Velog에서 작성한 테크팀 블로그 글을 Medium으로 옮겼습니다.
쿠키가 뭔가요?!
쿠키는 사이트 접속 시 사용자의 원활한 사용을 위해 사이트 관리자가 생성 및 삭제하는 텍스트 파일입니다. 일종의 디지털 메모장인 셈입니다. 여기에 무엇을 기록할지는 사이트 관리자의 자유입니다. 웹 개발자라면 익히 알고 있는 액세스 토큰, 리프레시 토큰이나 세션의 UID, 나아가서 마케팅적 관심사까지 필요한 무엇이든 기록될 수 있습니다.
Chrome을 사용 중이라면 지금 바로 F12를 눌러보세요. 상단의 Application 탭 -> 왼쪽 메뉴의 Storage -> 하위 항목 Cookies 가 보일 겁니다. 이게 말로만 듣던 "먹는 쿠키 말고 쿠키"의 실체입니다.
쿠키 메뉴 아래로 적게는 한 개에서 많게는 수십 개의 사이트 이름들이 뜰 것입니다. 현재 보고 계신 페이지(velog.io)에서 쿠키를 기록 중인 사이트들입니다.
그런데 조금 이상합니다. 갑자기 https://googleads.g.doubleclick.net 같은 사이트들은 왜 뜨는 것일까요?
이것이 바로 서드파티 쿠키!
위 사례처럼 https://velog.io에서 쿠키를 기록하고 있는 https://googleads.g.doubleclick.net는 velog.io 입장에서 서드파티입니다. 그리고 서드파티가 기록한 쿠키가 바로 서드파티 쿠키입니다.
사이트 소유주의 허락 없이 사이트의 서드파티가 될 수는 없습니다. 사이트 소유주가 집주인이라면 서드파티는 손님입니다.
그렇다면 서드파티가 되는 방법은 무엇일까요? 집주인이 문을 열어 손님을 맞이하는 것처럼, 사이트 소유주는 서드파티가 만들어둔 스크립트를 자사 사이트에 심는 행위로 서드파티를 활성화할 수 있습니다. https://velog.io는 https://googleads.g.doubleclick.net에서 가이드하는 스크립트 혹은 iframe을 사이트에 추가함으로써 서드파티로서의 활동을 허용하고 있는 것입니다. 웹 개발자라면 GA를 설치할 때 스크립트를 추가하라는 가이드를 보셨을 것입니다. 이는 GA가 여러분의 사이트에서 서드파티로 활동할 수 있도록 허용하는 과정으로 볼 수 있습니다.
서드파티 쿠키, 어디에 사용되나?
서드파티 쿠키는 서드파티의 정체성에 따라 그 목적이 다릅니다. 만약 서드파티가 광고업과 관련되어 있다면 유저 행동을 분석하고 기록하는 트랙킹(tracking)에 쿠키를 활용할 가능성이 높습니다. 그리고 이러한 트랙킹 행위는 유저의 프라이버시를 침해하는 방향으로 나아가기 쉽습니다.
인터넷에서 신발을 검색했을 때, 갑자기 뜬금없는 언론 사이트나 블로그에서 신발 광고가 수두룩하게 뜨는 걸 본 경험이 있을 것입니다. 서드파티 쿠키를 통해 여러분의 행동이 트랙킹 되었기 때문입니다. 마트에서 정육 코너를 둘러보고 돌아왔는데 현관문에 육류 할인 전단지가 붙어있다고 생각해보시면 이게 얼마나 소름 돋는 상황인지 이해가 가실 것입니다.
아무 언론 사이트에 들어가서 서드파티 리스트를 확인해보십시오. 수 많은 쿠키가 리스트에 자리잡고 있는 걸 볼 수 있습니다. 사이트 소유주가 더 많은 광고 수익을 위해서 무분별하게 스크립트를 추가하게 되면 이러한 현상이 발생합니다. 하지만 일반적인 사이트 방문자 입장에서는 사이트 서드파티의 존재를 알아차리기가 쉽지 않습니다.
서드파티 쿠키의 미래
구글은 트랙킹으로 침해되는 개인정보를 보호하기 위해서 2024년에 Chrome에서 서드파티 쿠키 기능을 제한할 것이라고 공표했습니다. 서드파티 쿠키를 활용해서 타겟팅하는 애드테크 회사들이 직격탄을 맞게 된 것입니다. 하지만 구글도 광고가 매출 전체의 80%를 차지하는 회사입니다. 광고주나 애드테크 업계의 니즈 만족과 개인정보 보호 향상이라는 두 마리 토끼를 잡기 위해서 Privacy Sandbox(프라이버시 샌드박스)라는 프로젝트를 진행하고 있습니다.
2편 예고
사실 이 문서는 서드파티 쿠키라는 것이 구체적으로 어떤 과정으로 구현되는지 궁금해서 시작했는데, 그러려면 서드파티 쿠키가 무엇인지에 대한 설명이 먼저 필요했습니다. 그래서 다음 편에서는 가상 웹사이트 A를 제작하여 서드파티의 스크립트를 심고, 서드파티 쿠키를 통해 유저 관심사를 트랙킹하고, 유저 관심사에 따른 광고가 다른 가상 사이트에서 나타나도록 구현해보려고 합니다.
아래는 결과물 예시입니다.
