제3자 쿠키 폐지 이후 디지털 광고의 변화와 대응

제3자 쿠키의 퇴장으로 디지털 광고 업계는 큰 변화를 겪고 있습니다. 한때 사용자 행동을 추적해 맞춤형 광고를 가능케 하던 제3자 쿠키가 사라지면서, 광고주는 새로운 기술과 전략을 모색해야 하는 상황입니다. 특히 크롬(Chrome) 브라우저는 2024년 말까지 제3자 쿠키를 완전히 제거할 계획을 진행 중이며, 이미 사파리(Safari)와 파이어폭스(Firefox)는 수년 전부터 제3자 쿠키를 차단해왔습니다. 이러한 변화에 대응하기 위해 구글, 애플, 메타 등 주요 기업은 각기 다른 프라이버시 중심의 대안을 내놓고 있습니다. 또한 GDPR, CCPA와 같은 개인정보 보호 법규는 전 세계적으로 데이터 수집 관행을 재편하고 있습니다. 이번 포스트에서는 쿠키 없는 환경에서의 광고 기술과 기업별 전략, 그리고 정책 변화와 미래 전망을 살펴보겠습니다.

---

주요 기업들의 대응 전략

구글: Privacy Sandbox로 새로운 광고 생태계 구축

구글은 Privacy Sandbox라는 이니셔티브를 통해 쿠키 이후 시대의 광고 기술을 준비하고 있습니다. Privacy Sandbox는 2019년에 시작된 프로젝트로, 제3자 쿠키를 단계적으로 폐지하면서도 은밀한 추적(covert tracking) 기법(예: 핑거프린팅)을 억제하려는 기술 모음입니다. 기본 아이디어는 사용자 데이터를 브라우저 내에 머물게 하여 개인정보를 보호하면서도, 광고주에게는 필요한 정보를 익명화된 형태로 제공하는 것입니다.

• FLoC (Federated Learning of Cohorts): 구글이 처음 제안한 쿠키 대안으로, 유사한 관심사의 사용자들을 브라우저가 **코호트(cohort)**라는 큰 집단으로 묶고 ID를 부여하는 방식이었습니다. 개별 사용자가 아닌 집단 단위로 타게팅함으로써 익명성을 높이려 한 것이지만, 불투명성과 민감 정보 유출 가능성에 대한 우려로 논란이 컸습니다. 유럽 규제 당국과 프라이버시 옹호자들이 강하게 반발하자, 구글은 FLoC 시험을 중단하고 이를 대체할 방안을 모색했습니다.
• Topics API: 2022년에 구글이 FLoC 대신 공개한 관심사 기반 광고 기술입니다. 사용자의 최근 웹 브라우징 활동을 기기에 국한하여 분석하고, 가장 자주 방문한 카테고리 몇 가지를 “토픽(topic)”으로 선정합니다. 예를 들어 사용자가 지난주 자동차 관련 사이트를 많이 방문했다면 “자동차” 토픽이 할당되는 식입니다. 브라우저는 매주 사용자의 상위 관심사를 업데이트하고 3주간만 보관한 뒤 삭제합니다. 사용자가 참여 사이트를 방문하면, 지난 3주 동안의 관심사 중 무작위로 선택된 3개의 토픽만 해당 사이트와 광고 파트너에게 공유됩니다. 이때 토픽 정보는 오직 사용자의 기기 내에서 선정되며, 어떠한 외부 서버(구글 서버 포함)에도 개별 방문 기록을 보내지 않습니다. 또한 성별, 인종, 종교 등 민감한 분류는 토픽 목록에서 아예 제외하여 사생활 침해 가능성을 낮췄습니다. 사용자는 브라우저 설정을 통해 자신에게 할당된 토픽을 확인하거나 제거할 수 있고, 아예 기능을 끌 수도 있습니다. Topics API의 등장으로 브라우저는 더 이상 특정 사이트 방문 이력을 외부에 노출하지 않고도 대략적인 관심사만 전달하게 되었고, 이는 종전 쿠키나 FLoC보다 개인정보 유출 위험을 줄이는 효과가 있습니다.

( Google Topics API: A Comprehensive Guide For Publishers | Snigel ) 쿠키 기반 추적과 Topics API 방식의 비교. 왼쪽은 여러 웹사이트를 거치며 생성된 제3자 쿠키 식별자들이 난수 형태로 쌓여 있는 모습이고, 오른쪽은 Topics API를 통해 브라우저가 파악한 사용자 관심사 목록을 보여줍니다. Topics API에서는 광고주가 이용할 수 있는 데이터가 오른쪽과 같이 “자동차”, “락 음악”, “팀 스포츠” 등의 일반화된 관심사로 제한됩니다. (출처: Google/Snigel)

• FLEDGE (Protected Audience API): 리마케팅/맞춤형 광고를 위해 제안된 Privacy Sandbox 기술입니다. 예를 들어 사용자가 어느 쇼핑몰에서 특정 상품을 본 경우, 나중에 다른 사이트를 방문하더라도 해당 상품 광고를 보여주는 재타게팅 시나리오를 지원합니다. FLEDGE에서는 이를 위해 브라우저가 “관심 그룹(Interest Group)” 개념을 운영합니다. 광고주의 사이트는 사용자의 브라우저에 특정 관심 그룹에 가입하도록 신호를 보낼 수 있고, 그 가입 정보는 브라우저 내부에만 저장됩니다. 이후 사용자가 제3의 사이트에 방문해 광고 경매가 열리면, 브라우저는 자체적으로 관심 그룹에 기반한 광고 입찰을 수행하여 적절한 광고를 선택합니다. 이 모든 과정에서 사용자의 관심 그룹 소속 정보는 기기 밖으로 직접 공유되지 않고, 광고 입찰 로직도 브라우저 내에서 실행되므로, 제3자 쿠키처럼 사용자 식별자가 외부로 흘러나갈 위험을 줄입니다. FLEDGE는 현재 Protected Audience API라는 이름으로 크롬에서 시험 중이며, 한 연구에서는 이 방식의 잠재적 효과가 쿠키 기반 리타게팅의 약 80% 이상에 달한다는 결과도 나왔습니다. 구글은 이러한 기술들이 궁극적으로 쿠키의 역할을 대체할 것으로 기대하고 있습니다.
• SDK Runtime (안드로이드 Privacy Sandbox): 구글은 웹 브라우저뿐만 아니라 모바일 앱 생태계에서도 쿠키 없는 추적 대안을 추진하고 있습니다. 안드로이드에서는 2022년 발표를 통해 “앱 간 추적을 제한하는 Privacy Sandbox” 계획을 밝혔습니다. 그 핵심 중 하나가 안드로이드 14에 도입된 SDK Runtime입니다. 이것은 제3자 광고 SDK가 앱 프로세스와 격리된 별도 런타임 환경에서 동작하도록 하는 것으로, 앱 개발사가 삽입한 광고 SDK가 더 이상 앱이 가진 민감 데이터나 식별자에 무제한 접근하지 못하게 울타리를 치는 방식입니다 (Overview of the SDK Runtime on Android - Google Developers) (Build and consume a Runtime-Enabled SDK - Google Developers). 각 앱은 필요한 SDK 코드를 SDK Sandbox라는 별도 프로세스에 로드하여 실행하며, 앱과 SDK 간 통신은 제한된 인터페이스(IPC)로만 이루어집니다 (Build and consume a Runtime-Enabled SDK - Google Developers). 이를 통해 광고 SDK가 무단으로 기기 식별자나 사용자 정보를 수집하거나, 앱 외부의 다른 활동을 추적하는 것을 차단할 수 있습니다. 이러한 격리 실행 모델은 사용자의 데이터 보호를 강화하는 한편, 악성 SDK로 인한 보안 문제도 줄여줄 것으로 기대됩니다. 다만, 개발자 입장에서는 새로운 SDK 연동 방식에 적응해야 하고, 광고주 입장에서는 SDK를 통한 정교한 디바이스 지문 수집 등이 어려워지는 변화가 있습니다. 구글은 ATT처럼 사용자의 직접 동의 프롬프트를 요구하기보다는, 플랫폼 수준에서 아예 추적 가능성을 기술적으로 봉쇄하는 접근을 택해 업계의 반발을 완화하고자 했습니다.

구글은 Privacy Sandbox의 개발 과정에서 업계 및 규제기관과 협력적인 접근을 강조하고 있습니다. 예를 들어 영국 경쟁시장청(CMA)의 우려에 대응하여, 구글은 자사 광고 제품에 우선권을 부여하지 않겠다는 내용 등의 공식 서약을 제출하고 개발 과정을 모니터링받고 있습니다. 또한 Privacy Sandbox 제안들은 W3C 웹 표준 커뮤니티에서 투명하게 논의되도록 하고, 개발자 미리보기와 시험 결과를 공유하면서 다년간 단계적으로 구현하고 있습니다. 즉, **“쿠키를 없애되 갑자기 기존 광고 생태계를 무너뜨리지 않겠다”**는 것이 구글의 전략으로, 2024년까지는 기존 광고 ID나 쿠키 기반 시스템도 병행 지원하며 충분한 준비 기간을 두고자 합니다. 구글 스스로도 애플의 ATT처럼 즉각적인 차단은 개발사 비즈니스와 사용자 경험 모두에 득보다 실이 클 수 있다며 점진적 대안을 추구하고 있음을 밝히고 있습니다.

---

애플: 앱 추적 투명성(ATT)과 Private Click Measurement

애플은 사용자 프라이버시를 강화하는 강경한 조치들로 업계 지형을 바꾸어 놓았습니다. 2021년 iOS 14.5부터 도입된 App Tracking Transparency (ATT) 정책은 모바일 광고 추적에 큰 전환점이 되었습니다. ATT 프레임워크 하에서 모든 앱은 다른 회사의 앱이나 웹사이트를 가로지르는 사용자 활동 추적에 대해 사전에 명시적 사용자 동의를 받아야 합니다. 아이폰에서 앱을 처음 열 때 시스템이 자동으로 **“이 앱에게 다른 회사의 앱 및 웹사이트에서 사용자의 활동을 추적하도록 허용하시겠습니까?”**라는 팝업을 띄워주며, 사용자는 **“앱에 추적 요청을 허용”**하거나 “추적 요청을 거부”(실제 문구: “Ask App Not to Track”)를 선택할 수 있습니다. 만약 사용자가 거부를 선택하면, 해당 앱 개발자는 광고 목적으로 활용되는 기기 식별자(IDFA)에 접근할 수 없고, 사용자 이메일 등 다른 정보로도 추적을 시도해서는 안 됩니다.

(Apple's New Anti-Tracking Privacy Feature Showing Up for Some iOS 14.4 Beta Users) iOS의 앱 추적 투명성(ATT) 동의 팝업 예시. 앱이 사용자에게 다른 회사의 앱과 웹사이트에서 활동을 추적해도 될지 묻고 있습니다. **“Ask App Not to Track”**을 선택하면 해당 앱은 IDFA와 같은 추적 식별자에 접근할 수 없으며, 추후 다시 추적 허가를 요청할 수도 없습니다. 이 변화로 인해 대다수 사용자가 추적을 거부하면서, 모바일 광고 업계는 사용자 데이터를 수집·연결하는 데 큰 제약을 받게 되었습니다.

ATT 도입 이후 사용자들의 약 80% 이상이 앱 추적을 거부한다는 통계가 나왔고, 그 결과 **페이스북(메타)**과 같은 광고 기반 기업은 사용자 행동 데이터를 대거 잃게 되었습니다. 메타는 ATT로 인해 2022년에만 약 100억 달러의 매출 손실을 예상한다고 밝히며 이를 *“우리 비즈니스에 상당한 역풍”*이라고 표현했습니다. ATT 시행 전에 페이스북은 전면 광고와 PR을 동원해 애플을 비판하며 중소기업이 피해를 입는다고 주장했지만 (Apple's New Privacy-Focused Tracking Prompt Appearing for iOS 14 Users [Updated] - MacRumors) (Apple's New Privacy-Focused Tracking Prompt Appearing for iOS 14 Users [Updated] - MacRumors), 팀 쿡 애플 CEO는 *“사용자에게 자신에 대한 데이터 수집과 이용에 대한 선택권이 주어져야 한다”*고 맞섰습니다 (Apple's New Privacy-Focused Tracking Prompt Appearing for iOS 14 Users [Updated] - MacRumors). 애플의 이러한 강력한 옵트인 정책은 결국 광고 생태계에서 개인정보 자기결정권을 크게 향상시켰다는 평가와 함께, 한편으로는 앱 개발사와 광고주 수익 모델에 충격을 주었습니다.

광고 효과 측정 부분에서도 애플은 Privacy by Design 철학을 적용한 솔루션들을 내놓고 있습니다. **Private Click Measurement (PCM)**은 사파리(WebKit) 팀이 제안한 프라이버시 보호형 클릭 측정 표준으로, 제3자 쿠키 없이도 광고 클릭이 전환(구매나 가입 등)으로 이어졌는지 파악할 수 있도록 고안되었습니다. PCM의 원리는 다음과 같습니다:

• 광고가 실린 사이트(클릭 소스)와 광고주의 사이트(클릭 대상) 각각에 아주 적은 양의 정보를 할당합니다. 광고를 클릭할 때 클릭 소스 측에 8비트 식별자(캠페인 ID), 클릭 후 전환이 발생하면 **클릭 대상 측에 4비트 식별자(전환 이벤트 ID)**를 기록합니다. 조합하면 최대 256개의 캠페인과 16개의 전환 유형까지 구분 가능하므로, 대규모의 개인식별자 없이도 광고 효율을 대략 측정할 수 있습니다.
• 이렇게 저장된 정보는 브라우저 내부의 Private Browsing 모드에서만 활용되며, 클릭과 전환 사이의 연관성만 판단합니다. 쿠키나 기타 식별자는 전혀 사용하지 않으며, 보고도 즉시 보내지지 않고 24~48시간의 지연 시간을 랜덤 적용하여 특정 사용자의 행동 타임라인을 추적할 수 없게 만듭니다. 예컨대 A사용자가 특정 광고를 클릭한 뒤 1시간 후 구매했다 해도, 브라우저는 1~2일 후 임의 시점에 “어느 캠페인에서 몇 건의 전환 발생” 같은 식의 Aggregated Report만 전송합니다.
• PCM은 2019년 처음 W3C에 제안되어 현재 논의 중인 표준안이며, 애플은 iOS 14.5부터 이를 사파리와 앱(Web-to-App 전환용)에 기본 구현했습니다 ( Introducing Private Click Measurement, PCM | WebKit). 사파리 이외에 다른 주요 브라우저의 구현이 추가로 이루어져야 정식 웹 표준으로 채택될 수 있는데, 애플은 업계가 조속히 채택할 수 있도록 개방적으로 협력하겠다고 밝히고 있습니다.

또한 애플은 SKAdNetwork라는 프레임워크를 통해 앱 설치 광고의 성과를 측정할 수 있게 하는 등, 개인 식별 정보 없이 광고 효과를 확인할 수 있는 방법을 제공하고 있습니다. 요컨대 애플은 ATT로 개인정보 수집을 원천 차단하는 한편, 광고주에게는 PCM이나 SKAdNetwork처럼 대안적 데이터를 제공합니다. 다만 이 데이터는 어디까지나 집계된 통계 수준이며, 더 이상 개별 사용자에 대한 세밀한 타게팅이나 추적을 허용하지 않겠다는 것이 애플의 확고한 입장입니다.

---

메타(Facebook) 및 기타 광고 업체들의 대응

**메타(구 페이스북)**는 제3자 쿠키 폐지와 ATT 도입으로 가장 큰 타격을 받은 기업 중 하나입니다. 페이스북은 그동안 자사 앱과 웹 픽셀, 그리고 제3자 쿠키를 활용해 방대한 사용자 행동 프로필을 구축함으로써 정밀한 광고 타게팅을 제공해왔습니다. 하지만 iOS 이용자의 데이터 접근이 갑자기 막히고, 웹 환경에서도 쿠키 이용이 어려워지면서 메타는 광고 성과 하락을 겪었습니다. 이에 대응하여 메타와 다른 소셜 플랫폼들은 몇 가지 방책을 내놓고 있습니다.

• 퍼스트 파티 데이터 활용 강화: 메타는 광고주들에게 자사 픽셀을 퍼스트 파티 쿠키로 전환하도록 권장하고 있습니다. 원래 메타 픽셀은 제3자 쿠키 방식으로 동작했지만, 이제는 웹사이트 소유자 도메인에서 쿠키를 구워 직접 수집한 1차 데이터처럼 활용하는 것이 기본 옵션이 되었습니다. 이를 통해 사용자 브라우저가 서드파티 쿠키를 차단하더라도 어느 정도 광고 노출 및 전환 데이터를 확보하려는 것입니다. 아울러 Conversions API와 같은 서버측 전송 도구를 제공하여, 광고주가 자체 백엔드 서버에서 발생한 전환 정보를 메타에 직접 보내도록 유도하고 있습니다. 예를 들어 온라인 주문 완료나 오프라인 매장 구매 데이터를 기업 서버에서 메타로 안전하게 전송하면, 쿠키 없이도 광고 성과를 측정하고 타게팅에 활용할 수 있다는 것입니다. 이러한 1차 데이터 전략은 브라우저나 OS의 제한을 상대적으로 덜 받기 때문에, 메타는 적극적인 도입을 강조하고 있습니다.
• 타게팅 방식 조정: 메타는 개인정보 규제 강화에 대응하여 광고 타게팅 옵션을 일부 축소하기 시작했습니다. 2022년 초 페이스북은 인종, 성적 지향, 정치 성향 등 민감한 범주의 세부 타게팅 옵션을 대거 제거한다고 발표했는데, 이는 서드파티 데이터와 연결된 프로파일링에 의존하기보다는 사용자가 직접 제공한 관심사나 컨텍스트에 초점을 맞추는 변화로 해석됩니다. 맞춤형 잠재고객(Custom Audiences) 기능도 GDPR 등의 영향으로 엄격한 동의 요건이 부과되었고, 광고주들은 타게팅 범위를 넓은 군집이나 유사 타게팅(Lookalike) 중심으로 재편하고 있습니다. 동시에 메타는 기계학습을 활용한 Advantage+ 캠페인 등을 선보여, 세부 설정보다는 AI가 자동으로 최적 타게팅을 찾도록 유도하고 있습니다. 요컨대 신규 개인정보 환경에서는 너무 미세한 타게팅보다는 컨텍스트와 패턴 분석에 의존한 전략으로 전환하는 모습입니다.
• 광고 모델 다변화 및 서비스 개편: 일부 광고 네트워크와 퍼블리셔들은 컨텍추얼 광고(문맥 기반 광고)로 회귀하거나, 회원가입/로그인 기반의 1st-party 데이터 수집을 강화하고 있습니다. 예를 들어 Unified ID 2.0과 같은 업계 이니셔티브는 사용자가 이메일 등으로 동의한 식별자를 해싱하여 공유하는 공개 표준을 추진하고 있고, 여러 광고 기술 회사들이 이 대안을 시험 중입니다. 한편 메타는 유럽에서 개인정보 규제에 대응하여 새로운 구독 모델과 설정을 검토했습니다. 2024년 말 소식에 따르면, 메타는 EU 이용자들에게 행동 기반이 아닌 맥락 기반(Contextual) 광고를 보는 무료 옵션과, 개인 맞춤 광고 없이 유료 구독으로 서비스 이용하는 옵션을 제공하는 방안을 준비하였습니다. 이는 유럽의 디지털시장법(DMA) 요구에 따른 조치로, 이용자에게 타게팅 광고에 대한 선택권을 주기 위함입니다. 이렇듯 광고 기업들은 각국 규제에 맞춰 서비스 구조를 개편하거나 수익 모델을 변화시키는 방안까지 모색하고 있습니다.
• 업계 공조와 표준화 노력: 국제 광고업계 단체인 IAB(Interactive Advertising Bureau) 역시 쿠키 없는 시대에 대비한 표준 가이드라인을 만들고 있습니다. IAB Tech Lab은 구글 Privacy Sandbox 제안에 대한 심층 분석 보고서를 내어, 새로운 API들이 기존 광고 활용 사례를 얼마나 수용하는지 Fit-Gap 분석을 시행했고, 실무 구현상의 과제들을 공개적으로 논의했습니다. 이를 통해 업계가 공동으로 테스트하고 구글과 협의하여 개선점을 찾도록 독려하고 있습니다. 또한 프랑스 등 일부 국가에서는 애플 ATT로 인한 영향에 대해 규제기관 간 의견 충돌도 존재합니다. (예: 프랑스 경쟁당국은 ATT가 애플에 유리하게 작용하는지 조사 중입니다.) 이러한 상황에서 광고 회사들은 개별 기업의 대응을 넘어, 프라이버시와 광고 효율의 균형점을 찾기 위한 업계 차원의 협력에 나서고 있습니다.

---

법·정책 변화: 개인정보 보호 규제와 글로벌 대응

유럽 GDPR과 캘리포니아 CCPA 등 최근 몇 년간 시행된 개인정보 보호 법령들은 제3자 쿠키 종말의 중요한 배경이 되었습니다. 사용자 데이터를 광범위하게 수집하고 활용하는 행위에 사회적 경각심이 높아지면서, 2018년 GDPR 발효 이후로는 제3자 쿠키 사용 자체가 급격한 제한과 감시에 직면했습니다. 사실 GDPR 본문에서 “쿠키”가 직접 언급되는 곳은 적지만, 온라인 식별자(쿠키 ID, IP 등)도 개인정보로 간주될 수 있음을 명시하고 있습니다. 또한 GDPR 준수를 위해 웹사이트들은 쿠키 배너를 통해 사용자 동의를 받도록 요구받았는데, 많은 이용자들이 추적 쿠키를 거부하거나 삭제하면서 마케팅 쿠키 활용률은 감소 추세를 보였습니다. “쿠키 수용 여부를 이용자에게 묻는 문화” 자체가 정착된 것만으로도, 무분별한 서드파티 쿠키 남용은 억제되는 효과를 낳았습니다.

미국 캘리포니아주의 CCPA(2018 통과, 2020 시행) 역시 “Do Not Sell My Personal Information” 옵션을 통해 사용자가 제3자에 대한 데이터 판매/공유를 차단할 권리를 부여했습니다. 이에 따라 글로벌 웹서비스들은 캘리포니아 거주자에 대해 서드파티 쿠키 기반 광고를 제한하거나, 일괄적으로 쿠키 관리 도구를 개선하는 조치를 취했습니다. 이어서 버지니아주, 콜로라도주 등 미국 내 여러 지역과 브라질, 대한민국 등 국가들도 GDPR을 본뜬 법률을 마련하여 개인 데이터 수집에 엄격한 잣대를 들이대고 있습니다. 이러한 글로벌 규제 환경은 결국 쿠키를 비롯한 기존 추적 기술의 법적 위험 비용을 높였고, 기업들은 자발적 폐기나 대안 기술 개발로 방향을 틀 수밖에 없게 되었습니다.

또 한편으로, 경쟁 및 반독점 이슈도 정책 변화의 축으로 떠올랐습니다. 구글이 크롬에서 쿠키를 차단하겠다고 발표하자, 일부 광고 생태계 참여자들은 **“구글이 독점적 지위를 악용하여 타사 광고업체를 배제하는 것”**이라고 반발했습니다. 이에 영국 CMA는 2021년 구글 Privacy Sandbox에 대한 조사를 개시했고, 구글로부터 각서를 받아냈습니다. 구글은 쿠키 제거를 CMA가 만족할 만한 대안이 준비될 때까지 유예하고, Privacy Sandbox 구현 시 구글 자체 서비스에 특혜를 주지 않겠다고 공식 확약했습니다. 이러한 전례는 향후 유사한 변화에 있어서 공정 경쟁 측면의 감독이 함께 이루어질 가능성을 보여줍니다.

유럽연합의 **디지털시장법(DMA)**과 **디지털서비스법(DSA)**도 거대 플랫폼의 맞춤형 광고 제한과 투명성 제고를 추구하고 있습니다. DMA는 이용자에게 개인화 광고에 대한 명확한 선택지를 제공하도록 강제하고, 미성년자 대상 맞춤광고 금지 등의 조항을 담고 있습니다. 이에 따라 메타, 구글, 아마존 등 게이트키퍼로 지정된 기업들은 EU 지역에서 비개인화 광고 옵션을 도입하는 등 정책을 조정하고 있습니다. 예컨대 앞서 언급한 메타의 EU 대상 맥락 광고 옵션 제공은 DMA를 준수하려는 움직임입니다. 이처럼 개인정보 보호 규제에 더해 플랫폼 규제까지 더해지면서, 글로벌 광고 전략은 법규 대응 없이는 수립하기 어려운 시대가 되었습니다.

---

Privacy Sandbox 기술 작동 방식: FLoC, Topics, SDK Runtime 자세히 보기

앞서 개괄적으로 살펴본 구글 Privacy Sandbox의 핵심 기술들을 조금 더 기술적 측면에서 정리하면 다음과 같습니다.

• FLoC (연합 학습 코호트) – “브라우저가 사용자를 그룹으로 묶어 식별”: FLoC은 크롬 브라우저가 지난주 사용자의 전체 웹 활동을 요약해 수천 명 단위의 코호트 ID를 부여하는 방식이었습니다. 같은 코호트 ID를 공유하는 사용자는 비슷한 관심 패턴을 가진 집단으로 간주되어 타게팅에 활용됩니다. 그러나 이 방식은 코호트 ID 자체가 다른 정보와 조합되어 개인을 식별하는 데 악용될 수 있고, 특정 민감 관심사가 있을 경우 코호트 ID만으로도 이를 유추할 수 있다는 우려가 있었습니다. 결국 FLoC은 투명성과 안전성 문제로 폐기되었습니다.
• Topics API – “브라우저가 관심사 토픽을 선정해 공유”: Topics은 FLoC의 대안으로 제시된 기기 내 관심사 분류 기술입니다. 일정 기간(에포크, 기본 1주) 동안 사용자가 방문한 사이트 주제를 바탕으로 브라우저가 미리 정의된 약 300여 개의 카테고리 중 상위 5개를 사용자 관심 토픽으로 간주합니다. 새로운 주기가 시작되면 이전 주차의 토픽은 폐기되고 업데이트되며, 광고용으로 외부에 제공되는 것은 최근 3개 주차에서 뽑힌 최대 3개의 토픽 정보뿐입니다. 이때도 무작위성이 가미되어 매번 상위 관심사가 그대로 노출되지 않도록 했습니다. Topics API는 사용자 개별 방문 기록이나 ID를 아예 외부로 보내지 않고, 광범위한 범주 정보만 제공하므로, 광고사 입장에서는 어느 사이트에 관심을 가졌는지는 몰라도 대략적인 취미·관심 영역을 알 수 있습니다. 또한 토픽은 브라우저 설정에서 사용자가 직접 관리(차단/삭제)할 수 있어 투명성과 통제권을 확보했습니다. (반면 FLoC의 코호트 ID는 의미를 알기 어렵고 사용자 제어도 어려웠습니다.)
• FLEDGE (보호 대상 API) – “온디바이스 광고 경매와 관심 그룹”: FLEDGE는 리타게팅 광고를 지원하기 위한 Privacy Sandbox 구성요소입니다. 핵심은 사용자가 특정 상품이나 사이트에 관심을 보였을 때, 광고주가 그 정보를 브라우저 내에 “Interest Group” 형태로 저장해두었다가 추후 관련 광고를 제시하는 것입니다. 사용자가 광고주 사이트를 방문하면 브라우저는 해당 사용자에게 관심 그룹 태그를 (사용자 모르게) 붙여 둡니다. 이 정보는 브라우저에만 저장되며, 구글 등도 알 수 없습니다. 나중에 사용자가 다른 매체 사이트에서 광고 슬롯을 볼 때, 그 매체의 광고 경매에 해당 관심 그룹을 보유한 광고주가 참여하게 됩니다. 광고 입찰 로직은 브라우저 내부의 샌드박스 환경에서 실행되어, 사용자 디바이스에서 직접 가장 알맞은 광고를 선택합니다. 결과적으로 리마케팅이 가능해지지만, 사용자가 어떤 관심 그룹에 속하는지 외부에 노출되지 않고, 타사 스크립트가 이용자를 특정 그룹에 추가하거나 조회하는 것도 불가능합니다. 광고주는 오직 브라우저가 허용하는 제한된 API를 통해서만 관심 그룹 참여를 유도하고 광고 입찰에 참가할 수 있습니다. 이러한 구조는 과도한 크로스사이트 추적 없이도 광고 효율을 어느 정도 유지하려는 노력으로 볼 수 있습니다.
• Android SDK Runtime – “광고 SDK의 격리 실행”: 앞서 설명한 안드로이드 Privacy Sandbox의 핵심 기술입니다. Android SDK Runtime은 앱이 외부 광고 SDK를 로드할 때 별도의 SDK 샌드박스 프로세스에서 실행하도록 합니다 (Build and consume a Runtime-Enabled SDK - Google Developers). 이 샌드박스는 앱의 권한을 일부 공유하되 민감한 사용자 데이터에는 접근할 수 없는 환경으로 설계되었습니다. 예를 들어 SDK는 사용자 기기의 광고ID(ADID)를 직접 얻지 못하며, 앱이 제공해주는 토큰화된 정보만으로 동작해야 합니다. 또한 SDK Runtime 프로세스는 앱이 포그라운드일 때만 우선순위를 가지며, 백그라운드로 가면 곧 종료될 수 있도록 해 지속적 추적을 어렵게 합니다 (SDK Runtime overview | Privacy Sandbox | Google for Developers). 이렇게 하면 광고 SDK가 운영체제 전반에서 사용자를 식별하거나 다른 앱 사용 내역을 수집하는 일이 기술적으로 차단됩니다. 광고 SDK 개발자들은 새로운 런타임 지원 SDK로 업데이트가 필요하며, 광고주들은 기존만큼 자세한 사용자 프로파일링이 힘들어질 수 있습니다. 그러나 장기적으로는 사용자 프라이버시 신뢰를 회복하여 광고 차단이나 추적 거부를 완화시키는 효과를 기대할 수 있습니다.

---

Privacy Sandbox와 광고업계의 미래 전망

“포스트 쿠키” 시대를 대비한 기술과 정책들을 종합해보면, 디지털 광고 업계는 큰 전환기를 맞이하고 있습니다. 구글의 Privacy Sandbox는 웹 브라우저와 모바일 OS 레벨에서 프라이버시 보호를 기본값으로 삼으면서도, 광고 비즈니스의 필요 최소한의 기능을 살리려는 시도입니다. 애플의 접근은 다소 급진적이지만, 그 철학은 **“개인정보는 철저히 개인의 것”**이라는 명제로 요약됩니다. 메타를 비롯한 광고 플랫폼들은 이 새로운 규칙 아래 비즈니스 모델을 재편해야 했습니다.

공식 문서와 정책 방향을 보면, 구글은 Privacy Sandbox를 개발하며 *“사용자 정보는 보호하면서도 모바일과 웹의 무료 콘텐츠 생태계를 유지할 수 있는 길”*을 찾고 있다고 밝히고 있습니다. 이는 향후에도 개인화 광고 자체를 포기하지는 않겠지만, 그 방식은 익명화·기기내 연산·사용자 통제권 강화로 대표되는 방식으로 완전히 바뀔 것임을 시사합니다. 애플은 ATT를 통해 촉발된 프라이버시 중시 기조를 앞으로도 이어갈 것으로 보이며, 차기 iOS 버전들에서도 메일의 픽셀 차단(MPP), IP 주소 숨김(프라이빗 릴레이) 등 사용자 추적을 어렵게 만드는 기능들을 계속 추가하고 있습니다. 이에 대한 업계의 피드백이나 반발이 있더라도, 애플은 자신들의 고객인 사용자 편에 서겠다는 입장을 분명히 해왔습니다.

광고업계에서는 퍼스트 파티 데이터의 가치 상승과 함께 콘텍스트 광고의 재평가, 그리고 새로운 식별자 규격의 경쟁이 벌어질 전망입니다. 궁극적으로는 **“개인대상 타게팅”에서 “군집 및 맥락 타게팅”**으로 패러다임 전환이 일어나고, 실시간 경매에서도 사용자의 즉각적 신원 정보 없이 기계학습에 기반한 예측 모델이 활용될 것입니다. IAB 등의 단체는 이러한 전환이 매출 측면에서 너무 급작스럽지 않도록, 테스트와 데이터 공유를 통한 업계 학습曲선 관리를 강조하고 있습니다. 예를 들어 IAB Tech Lab은 Privacy Sandbox 테스트 가이드를 발행하고, 광고 회사들이 새로운 API 환경에서 캠페인을 시뮬레이션해볼 수 있는 샘플 코드와 샌드박스를 제공하고 있습니다.

마지막으로, 인터넷 이용자의 인식 변화도 무시할 수 없습니다. 과거에는 쿠키로 인한 맞춤형 광고를 당연하게 받아들이던 사용자들도, 이제는 브라우저의 “추적 방지” 기능이나 프라이버시 보호 브라우저(파이어폭스, 브레이브 등)를 통해 사생활 보호를 적극 선택하고 있습니다. 설문에 따르면 많은 사용자가 개인정보 보호를 이유로 광고 차단 소프트웨어를 사용하고 있고, 기업들의 투명한 데이터 사용 정책을 요구하고 있습니다. 이런 환경에서 광고 업계의 신뢰를 회복하려면, Privacy Sandbox와 같은 프라이버시 강화 기술에 대한 지속적인 개선과 더불어 이용자 커뮤니케이션이 중요할 것입니다. **“왜 이 광고를 보게 되었는지”**를 사용자가 이해하고 납득할 수 있는 구조, 그리고 동의와 가치 교환에 기반한 데이터 활용만이 미래에도 디지털 광고가 존속할 수 있는 기반이 될 것입니다.

요약하면, 제3자 쿠키의 종말은 디지털 광고에 위기인 동시에 새로운 기회입니다. 구글, 애플, 메타 등 주요 플레이어들은 각자 방식은 다르지만 프라이버시 친화적 혁신으로 이 상황에 대응하고 있습니다. 가까운 몇 년간은 Privacy Sandbox의 실제 효과, 법규의 정비, 그리고 이용자 반응 등이 복합적으로 광고 시장에 영향을 미칠 것으로 예상됩니다. 광고주와 퍼블리셔는 지금부터 쿠키 없는 세상의 마케팅 전략을 재정비해야 할 때이며, 투명성과 개인정보 보호를 중심에 둔 기술만이 지속 가능한 광고 생태계를 이루는 열쇠가 될 것입니다.

참고 자료: 구글 및 애플 공식 블로그와 개발자 문서, 유럽 GDPR 가이드, 메타 발표 및 업계 보고서 등. (각주 참조)