티 쿠키에 대해 정보에 입각한 선택을 할 수 있도록 하는데 중점을 둔다.
- 당분간은 서드파티 쿠키가 계속 지원되겠지만 이는 영구적인 해결책이 아니므로, 관련 업계는 향후 발생할 수 있는 변화에 계속 대비해야할 것으로 예상
- Safari, Firefox의 경우 이미 타사 쿠키를 차단하고 있기에, 디지털 광고 생태계 세분화 가능성이 있다. 따라서 개인정보보호 중심 광고 기술에 대한 지속적인 혁신 필요성이 강조된다.
이번 구글의 결정으로 인해 사이트 간 추적 관련 개인정보보호 이슈가 지속될 수 있어, 잠재적으로 감독기관들의 더 엄격한 규제 또는 집행조치로 이어질 가능성이 존재
- 서드파티 쿠키를 사용자가 직접 관리할 수 있는 시스템을 도입할 것이라는 결정은, 기존의 프라이버시 강화 목표에서 벗어난 결정으로 평가되어, 서드파티 쿠키를 대체하는 개인정보보호 대안을 개발하고 채택하려는 업계 전반의 노력이 둔화될 우려가 있다.
'Infomation_Sec' 카테고리의 다른 글
| [KISA 동향분석 리뷰] AI 에이전트 개방형 프로토콜의 기술 현황 및 시사점 (0) | 2026.01.23 |
|---|