마케터를 위한 웹사이트 쿠키 동의 환경의 이해
최근 해외 또는 글로벌을 대상으로 비즈니스 하는 브랜드의 웹사이트에 들어가 보면 마주치는 것이 있습니다. 바로 쿠키 동의 배너인데요, 이 쿠키 동의가 무엇인지, 예전에는 없었던 것 같은데 왜 최근 들어 자주 보이는지, 그리고 마케팅에는 어떤 영향을 미치게 되는지 알아보겠습니다.
아직 한국에 계신 분들에게는 동의 모드라는 단어 자체가 생소하실 텐데요. 이미 해외의 많은 회사에서 적용하고 있는 구글의 개인정보 보호 관련 기술입니다. 이번 글에서는 구체적으로 동의 모드가 무엇이고 왜 사용해야 하는지 알아보도록 하겠습니다.
General Data Protection Regulation 흔히 우리가 GDPR이라고 부르는 유럽 일반개인정보보호법이 2018년에 발효된 이후 EU 내에 있는 개인의 개인 정보를 처리하는 경우, EU 내 자회사, 지사와 같은 사업장이 있는 경우 개인의 데이터를 수집하고 저장하는 것이 매우 까다로워졌습니다. GDPR 발효 후 생긴 가장 큰 변화는 방문자의 기기에 쿠키를 할당하기 전 아래 이미지와 같은 쿠키 배너를 필수로 추가해야 하는 것인데요.
이 경우 쿠키를 동의한 방문자의 정보만을 수집할 수 있기 때문에 GDPR을 발효하기 이전보다 수집되는 데이터의 양이 적어지고 마케터는 정확한 광고의 성과를 평가하는 것이 불가능해졌습니다. 이에 대응하기 위해 구글은 2020년 9월 3일 사용자의 쿠키 동의 상태에 따라 구글 애즈, 구글 애널리틱스, 구글 플러드라이트를 동작시키는 동의 모드를 베타 버전으로 출시합니다.
위의 이미지에서 알 수 있듯이 동의 모드는 쿠키 배너를 보고 사용자가 선택한 쿠키 사용 옵션에 따라 구글 애널리틱스, 구글 애즈 및 기타 구글 플랫폼에서 태그가 작동하는 방식을 제어할 수 있는 기술입니다. 동의 모드의 가장 큰 이점은 구글 플랫폼에 한해 이전과 달리 방문자가 쿠키 사용을 거부해도 GDPR을 지키며 합법적으로 비식별 데이터를 수집할 수 있다는 것인데요. 구체적으로 어떤 동의 유형이 있고 동의 유형의 상태(거부 또는 허용)에 따른 제한점과 수집되는 비식별 데이터에는 어떤 것이 있는지 알아보겠습니다.
구글이 공식적으로 태그를 컨트롤하기 위해 제공하는 동의 유형에는 5가지가 있습니다.
이 중 방문자 데이터 수집에 영향을 미치는 것은 광고와 관련된 ad_storage, 웹사이트 분석과 관련된 analytics_storage 입니다. 각 동의 유형별 상태에 따라 웹과 앱에서 태그가 어떻게 작동하는지 알아보도록 하겠습니다.
ad_storage= ‘granted’ 및 analytics_storage= ‘granted’
웹 | 앱 |
---|---|
광고와 관련된 쿠키를 읽고 쓸 수 있습니다. | 광고 식별자(예: ADID / IDFA)가 수집될 수 있습니다. |
IP 주소를 수집합니다. | Firebase용 Google 애널리틱스 SDK에서 생성된 앱 인스턴스 ID가 수집됩니다. |
URL 매개변수의 광고 클릭 정보를 포함한 전체 웹페이지 URL(예: GCLID / DCLID)이 수집됩니다. | |
이전에 google.com 및 doubleclick.net에 설정된 서드 파티 웹 쿠키와 퍼스트 파티 전환 쿠키(예: gcl*)에 엑세스 할 수 있습니다. |
광고 저장 공간, 웹사이트 분석 저장 공간 모두 사용에 동의한 상태이기 때문에 기존과 마찬가지로 쿠키, 광고 식별자, 앱 인스턴스 ID를 기반으로 방문자 정보를 수집할 수 있는 상태입니다.
ad_storage= ‘denied’
웹 | 앱 |
---|---|
광고 목적으로 새로운 쿠키를 작성할 수 없습니다. | 광고 식별자(예: ADID / IDFA), IDFV가 수집될 수 없습니다. |
기존 퍼스트 파티 광고 쿠키를 읽을 수 없습니다. | Google 신호 데이터 기능은 이 트래픽에 대한 데이터를 축적하지 않습니다. |
이전에 설정된 서드 파티 쿠키가 요청 헤더에서 전송되는 것을 방지하기 위해 다른 도메인을 통해 요청이 전송됩니다. | IP 주소는 IP 국가를 가져오는 데 사용되지만 Google Ads 및 플러드라이트 시스템 에서 로깅하지 않으며 수집 즉시 삭제됩니다. |
Google 애널리틱스는 Google Ads 쿠키를 읽거나 쓸 수 없으며, Google 신호 데이터 기능은 이 트래픽에 대한 데이터를 축적하지 않습니다 | |
전체 페이지 URL이 수집되며 URL 매개변수의 광고 클릭 정보(예: GCLID / DCLID)가 포함될 수도 있습니다. 광고 클릭 정보는 정확한 트래픽 측정값을 추정하는 데만 사용됩니다. | |
IP 주소는 IP 국가를 가져오는 데 사용되지만 Google Ads 및 플러드라이트 시스템 에서 로깅하지 않으며 수집 즉시 삭제됩니다. |
다음과 같이 광고 쿠키에 의존하는 구글 애널리틱스의 기능을 사용할 수 없게 됩니다.
구글 애널리틱스는 계속해서 퍼스트 쿠키를 읽고 사용할 수 있으므로 Device ID에 접근하고 수집하는 것이 가능합니다. 따라서 리마케팅에 활용하지 못할 뿐 전환, 이벤트, 사용자 측정항목, 세션 측정항목, 획득 데이터 및 속성은 지속해서 수집됩니다. 즉 ad_storage 사용이 거부되어도 캠페인별로 전환 관련 데이터는 정확하게 기록이 됩니다.
ad_storage= ‘denied’ 및 ads_data_redaction=‘true’
웹 |
---|
광고 목적으로 새로운 쿠키를 작성할 수 없습니다. |
기존 퍼스트 파티 광고 쿠키를 읽을 수 없습니다. |
이전에 설정된 서드 파티 쿠키가 요청 헤더에서 전송되는 것을 방지하기 위해 다른 도메인을 통해 요청이 전송됩니다. |
Google 애널리틱스는 Google Ads 쿠키를 읽거나 쓸 수 없으며, Google 신호 데이터 기능은 이 트래픽에 대한 데이터를 축적하지 않습니다 |
동의 및 전환 핑의 광고 클릭 식별자(예: GCLID / DCLID)가 수정됩니다. |
광고 클릭 식별자가 포함된 페이지 URL이 수정됩니다. |
IP 주소는 IP 국가를 가져오는 데 사용되지만 Google Ads 및 플러드라이트 시스템 에서 로깅하지 않으며 수집 즉시 삭제됩니다. |
ad_storage 사용이 거부되었을 때보다 한 단계 나아가 개인 정보를 보호합니다. 트래픽과 광고 캠페인을 연결하는 GCLID, DCLID가 수정되기 때문에 광고 캠페인별 추적 정보(획득 보고)에도 영향을 미칩니다. 광고 클릭 식별자가 수정되면 구글 애널리틱스가 사용자를 웹사이트에 방문하게 한 캠페인이 어떤 캠페인인지 알 방법이 없습니다.
analytics_storage= ‘denied’
웹 | 앱 |
---|---|
퍼스트 파티 애널리틱스 쿠키를 읽거나 쓰지 않습니다. | 기기나 사용자 식별자가 없는 이벤트는 향후 측정 목적으로 Google 애널리틱스로 전송됩니다. Google 애널리틱스 4에서는 이러한 이벤트를 모델링에 사용합니다. |
쿠키가 없는 핑은 향후 측정 목적으로 Google 애널리틱스로 전송됩니다. Google 애널리틱스 4에서는 쿠키가 없는 핑을 모델링에 사용합니다. | |
Google 최적화 도구(옵티마이즈)는 이 설정의 영향을 받지 않습니다 |
일반적으로 구글 애널리틱스 쿠키를 사용할 수 있는 경우 Device ID가 쿠키에 할당됩니다. 이렇게 할당된 Device ID는 사용자를 식별하는 고유의 익명 식별자로 사용되며 이벤트, 페이지 로드, 세션 전반에 걸쳐 사용자의 행동을 연결하는 데 사용됩니다. analytics_storage 사용이 거부되는 경우 사용할 수 있는 쿠키가 없기 때문에 Device ID는 새로운 페이지가 로드될 때마다 고유한 임의의 숫자로 재설정됩니다. 즉 1명이 10개의 페이지를 봤어도 쿠키를 사용할 수 없는 경우에는 10명이 1개의 페이지를 본 것처럼 보고가 됩니다. 이 경우 사용자, 세션 및 기여에 대한 분석이 아예 불가능하기 때문에 구글에서는 행동 모델링이라는 기술을 사용해 추정된 데이터를 제공하고 있습니다.
ad_storage 또는 analytics_storage가 거부되는 경우, 실행되는 태그는 쿠키를 저장하는 대신 사용자 활동에 대한 최소한의 정보를 전달하고 이 정보는 구글의 서버로 전송합니다. 전송되는 데이터는 다음과 같습니다.
방문자가 ad_storage 또는 analytics_storage와 같은 동의 유형을 거부하면 기본으로 설정했던 동의 상태(허용 또는 거부로 서비스에 따라 설정할 수 있음)와 업데이트된 상태를 전달합니다. 이후 사용자가 동의 모드를 사용 중인 페이지를 방문할 때마다 동의 상태 핑이 전송되고, 동의 상태가 ‘거부’에서 ‘동의’로 업데이트되는 경우에도 핑이 전송됩니다.
전환이 발생했을 때 전환이 발생했음을 알리기 위해 핑이 전송됩니다.
구글 애널리틱스가 구현된 웹사이트의 각 페이지 로드 시 또는 이벤트가 로깅될 때 이를 알리기 위해 핑이 전송됩니다. 이렇게 전송된 정보는 행동 모델링 기술이 적용되어 구글 애널리틱스 보고서에 보고됩니다.
구글에서는 동의 모드가 GDPR을 위반하지 않으며 데이터를 수집하고 있다고 하지만 동의 모드가 완벽하게 개인 정보를 보호하고 있지 못하다는 시각도 있습니다. 그 주장은 다음과 같습니다.
이와 같은 이유로 구글의 주장과 달리 실제로 동의모드가 GDPR을 완벽하게 지키고 있다고 보기는 어려워 보입니다. 특히 EU에서 미국으로 데이터가 전송되는 것은 EU - US Privacy Shield가 2020년 7월 16일 무효가 된 후로 명백히 불법이기 때문에 새롭게 제안된 데이터 전송 규정인 TADPF(Trans-Atlantic Data Privacy Framework)가 발효되기 전까지 비난에서 자유로울 수 없는 부분입니다.
구글의 동의 모드는 사용자가 동의하기 전 웹사이트 쿠키를 차단한 뒤 원하는 쿠키만을 동의할 수 있게 해주는 CMP(Consent Management Provider)라는 동의 관리 솔루션을 사용하고 있다면 구글 태그 매니저로 쉽게 구현이 가능합니다. CMP를 사용하고 있다는 가정하에 동의 모드를 구현하는 방법을 차근차근 알아보도록 하겠습니다.
[동의 개요 경로]
관리자 → 컨테이너 설정 → 추가 설정 → 동의 개요 사용
[템플릿 추가 경로]
작업공간 → 템플릿 → 갤러리 검색 → 선정한 CMP에 맞는 템플릿 선택 → 작업공간에 추가
구글이 소개하는 CMP 중 Sourcepoint를 제외하고 태그 템플릿을 만들어 놓았기 때문에 템플릿 가이드를 확인하면 개발자의 도움 없이 쉽게 동의 배너를 구현할 수 있습니다.
구글 제품의 경우 태그를 생성할 때 태그를 실행하는 데 필요한 동의 유형을 기본 제공 동의로 설정되어 생성이됩니다. 그래서 추가 동의가 필요하지 않기 때문에 추가 동의가 필요하지 않음으로 설정을 하면 간단하게 동의 모드가 적용된 태그가 완성이됩니다. 구글의 제품이 아닌 페이스북 기본 픽셀이나 링크드인 기본 인사이트 태그 같은 경우 태그를 실행하기 위해 추가 동의 요구 설정을 하여 광고와 관련된 저장공간인 ad_storage 동의 유형을 추가해줘야 합니다. 두 태그는 구글의 제품이 아니기 때문에 쿠키 사용에 비동의한 경우에는 아예 태그가 실행되지 않습니다.
처음 확인되는 동의 상태는 기본 동의 값이기 때문에 기본 동의 값을 거부로 해놓은 경우 Status에 granted가 아닌 denied가 값으로 보이게 됩니다.
동의 모드를 사용하면 ad_storage, analytics_storage 쿠키 사용을 거부해도 비식별로 사용자 활동에 대한 최소한의 정보를 전달하므로 구글은 이 정보에 머신러닝 기술을 적용하여 쿠키를 거부한 사람의 행동을 추정해 구글 애널리틱스 보고서에 표시해줍니다. 이를 동의 모드 행동 모델링이라고 정의하며 머신러닝의 기술의 원리는 이전에 작성했던 모델링된 전환의 원리와 같습니다. 다만, 동의 모드의 경우 전환 외에 페이지뷰, 이벤트도 부정확하게 수집되기 때문에 더 광범위한 지표에 모델링이 적용됩니다.
행동 모델링은 특정 요건을 만족하면 자동으로 적용이 되어 구글 애널리틱스 보고서에 보고되는데요. 어떤 조건이 있는지 살펴보도록 하겠습니다.
조건을 만족하여 행동 모델링이 사용 가능해졌음을 데이터의 변화 뿐만 아니라 GA4에서 제공하는 데이터 품질 아이콘을 통해서도 확인이 가능합니다. 각각의 데이터 품질 아이콘 상태가 의미하는 바는 다음과 같습니다.
[모델링 시행일] 기준으로, 애널리틱스에서 쿠키 동의와 같은 요소로 인해 제외된 데이터를 추정합니다.
[모델링 시행일] 기준으로, 애널리틱스에서 쿠키 동의와 같은 요소로 인해 누락되었을 가능성이 있는 모든 데이터를 추정합니다.
*그러나 실시간 데이터 또는 보관 데이터가 있는 카드에는 추정 데이터가 포함되지 않고 식별자 사용에 동의한 사용자의 데이터만 포함됩니다.
속성의 보고 ID 설정으로 인해 쿠키 동의 같은 요소의 누락으로 제외된 데이터를 추정할 수 없습니다. 혼합됨 설정을 사용하는 경우가 아니라면 보고서에는 식별자 사용에 동의한 사용자에게서 확보한 데이터만 포함됩니다.
추정 사용자 데이터 제외 상태의 경우 행동 모델링을 적용한 데이터를 반영할 수 있으나 GA4 속성의 설정이 비활성화되어 반영되지 못하는 상태입니다. 설정은 아래 경로에서 변경 가능하니 참고해주세요.
[보고 ID 설정 경로]
관리자 → 보고 ID → 혼합됨 활성화 → 저장
마지막으로 알아볼 것은 GA4에서 모델링된 데이터 사용이 불가능한 곳인데요. 몇 개 되지 않으니 이번 기회에 숙지해놓으시길 권장합니다.
이상으로 구글의 또 다른 개인정보 강화 대비책 솔루션인 동의 모드에 대해 알아봤습니다. 동의 모드에서 기억해야 할 가장 중요한 점은 아직 논란이 있긴 하지만 동의 모드를 사용하면 구글 제품에 한해 비식별화된 데이터가 수집되어 아예 수집이 원천 차단된 것에 비해서는 더 정확히 광고 성과, 사용자의 방문 및 행동 데이터를 추정할 수 있다는 것입니다.
동의 모드는 2020년 9월 출시된 이후 아직도 베타로 적용되어 있기 때문에 이후 새로운 업데이트나 변화가 있을 수 있는데요. 오소마 뉴스레터를 구독해주시면 그에 맞게 글을 업데이트한 후 빠르게 전달해 드리겠습니다.
1:1 상담으로 시작할 수 있습니다.