더 안전한 인터넷 환경을 꿈꾸는 개발자들을 위해 준비된 ‘프라이버시 샌드박스’

구글은 지난 4년간 업계와 함께 이용자들의 활동 내역을 안전하게 보호하고 누구나 쉽게 경험할 수 있는 더 나은 인터넷 환경을 위한 새로운 구성 요소를 개발하기 위해 노력해왔습니다. 이러한 구성 요소를 ‘프라이버시 샌드박스(Privacy Sandbox)’라고 부르며, 이미 업계의 많은 기업들이 개인정보를 잘 보호하는 솔루션을 개발하기 위해 프라이버시 샌드박스를 도입하고 있습니다.

우리가 사는 현실 세계에서 집을 짓는다고 가정했을 때, 단순히 건축 원자재만으로는 집을 지을 수 없습니다. 전문 기술과 창의성을 발휘하여 건축자재를 조립하고 잘 활용할 줄 아는 건축가가 필요합니다.

보다 안전한 인터넷을 위해서는 다른 기술과 함께 프라이버시 샌드박스를 활용하여 기존 솔루션을 발전시키고 새로운 솔루션을 개발하는 건축가, 즉 개발자가 필요합니다.

꼭 필요하고 실현가능한 변화

더욱 안전한 인터넷을 만들기 위해서는 모두가 함께 협력해야 합니다. 이용자는 안전한 인터넷을 이용할 권리가 있고 점점 더 많은 규제들이 이를 뒷받침하고 있습니다.

이용자들이 온라인 컨텐츠 및 경험에 자유롭게 접근할 수 있으면서도 동시에 안전한 인터넷을 향한 이런 변화를 실현하는 것이 바로 프라이버시 샌드박스의 핵심 목표입니다. 이를 위해서는 온라인 광고 업계를 비롯한 핵심 개발자들의 요구를 지원하는 새로운 개인정보 보호 기술이 필요한데, 오늘날에는 사이트 전반에서 이용자 활동을 추적할 수 있는 제3자 쿠키 및 기타 식별자(identifier) 에 의존하고 있습니다.

반면, 다른 웹 브라우저는 개발자를 지원할 수 있는 대안을 제공하지 않은 상태에서 제3자 쿠키를 제한하고 있습니다. 이로 인해 퍼블리셔가 콘텐츠와 서비스를 지원하는 것에 어려움을 겪으며, 이는 더 은밀한 형태의 이용자 추적으로 이어져 결국 이용자 개인정보 보호를 달성하기 어렵게 됩니다.

하지만 여기서 분명한 점은 제3자 쿠키에서 벗어나는 것이 아주 중요한 변화라는 점입니다. 지난 약 30년간 업계는 쿠키를 기반으로 환경을 최적화해왔습니다. 따라서 변화가 쉽지만은 않으며, 새로운 접근법을 이해하고 잘 적용하는 데에 시간이 필요합니다.

변화의 폭이 클 때 사람들은 종종 거부의 자세를 취하기도 합니다. 프라이버시 샌드박스의 경우에도 미흡하다거나 너무 복잡하다는 피드백도 있었습니다. 모두가 가급적 충분한 정보를 바탕으로 프라이버시 샌드박스를 사용하여 새로운 솔루션을 개발하는 결정을 내릴 수 있도록, 프라이버시 샌드박스 도입과 관련해 자주 발견되는 오해들에 대해 설명해드리고자 합니다.

프라이버시 샌드박스에 관한 오해:

1.프라이버시 샌드박스는 제3자 쿠키를 활용한 광고 사례에 대해 일대일 대체 기능을 제공하지 않는다?

프라이버시 샌드박스 API는 모든 제3자 쿠키 기반 광고 사례를 직접 일대일 대체하기 위한 의도로 고안되지 않았습니다. 또한 프라이버시 샌드박스 그 자체로 독립형 광고 기술 솔루션으로 사용되기도 어렵습니다.

대신 프라이버시 샌드박스 API는 사이트 간 이동을 추적하는 식별자 없이도 관련도 높은 광고를 게재할 수 있도록 퍼블리셔를 돕고, 온라인 판매 등 마케팅 담당자와 광고주의 핵심적인 비즈니스 목표 실현에 도움을 드릴 수 있는 기본 요소를 제공하도록 설계되었습니다.

개발자는 프라이버시 샌드박스 API를 다른 기술들과 병렬적으로 사용해 위의 핵심 비즈니스 목표 달성을 구현하실 수 있습니다. 제3자 쿠키를 기반으로 개발된 제품에도 비즈니스 요구 사항을 해결하기 위한 여러 계층의 기술과 서비스가 필요한 것도 이와 유사합니다.

이러한 API는 설계 의도상 제3자 쿠키 및 기타 사이트 간 이동 추적 식별자와 동일한 기능을 재현하지 않기 때문에, 개발자는 기존 사이트 혹은 제품의 작동 방식을 다시 설계해야 할 수도 있습니다. 예를 들어, 온디바이스 광고 경매를 실행한다는 건 이전의 서버 전용 기능이 이제 브라우저에서 실행되는 광고 기술 코드와 상호 작용한다는 것을 의미합니다. 그리고 만약 향후 프라이버시 샌드박스를 사용하는 경우, 웹사이트 전반의 이용자 활동 프로필을 기반으로 한 잠재고객 모색과 같이 제3자 쿠키에 의존했던 특정 기능들을 그대로 동일하게 사용하기란 어려운 일입니다.

구글은 9월부터 크롬에서 사용 가능한 현재 버전의 프라이버시 샌드박스 API가 더 안전하게 개인정보를 보호하는 생태계를 조성할 수 있다고 믿습니다. 또한 개인정보 보호와 유용성 측면 모두에서 앞으로도 계속 프라이버시 보호 기술을 발전시키기 위해 최선을 다할 것입니다.

2. 프라이버시 샌드박스는 (기존)식별자를 사용하는 것과 비교했을 때 너무 복잡하다?

사이트 간 식별자에 의존하지 않으면서도 안전하고 개인정보를 보호해주는 온라인 광고 솔루션을 구축하는 것은 곧 패러다임의 전환을 의미합니다.따라서 이러한 전환기에 제3자 쿠키 지원 중단에 따라 일부 업계에서 새로운 사이트간 식별자를 개발하는 것도 충분히 일어날 수 있는 일입니다. 그러나 이러한 새로운 식별자를 기존 제품에 간편하게 추가하면서도 개인정보 보호를 준수할 수 있다고 소개되지만, 실제로는 여전히 사이트 전체에서 이용자를 재식별할 수 있기 때문에 의미있는 개선 방향이라고 하기 어렵습니다.

사이트 전체에서 이용자의 신원을 보호하고 활용 가능한 데이터의 양을 제한하는 동시에, 의미있는 개발 결과를 얻을 수 있는 시스템을 설계하려면 기술을 혁신하고 새로운 패러다임을 개방적으로 받아들여야 합니다.

또한 새로운 개인정보 보호 구성 요소를 사용하려면 노력과 독창성, 그리고 시간도 필요합니다. 현재 이미 개발자들은 제3자 쿠키와 경계없는 사이트간 데이터 없이도 관련성 및 측정 API를 주요 구성 요소로 사용하여 솔루션을 개편하고 있습니다.

기업들은 이러한 API를 사용하여 머신러닝 모델을 학습시키고 완전히 새로운 제품을 제공하기도 합니다. 구글은 개발자와 협력하고 피드백을 반영하면서 프라이버시 샌드박스를 통해 고객을 위한 기회를 극대화할 것으로 기대합니다.

예를 들어 구글은 개발자가 노이즈 보고를 실험할 수 있게 하고 구체적인 요구 사항에 맞춰 관련 측정 API를 조정할 수 있도록 노이즈 랩(Noise Lab)을 마련했습니다. 또한 프라이버시 샌드박스 데모에서는 개발자가 주요 이용 사례를 해결할 수 있는 방법에 대한 예시 코드도 제공하고 있습니다.

3. 향후 프라이버시 샌드박스 기능이 불확실하다?

구글은 향후 프라이버시 보호를 강화하기 위해 몇 가지 프라이버시 샌드박스 기술이 필요할 것이라는 점을 기존에 공개한 바 있습니다. 예를 들어 Protected Audience API의 경우 광고 렌더링에 Fenced Frames 사용을 의무화할 것이며 2026년 이후 이벤트 수준(event-level)의 보고는 더이상 불가능해질 것입니다. 구글은 이러한 의무 사항 도입에 앞서 각각에 대한 적용 일정 및 준수 기한을 공지했기 때문에 업계는 API의 변화 일정에 대해 명확하게 알 수 있습니다. 또한, 구글은 그 기한 전까지 업계와의 협업을 통해 핵심 이용 사례들을 더 폭넓게 지원할 수 있도록 각 요소들을 계속 재설계하고 실행해볼 것입니다.

예를 들어 구글은 Protected Audience API를 통해 동영상 및 네이티브 광고를 지속 지원할 수 있도록, 2026년 이후 Fenced Frames을 의무화하기 전에 이를 지속적으로 개발,발전시킬 계획입니다.

또한, 영국 경쟁시장청(CMA: Competition and Markets Authority)과 이러한 변화에 대해 협업할 것이며, 시행에 앞서 생태계의 피드백을 지속적으로 수렴할 계획입니다.

일각에서는 업계가 현재의 기술을 도입하기 전에 구글이 향후 프라이버시 샌드박스 변화에 대비해 지금 바로 완전한 기술설계가 준비돼 있어야 한다고도 합니다. 하지만 구글은 그렇게 생각하지 않습니다. 인터넷 기술은 계속 발전해 왔고 앞으로도 계속 발전할 것입니다. 그러나 그렇게 발전하는 인터넷 기술이 현재 존재하는 구성 요소의 발전을 방해해서는 안 됩니다.

발전 의도에 대한 투명성과 업계가 협력할 수 있는 시간이 허용된다면 이러한 기술은 이용자와 생태계에 도움이 되는 방향으로 계속 발전할 수 있습니다.

4. 구글 제품은 프라이버시 샌드박스를 통해 이점을 누리고 있다?

구글을 비롯해 프라이버시 샌드박스 기술을 사용하는 모든 기업과 개발자는 동일한 프라이버시 샌드박스 기능에 동일한 수준의 액세스를 갖고 있습니다. 구글은 API가 구글에게 유리하게 설계되거나 구글 제품 및 서비스에 특별한 이점을 제공하지 않을 것임을 CMA에 약속한 바 있습니다. 구글은 모두가 사용할 수 있는 동일한 프라이버시 샌드박스 구성 요소를 구글의 광고 제품을 비롯한 구글 제품에 적극적으로 통합하고 있습니다.

5. 프라이버시 샌드박스를 활용해 개발하면 비용이 많이 든다?

개인정보를 더 잘 보호할 수 있는 웹 구현을 위한 솔루션을 개발하려면 리소스, 시간, 에너지에 대한 실질적인 투자가 필요합니다. 그러나 이는 이용자의 신뢰를 회복하고 자유롭고 개방적인 인터넷의 미래를 보장하기 위해서는 필수적입니다. 오늘날 전 세계의 절반 이상이 포괄적인 개인정보 보호 및 데이터 보호법의 적용을 받고 있으며 이러한 규제 사항은 계속 증가하고 있습니다.

또한 다른 브라우저들은 사이트 간 식별자를 제한하고 사이트와 앱 전반에서 이용자를 추적하는 방법을 제한하는 쪽으로 바뀌고 있습니다. 이에 따라 더 큰 관점에서 보면, 오히려 온라인 프라이버시를 개선하기 위한 투자의 수익률은 더욱 증가하며 중요도가 높아지고 있습니다.

또한 혁신적인 솔루션에는 그 가능성을 더욱 발전시키기 위해 새로운 기술이 필요한 경우가 많습니다. 프라이버시 샌드박스의 경우에는 정교한 데이터 처리를 지원하면서 이용자 데이터를 보호하는 클라우드 기반의 신뢰할 수 있는 실행 환경(TEE: Trusted Execution Environment)과 같은 프라이버시 강화 기술이 필요합니다. 이를 위해서는 광고 기술에 새로운 투자를 해야할 수도 있지만, 다른 인터넷 기반 기술이 그러했듯이 시간이 지남에 따라 오히려 도입이 늘어나면서 효율성이 향상되고 비용이 절감될 것으로 예상됩니다.

개인정보 보호를 개선하면 기업에도 직접적인 이점이 될 수 있습니다. 예를 들어 사이트 간 추적을 줄이면 제3자 쿠키에 동반되는 고비용의 퍼스트파티 데이터 유출 위험으로부터 퍼블리셔를 더 효과적으로 보호할 수 있습니다. 이러한 추가적인 데이터 보호 계층은 퍼스트파티 데이터를 통해 새로운 제품 기회를 창출할 수 있으며, 구글은 이미 기업들이 이러한 방향으로 나아가는 것을 목격하고 있습니다.

6. 프라이버시 샌드박스 API는 실제 생태계의 목소리를 반영하지 않았다?

프라이버시 샌드박스는 수백명의 사람들이 업계 전반에 걸쳐 아주 오랜 시간 동안 토론하고 논의하며 API 설계에 대한 피드백을 주고 받아 탄생한 공동 작업물입니다.

Protected Audience는 프라이버시 샌드박스가 이러한 협업을 통해 어떻게 구체화되었는지 보여주는 훌륭한 예입니다. Protected Audience는 2019년에 제안된 터틀도브(TURTLEDOVE)에서 비롯되어 크리테오(Criteo), RTB 하우스(RTB House), 오픈엑스(OpenX), 넥스트롤(NextRoll) 등 수많은 회사의 아이디어를 기반으로 발전을 거듭했습니다. 예를 들어 크리테오는 신뢰할 수 있는 환경(TEE)에서 실행되는 서비스 모델의 추가를 제안했고, RTB 하우스는 온디바이스에서 광고단가 경매가 이루어질 때 익명성을 지킬수 있는 모델을 만들고 개인화 기능을 개선했습니다. 오픈엑스는 퍼블리셔가 웹사이트를 수익화할 때 광고주를 선택할 수 있는 기능인 다중 판매자 경매(multi-seller auction) 구조를 제안했습니다. 그리고 넥스트롤은 현재 설계 구조에서 구매자와 판매자가 책임을 나눌 수 있도록 기여했습니다.

Protected Audience는 하나의 예에 불과합니다. 구글은 생태계의 의견을 직접 듣고 이를 기반으로 Topics API(업데이트된 분류 체계 및 상위 주제 선택 방법론), Attribution Reporting API(유연한 이벤트 수준 구성) 등을 업데이트했습니다. 구글은 프라이버시 샌드박스 API를 구체화하는 데 업계의 의견을 매우 중요하게 반영했으며 앞으로도 그럴 것입니다.

7. 제3자 쿠키 지원 중단 일정을 변경하면 생태계가 이에 대비하는 데 도움이 될 것이다?

구글은 일부 사람들이 더 많은 시간을 원한다는 점을 이해하지만, 일정을 바꾸면 오히려 생태계의 준비가 더 어려워질 가능성이 크다는 의견 역시 업계로부터 반복적으로 들었습니다. 최근 미국 디지털 마케팅 전문 매체 디지데이(Digiday)에서 실시한 업계의 대비 상태에 대한 설문조사 결과는 “업계가 제3자 쿠키 중단 이후의 환경에 대비하도록 도와줄 수 있는 한 가지는 구글이 기존에 고지한 중단 기한을 변함 없이 지키는 것”이라고 결론 짓기도 했습니다. 제3자 쿠키 지원 중단 일정은 경쟁 규제 관련 영국 CMA의 우려 사항을 해결하는 상황에 따라 변동될 수 있지만, 구글은 모두가 2024년의 제3자 쿠키 지원 중단에 대비하도록 권장하고 있습니다.

변화에 대한 준비

점점 더 많은 기업들이 이러한 변화를 받아들이고 있으며 이들은 프라이버시 샌드박스 및 기타 프라이버시 보호 기술을 사용하여 기존 솔루션을 발전시키고 새로운 솔루션을 개발할 수 있음을 보여주고 있습니다.

이러한 혁신은 매우 고무적인 일이며, 앞으로의 발전이 더욱 기대됩니다.

웹에서 개인정보 보호를 위한 의미 있는 변화를 향해 다음 단계로 나아갈 준비된 이용자들은 공식 홈페이지 privacysandbox.com 및 developer.google.com/privacy-sandbox에서 더욱 자세하게 확인할 수 있습니다.