요약

2025년 10월, 구글은 6년간 공들여 만든 프라이버시 샌드박스의 핵심 API들을 전격 폐기했습니다. Topics API 채택률 8%, Protected Audience API 15%라는 처참한 수치가 그 이유였습니다. 이제 서드파티 쿠키는 '사용자 선택'에 맡겨졌고, 광고팀은 브라우저 정책에 기대는 방식 대신 퍼스트파티 SDK와 서버사이드 추적이라는 자체 인프라를 구축해야 합니다. 이 글은 한국 광고팀이 지금 당장 실행할 수 있는 기술 전환 시나리오를 단계별로 정리합니다.

무슨 일이 벌어졌는가: 초보자도 이해하는 핵심 개념

서드파티 쿠키란 무엇인가

쿠키(Cookie)는 웹사이트가 방문자의 브라우저에 남기는 작은 메모 파일입니다. 이 중 서드파티 쿠키는 내가 방문한 사이트가 아니라, 그 사이트에 광고를 심어 놓은 제3자(광고 네트워크 등)가 남기는 메모입니다.

예를 들어 쇼핑몰 A에서 운동화를 검색했는데, 다음 날 전혀 다른 뉴스 사이트에서 운동화 광고가 뜨는 경험을 해보셨을 겁니다. 이것이 서드파티 쿠키가 만들어내는 리타겟팅 광고입니다.

구글이 6년간 추진한 '프라이버시 샌드박스'가 왜 실패했나

구글은 서드파티 쿠키를 대체하기 위해 브라우저 자체가 광고 타겟팅을 처리하는 방식을 고안했습니다. 사용자 데이터를 외부로 보내지 않고 크롬 안에서만 처리한다는 개념이었죠.

하지만 현실은 냉혹했습니다.

• Topics API: 관심사 기반 타겟팅 대체 도구였으나 실질 채택률 8%
• Protected Audience API: 리마케팅 대체 도구였으나 채택률 15%
• Attribution Reporting API: 차등 프라이버시 알고리즘이 데이터에 과도한 노이즈를 삽입해 소형 광고주들이 사실상 측정 불가 상태

결국 구글은 2025년 10월 17일, 이 핵심 API들을 공식 폐기(Retire) 처리했습니다. 영국 경쟁시장청(CMA)도 같은 날 구글에 적용하던 법적 구속력을 해제했습니다.

지금 살아남은 기술은 무엇인가

모든 샌드박스 기술이 사라진 것은 아닙니다. 다음 세 가지는 계속 유효합니다.

• CHIPS (Cookies Having Independent Partitioned State): 사이트별로 분리된 쿠키. 결제 모듈이나 iframe 위젯에 적용 가능
• FedCM: 카카오·네이버·구글 소셜 로그인 같은 연합 인증에 활용
• Private State Tokens: 봇 탐지 및 사기 방지 목적

한국 광고팀이 직면한 현실: 브라우저 파편화

"크롬이 쿠키를 안 없앤다고 했으니 괜찮은 거 아닌가요?"

이렇게 생각하는 마케터가 아직도 많습니다. 하지만 실제 데이터를 보면 이야기가 달라집니다.

크롬은 글로벌 데스크톱 브라우저 시장의 약 65%를 차지합니다. 나머지 약 30%는 사파리(ITP)와 파이어폭스(ETP)를 사용하는데, 이 브라우저들은 기본 설정 자체가 서드파티 쿠키 차단입니다.

즉, 지금 이 순간에도 방문자 3명 중 1명의 행동 데이터는 제대로 수집되지 않고 있습니다. 여기에 크롬 시크릿 모드(기본 쿠키 차단)와 점점 늘어나는 스마트 사용자들의 쿠키 거부(Opt-out)까지 더하면, 실제 데이터 손실은 훨씬 큽니다.

단일 표준 API가 사라진 지금, 파편화된 환경에 각각 대응하는 자체 인프라가 필수입니다.

단계별 기술 전환 시나리오

Step 1. 퍼스트파티 SDK와 영구 식별자 설계

퍼스트파티 SDK란 쉽게 말해 '우리가 직접 만든 데이터 수집 도구'입니다. 광고 플랫폼이 제공하는 픽셀(외부 코드)에 의존하지 않고, 자사 서버와 직접 통신하는 코드를 심는 방식입니다.

실무 적용 포인트:

• 로그인 사용자의 이메일·전화번호를 SHA-256 방식으로 해시 처리해 식별자로 활용합니다. 원본 개인정보는 노출되지 않으면서도 광고 플랫폼과 매칭이 가능합니다.
• 비로그인 사용자에게는 자사 도메인 쿠키(퍼스트파티 쿠키)로 임시 ID를 부여하고, 추후 로그인 시 영구 ID와 연결합니다.
• 이렇게 구성하면 사파리든 파이어폭스든 브라우저 종류에 상관없이 고객 프로필이 유지됩니다.

Step 2. 서버사이드 태깅(sGTM) 전환

기존 방식은 사용자의 브라우저가 직접 구글·메타·카카오 광고 서버로 데이터를 보냅니다. 이 경로는 ITP, AdBlock, 브라우저 개인정보 설정 등에 의해 쉽게 차단됩니다.

서버사이드 구글 태그 매니저(sGTM)는 경로를 바꿉니다.

[사용자 브라우저] → [자사 클라우드 서버] → [광고 플랫폼]

중간에 자사 서버가 끼어들기 때문에, 브라우저 차단 정책을 우회하고 데이터 정합성을 크게 높일 수 있습니다. Google Cloud나 AWS에 컨테이너를 띄우는 방식으로 구축하며, 국내 중견 이커머스 기준으로 전환 데이터 수집률이 평균 20~35% 개선되는 효과를 기대할 수 있습니다.

Step 3. 매체사별 전환 API 연동

sGTM을 구축했다면, 다음 단계는 각 광고 매체사의 서버 전송 API와 연결하는 것입니다.

• 메타 광고: Conversions API(CAPI) 연동. 픽셀과 병행 운영해 중복 제거 설정 필수
• 구글 광고: Enhanced Conversions(향상된 전환) 설정. 해시된 사용자 데이터를 구글 계정과 매칭
• 카카오 광고: 카카오 픽셀의 서버 이벤트 API 연동 검토

핵심은 클라이언트(브라우저)와 서버, 두 채널에서 동시에 전환 신호를 보내되 중복 집계를 방지하는 event_id 매칭 로직을 반드시 구현하는 것입니다.

Step 4. 살아남은 CHIPS와 FedCM 적용

결제 페이지나 지도 위젯처럼 iframe 형태로 다른 도메인이 삽입되는 경우, 해당 쿠키에 Partitioned 속성을 추가하는 CHIPS를 적용합니다. 미적용 시 크롬의 향후 정책 변화에 취약해질 수 있습니다.

소셜 로그인 기능이 있는 서비스라면 FedCM API 도입을 검토하세요. 카카오·네이버 로그인 연동 시 사용자의 개인정보 노출 없이 인증 처리가 가능해집니다.

Step 5. 동의 관리 플랫폼(CMP) 연동

퍼스트파티 데이터를 아무리 잘 수집해도, 사용자 동의 없이 수집한 데이터는 법적 리스크가 됩니다. 국내 개인정보보호법(PIPA)과 글로벌 GDPR 대응을 위해 동의 수집 배너(CMP)를 도입하고, 동의 신호를 GPP(Global Privacy Protocol) 매크로로 광고 매체에 전달해야 합니다.

지금 당장 점검할 항목

아래 항목 중 하나라도 'No'라면 데이터 손실이 진행 중입니다.

• [ ] 자사 웹사이트에 퍼스트파티 SDK 또는 자체 수집 레이어가 구축되어 있는가
• [ ] 서버사이드 GTM(sGTM)이 운영 중인가
• [ ] 메타 CAPI 또는 구글 Enhanced Conversions가 연동되어 있는가
• [ ] 로그인 사용자 기반의 해시 식별자(SHA-256)가 광고 플랫폼에 전달되고 있는가
• [ ] 동의 관리 배너(CMP)가 운영되고 있으며 동의 신호가 매체에 전달되는가
• [ ] 개발 로드맵에서 Topics API, Protected Audience API 관련 작업이 제거되었는가

자주 묻는 질문 (FAQ)

Q1. 크롬이 쿠키를 없애지 않기로 했는데, 왜 굳이 전환해야 하나요?

크롬 내 시크릿 모드는 기본적으로 쿠키를 차단하고, 사파리·파이어폭스 사용자(약 30%)는 이미 서드파티 쿠키가 막혀 있습니다. 쿠키 거부를 선택하는 사용자도 늘고 있어 가용 데이터는 계속 줄어듭니다.

Q2. sGTM 구축 비용이 부담스럽습니다. 소규모 쇼핑몰도 해야 하나요?

Google Cloud Run 기준 월 수만 원 수준으로 운영 가능합니다. 광고 전환 데이터 손실로 인한 비효율 광고비가 더 크다면, ROI 측면에서 구축이 유리합니다. 트래픽이 적은 초기에는 최소 사양으로 시작하는 것을 권장합니다.

Q3. Topics API는 완전히 끝난 건가요?

2025년 10월 17일 구글 공식 발표 기준으로 Retire(지원 종료) 처리되었습니다. 해당 API 구현에 개발 리소스를 더 투입하는 것은 낭비입니다. 로드맵에서 즉시 제거하세요.

Q4. 퍼스트파티 데이터를 모으려면 무조건 로그인 기능이 필요한가요?

로그인이 가장 강력하지만, 이메일 뉴스레터 구독, 이벤트 응모, 멤버십 가입 등 다양한 형태의 '가치 교환'으로도 동의 기반의 퍼스트파티 데이터를 수집할 수 있습니다.

Q5. W3C 상호운용 표준은 언제 나오나요?

구글·메타·모질라 등이 W3C의 'Private Advertising Technology Working Group'을 통해 협의 중이나, 아직 확정된 일정은 없습니다. 지금은 각 매체사별 Conversions API 연동을 우선 실행하면서 표준 동향을 모니터링하는 것이 현실적입니다.

용어 설명 (Glossary)

마무리: 지금 해야 할 한 가지

프라이버시 샌드박스의 실패가 남긴 교훈은 명확합니다. 브라우저 정책이나 플랫폼의 약속에 의존하는 추적 구조는 언제든 무너질 수 있습니다.

반면 자사 서버를 통해 수집하고, 사용자의 동의를 받아 쌓은 퍼스트파티 데이터는 어떤 브라우저 정책이 바뀌어도 흔들리지 않습니다.

지금 당장 할 수 있는 한 가지를 고른다면, 현재 전환 추적에서 데이터가 얼마나 손실되고 있는지 GA4와 광고 플랫폼 전환 수를 비교해 보는 것입니다. 두 숫자의 차이가 클수록, 지금 당신의 광고비는 불완전한 데이터 위에서 집행되고 있는 겁니다.

기술 전환 방향은 잡혔지만 어디서부터 시작해야 할지 막막하다면, 에이달(ADALL) 의 테크니컬 마케팅 팀이 현재 추적 구조를 진단하고 단계별 전환 로드맵을 함께 설계해 드립니다.

📞 02-2664-8631 | 📧 master@adall.co.kr

서울 강서구에 위치한 에이달은 퍼스트파티 SDK 설계부터 sGTM 구축, 매체사 API 연동까지 전 과정을 직접 수행합니다. 프로젝트 문의는 언제든 환영합니다.