요약

제3자 쿠키가 사실상 무력화된 지금, 광고 대행사를 고르는 기준이 완전히 달라졌습니다. 단순히 캠페인을 운영하는 능력이 아니라, 구글 프라이버시 샌드박스 API와 서버사이드 태깅 인프라를 직접 구축할 수 있는 엔지니어링 역량이 핵심 기준이 됐습니다. 이 글에서는 기술을 모르는 마케팅 담당자나 경영자도 바로 활용할 수 있는 실무 구별법 3가지를 소개합니다.

지금 왜 갑자기 '기술 대행사'가 중요해졌나

2026년 현재, 구글 크롬은 사용자에게 쿠키 허용 여부를 직접 묻는 프롬프트를 띄우고 있습니다. 과거 애플이 아이폰에서 앱 추적 동의를 구했던 ATT(App Tracking Transparency) 조치처럼, 대부분의 사용자는 추적을 거부(Opt-out) 합니다. 사파리(Safari)와 파이어폭스(Firefox)는 이미 오래전부터 제3자 쿠키를 완전 차단하고 있고요.

결과는 수치로 나타납니다. 한국디지털광고협회의 시뮬레이션에 따르면, 제3자 쿠키 없이 집행된 광고 환경에서 노출형 광고 매출은 기존 대비 52% 하락했습니다. 브라우저 광고 차단 도구를 사용하는 IT 관여도 높은 타깃의 경우 그 비율이 40%를 넘기도 합니다.

지금 대행사에게 '픽셀 설치해 주세요'라고 말하는 건, 구멍 뚫린 양동이로 물을 퍼 나르는 것과 같습니다.

핵심 개념: 초보자도 이해할 수 있는 두 가지 기술

구글 프라이버시 샌드박스란?

쉽게 말해, '사용자 정보는 기기 안에만 두되, 광고는 계속 효율적으로 돌아가게 하겠다'는 구글의 타협안입니다.

예전에는 광고 네트워크가 사용자의 브라우저에 쿠키를 심어서 "이 사람은 운동화를 검색했다"는 정보를 외부로 빼갔습니다. 이제는 그 정보가 기기 밖으로 나가지 않습니다. 대신 크롬 브라우저 자체가 Topics API, Protected Audience API, Attribution Reporting API 같은 도구를 제공해서 "이 사람은 스포츠 카테고리에 관심 있는 그룹"이라는 익명 정보만 광고 시스템에 전달합니다.

구글의 테스트 데이터에 따르면, 이 API를 활용하면 기존 3자 쿠키 대비 도달률은 2~7%만 감소하고 비용 효율은 1~3%만 하락하는 수준으로 방어할 수 있습니다. 제대로 세팅하면 손실이 거의 없다는 뜻입니다.

서버사이드 태깅이란?

기존 방식은 사용자 브라우저에서 직접 구글, 메타, 네이버 등 여러 광고 플랫폼으로 데이터를 동시에 전송했습니다. 광고 차단 프로그램이나 브라우저 제한이 이 경로를 막아버리면 데이터가 그냥 사라집니다.

서버사이드 태깅은 이 경로를 기업의 자체 서버로 우회시키는 방식입니다. 사용자 → 기업 서버(데이터 정제·해시화) → 광고 플랫폼 순서로 데이터가 이동하기 때문에 브라우저 차단의 영향을 받지 않습니다.

실제로 브라우저 기반 GA4 추적만 사용하는 사이트는 실제 14만~16만 건의 세션이 발생해도 분석 툴에는 10만 건만 찍힙니다. 최대 25~40%의 데이터가 그냥 증발하는 셈입니다. 서버사이드 태깅은 이 유실된 데이터를 복원합니다.

단계별 실행 구조: 진짜 기술 대행사가 하는 일

기술 대행사가 실제로 구축하는 서버사이드 인프라는 다음 4단계로 진행됩니다. 이 흐름을 이해하면 대행사 미팅에서 훨씬 날카로운 질문을 던질 수 있습니다.

1. GCP 서버 컨테이너 생성: GTM(구글 태그 매니저) 서버사이드 컨테이너를 만들고, Google Cloud Run 또는 Docker 환경에 전용 서버 인프라를 프로비저닝합니다.
2. 하위 도메인 DNS 맵핑: 서버 컨테이너가 sst.yourbrand.com처럼 클라이언트 자체 도메인의 하위 경로로 작동하도록 A레코드 또는 CNAME을 설정합니다. 이렇게 해야 사파리의 ITP 제한을 우회할 수 있습니다.
3. 프라이버시 샌드박스 API 연동: Topics API로 오디언스를 분류하고, Attribution Reporting API가 매체 네트워크와 정상 통신하도록 코드를 추가합니다.
4. 전환 API 파이프라인 연결: 수집된 이벤트 데이터에서 사용자 식별값을 해시화하고, 메타 CAPI(전환 API)와 구글 Ads 전환 추적 서버로 즉각 전송하는 파이프라인을 완성합니다.

진짜 기술 대행사를 가려내는 실전 질문 3가지

미팅 자리에서 아래 세 가지를 물어보세요. 답변의 깊이만으로도 대행사의 기술 수준을 판단할 수 있습니다.

질문 1. "GTM 서버사이드 컨테이너 세팅 시, 하위 도메인 DNS 맵핑을 직접 처리해 주시나요?"

• 기술이 없는 대행사: "개발자분께 스크립트 전달해 드릴게요. 사이트에 설치만 하시면 됩니다." → 웹 GTM 스크립트 붙여넣기 수준에 그칩니다.
• 기술 대행사: GCP Cloud Run 구성부터 클라이언트 네임서버의 A레코드·CNAME 레코드 설정까지 직접 가이드하거나 대행합니다.

이 차이가 중요한 이유는, DNS 맵핑 없이는 사파리 사용자(국내 모바일 점유율 30% 이상)의 데이터가 여전히 유실되기 때문입니다.

질문 2. "프라이버시 샌드박스 API 기반 오디언스 작동 원리를 설명해 주실 수 있나요?"

• 기술이 없는 대행사: "요즘 트렌드에 맞게 크리에이티브를 자주 교체하고 있습니다"라며 화제를 돌립니다.
• 기술 대행사: Topics API가 브라우저 내부에서 어떻게 관심사 그룹을 분류하는지, Protected Audience API로 리타겟팅 오디언스를 어떻게 구성하는지, 1자 데이터(First-party data)와 어떻게 연계하는지를 구체적으로 설명합니다.

질문 3. "서버사이드 전환 API 전송 시 데이터 누락 비율을 어떻게 측정하고 보고하시나요?"

• 기술이 없는 대행사: 광고 대시보드의 전환 수치만 보고하고, 실제 유실 규모를 파악하지 못합니다.
• 기술 대행사: 브라우저 차단으로 유실된 세션 수를 서버 로그와 비교해 데이터 갭(Data Gap)을 수치로 제시하고, 서버사이드 도입 전후 ROAS 변화를 정량적으로 증명합니다.

주의해야 할 리스크와 트레이드오프

서버사이드 태깅이 만능은 아닙니다. 도입 전 반드시 확인해야 할 현실적인 제약이 있습니다.

• 클라우드 인프라 비용: GCP 등 서버 비용이 매월 청구됩니다. 불필요한 이벤트 트래픽을 필터링해 최소 고정 비용으로 설계하는 최적화 능력이 없는 대행사와 계약하면 운영 비용이 예상보다 크게 불어날 수 있습니다.
• 동의 모드(Consent Mode) 연동 필수: 아무리 완벽한 서버 인프라를 구축해도 사용자의 쿠키 동의 신호가 서버 전송 파이프라인에 반영되지 않으면 GDPR·개인정보보호법 위반 대상이 됩니다. 동의 시그널 전달 장치가 갖춰져 있는지 반드시 확인하세요.
• 단기 성과 기대 금지: 서버사이드 인프라 구축은 보통 4~8주가 소요되는 엔지니어링 작업입니다. 즉각적인 광고 성과 개선보다는 데이터 정확도 복원이 먼저 이루어지고, 그 이후 최적화 효과가 나타납니다.

자주 묻는 질문 (FAQ)

Q1. 서버사이드 태깅은 대기업만 필요한 기술인가요?

아닙니다. 월 방문자 3만 명 이상의 중소 이커머스라도 광고 차단 비율이 20%를 넘는다면 서버사이드 도입으로 회수할 수 있는 전환 데이터가 상당합니다. 오히려 예산이 제한된 중소기업일수록 데이터 유실로 인한 비효율 광고비 낭비가 더 치명적입니다.

Q2. 기존에 GTM(구글 태그 매니저)을 쓰고 있으면 서버사이드로 전환하기 어렵나요?

기존 웹 컨테이너를 그대로 유지하면서 서버사이드 컨테이너를 병행 운영하는 구조가 일반적입니다. 처음부터 다시 시작하는 게 아니라 기존 세팅 위에 서버 레이어를 추가하는 방식이라 생각보다 이행 비용이 낮습니다.

Q3. 프라이버시 샌드박스 API는 한국 광고 환경에서도 실제로 작동하나요?

Topics API와 Attribution Reporting API는 크롬 브라우저 레벨에서 작동하므로 한국 사용자에게도 동일하게 적용됩니다. 단, 국내 주요 매체(네이버, 카카오)는 자체 데이터 인프라를 별도로 운영하므로 구글 생태계 외 매체는 별도 연동 전략이 필요합니다.

Q4. 대행사에 기술 역량이 있는지 포트폴리오만 봐도 알 수 있나요?

포트폴리오보다는 기술 스택 문서와 실제 구축 사례의 데이터 비교 수치가 더 신뢰할 수 있는 근거입니다. "서버사이드 도입 후 데이터 갭이 몇 % 줄었다"는 정량 수치를 제시할 수 있는 대행사가 실질적인 기술력을 갖춘 곳입니다.

Q5. 동의 모드(Consent Mode)와 서버사이드 태깅은 별개로 봐야 하나요?

함께 설계되어야 합니다. 동의 모드는 사용자가 쿠키를 거부했을 때 어떤 데이터를 모델링 방식으로 보완할지 결정하는 신호 체계이고, 서버사이드 태깅은 그 신호를 안전하게 전달하는 파이프라인입니다. 두 가지가 통합 설계되지 않으면 법적 리스크와 데이터 왜곡이 동시에 발생합니다.

용어 설명 (Glossary)

• 제3자 쿠키(3rd Party Cookie): 사용자가 방문한 사이트가 아닌 외부 광고 네트워크가 사용자 브라우저에 심어 행동을 추적하던 파일. 현재 대부분의 브라우저에서 차단 또는 무력화됨.
• 프라이버시 샌드박스(Privacy Sandbox): 개인정보를 기기 밖으로 내보내지 않으면서도 광고 타겟팅과 성과 측정이 가능하도록 구글이 크롬 브라우저에 내장한 API 모음.
• 서버사이드 태깅(Server-side Tagging): 브라우저 대신 기업 전용 서버에서 데이터를 가공·정제한 뒤 광고 플랫폼으로 전송하는 인프라 방식. 브라우저 차단의 영향을 받지 않음.
• 데이터 갭(Data Gap): 실제 발생한 세션·전환과 분석 툴에 기록된 수치 사이의 차이. 브라우저 차단, 광고 차단 프로그램 등으로 발생하며 최대 25~40%에 달할 수 있음.
• 전환 API(CAPI, Conversions API): 메타(구 페이스북) 또는 구글이 제공하는 서버 간 전환 데이터 전송 방식. 브라우저 픽셀의 한계를 보완함.
• 동의 모드(Consent Mode): 사용자가 쿠키 동의를 거부했을 때도 익명화된 신호를 수집해 전환 모델링에 활용하는 구글의 프레임워크.
• Topics API: 구글 프라이버시 샌드박스의 핵심 API 중 하나. 사용자의 브라우징 이력을 기기 내부에서 분석해 관심사 카테고리만 광고 시스템에 전달함.
• 하위 도메인 맵핑(First-party DNS Mapping): 서버사이드 컨테이너를 제3자 주소가 아닌 자사 도메인 하위 경로(sst.yourbrand.com)로 연결하는 DNS 설정. 사파리 ITP 제한을 우회하는 핵심 기술.

마무리: 지금 당장 확인해야 할 핵심 요점

쿠키리스 시대의 광고 대행사 선택은 더 이상 '운영 경험'이나 '크리에이티브 감각'만으로 판단할 수 없습니다. 아래 세 가지를 기억하세요.

• 데이터 유실 규모를 먼저 진단하세요. 지금 운영 중인 사이트가 실제 트래픽 대비 얼마나 많은 데이터를 잃고 있는지 모른다면, 광고비를 늘려도 정확한 성과를 알 수 없습니다.
• 기술 역량은 질문으로 검증하세요. 위에서 소개한 3가지 질문에 구체적인 수치와 구축 경험으로 답하는 대행사를 선택하세요.
• 인프라 비용과 규정 준수를 함께 물어보세요. 서버사이드 태깅의 GCP 운영 비용 최적화 방법과 동의 모드 연동 여부를 확인하지 않으면 예상치 못한 비용과 법적 리스크가 생깁니다.

에이달(ADALL) 은 GTM 서버사이드 컨테이너 구축부터 GCP 인프라 프로비저닝, 프라이버시 샌드박스 API 연동, 전환 API 파이프라인 설계까지 엔지니어링 전 과정을 직접 수행합니다. 데이터 갭 진단 결과를 수치로 먼저 확인하고 싶으시다면, 부담 없이 문의해 주세요.

📞 02-2664-8631 | 📧 master@adall.co.kr 서울특별시 강서구 방화대로31길 2, 5~6층