1. 서론
1.1 연구 배경 및 필요성
광고시장은 전통적 매체(방송·인쇄메체)에서 온라인 광고로 급속히 전환되고 있으며, 그 중 맞춤형 광고가 대세로 떠오르고 있다. 온라인 광고는 그 상당 부분이 맞춤형 광고에 해당하는 것으로 추정된다[1].
위 표 1은 최근 5년간 국내의 온라인 부문에서 유형별로 광고비용을 나타낸 표이다. 전체적으로 디스플레이 광고와 검색 광고 중 디스플레이 광고가 더 많은 비중을 차지하고 있으며, PC보다는 모바일 시장에서 많은 광고비를 차지하고 있다. 또한 PC는 점차 줄어드는 반면, 모바일은 지속적으로 증가하는 추세를 보인다.
<표 1> 국내 온라인 부문 유형별 광고비
4차 산업혁명 기술의 발전으로 해킹, 개인정보 유출 등 역기능이 증가하고 있다[2]. 애드테크 산업은 제3자 쿠키를 활용한 맞춤형 광고로 수익을 창출했으나, GDPR, CCPA 규제와 제3자 쿠키 폐지로 제한을 받고 있다[3]. 이는 프라이버시 침해와 IT 대기업의 데이터 수집으로 인한 공정 경쟁 저해와 개인정보보호 문제가 배경에 있다[4]. 이러한 배경에서, 제3자 쿠키의 한계로 인한 대체 기술이 개인정보 보호와 디지털 광고 산업에 미치는 영향을 연구 범위와 목표를 통해 정의한다.
1.2 연구범위 및 목표
본 연구는 제3자 쿠키, SKAN, Privacy Sandbox’s Topics API를 분석하여 개인정보 보호와 광고 효율성에 미치는 영향을 평가하고, 디지털 광고 산업에서 개인정보 보호와 효과적인 광고 타겟팅 방안을 모색한다. 관련 논문과 가이드라인을 활용한 평가 모델을 통해 광고주와 소비자 모두를 위한 신뢰 구축과 지속 가능한 광고 전략을 제시하는 것을 목표로 한다.
디지털 광고 산업에서 개인정보 보호 문제는 제3자 쿠키의 사용 제한으로 중요해졌다[5]. 제3자 쿠키는 사용자의 행동 데이터를 수집해 광고 전략에 활용되었으나, 개인정보보호법 적용으로 데이터 수집과 타겟팅이 어려워졌다[6]. 따라서 Apple社는 iOS14를 배포하며 개인정보 제한 정책을 시작하였고, Google社는 2023년부터 제3자 쿠키를 제한한다고 발표하였다[7]. Apple社는 ATT(App Tracking Transparency) 정책을 도입해 앱 추적 시 사용자 동의를 의무화했으며[8], 이를 대체하기 위해 SKAN(SKAdNetwork)을 출시해 개인정보 보호와 광고 성과 측정을 지원하고 있다[9].
제3자 쿠키의 대안으로 Google社은 FLoC(Federated Learning of Cohorts)를 제안해 유사한 웹 브라우징 행동을 가진 사용자들을 그룹화하여 타겟 광고를 가능하게 했다. FLoC은 사용자 개인정보 노출을 줄이려는 목적을 가졌지만, 프라이버시 문제를 완전히 해결하지 못하고 그룹화 과정에서 새로운 형태의 침해 우려가 제기되어 비판을 받았다[10]. 이를 개선하기 위해 Google社은 FLoC의 단점을 보완한 Topics API를 제안해 개인정보 보호를 강화하면서도 광고 타겟팅 효과를 유지하도록 설계했다[11].
따라서 본 연구는 제 3자 쿠키 폐지와 대체 기술인 SKAN, Privacy Sandbox’s Topics API 등을 분석하고, 이를 통한 개인정보 보호와 보안 강화 방안을 제시하는 것을 목표로 한다. 이를 위해 1장에서는 연구의 배경과 목표를 정의하였고, 2장에서는 주요 애드테크 기술의 원리와 역할을 비교 분석하여 문제 해결의 기초를 마련한다. 3장에서는 평가 항목 모델을 바탕으로 효과적인 구현 방안을 제시하며, 4장에서는 실증 평가를 통해 기술의 보안성과 프라이버시 보호 성과를 검토한다. 마지막으로 5장에서는 연구 결과를 요약하고 디지털 광고 산업에서 개인정보 보호 문제 해결을 위한 기여점을 강조한다.
2. 관련 연구
2.1 애드테크 기술의 원리
2020년 코로나 팬데 애드테크(AdTech)는 광고(Advertising)와 기술(Technology)의 합성어로, 디지털과 모바일 빅데이터 등 IT 기술을 활용해 온라인 및 모바일 사용자의 데이터를 기반으로 적합한 고객군을 타겟팅하고, 실시간으로 광고 효율을 측정하여 대응하는 기술이다[12]. 이를 통해 특정 소비자 관련 데이터를 바탕으로 해당 소비자의 관심, 행위, 선호 등에 맞추어진 메세지를 맞춤형 광고로 제공한다[13]. 본 연구에서는 이러한 애드테크 기술들이 사용자들의 눈에 직접 보이지 않는 백그라운드에서 어떤 구성과 원리로 이루어지는지를 다루고, 각 기술을 분석하여 평가 항목을 구성하고 그 결과를 도출하는 것을 목표로 한다.
앞서 서론에서 설명된 것처럼 제 3자 쿠키의 단계적 폐지로 새로운 대체 기술들이 등장하며 애드테크와 디지털 광고 생태계에 큰 변화가 일어나고 있다. 본 연구는 이러한 흐름 속에서 제 3자 쿠키, SKAN, Topics API의 원리와 역할을 설명하고, 애드테크 기술의 변화를 분석하여 개인정보 보호와 광고 효율성을 동시에 고려한 전략을 탐구한다. 이를 통해 디지털 광고 기술의 미래를 위한 구체적인 방향성을 제시하고자 한다. 따라서 본 절에서 제 3자 쿠키의 동작 원리와 함께 SKAN 및 Topics API의 작동 방식을 상세히 설명함으로써 대체 기술이 디지털 광고 생태계에 미치는 영향을 논의할 것이다. 이러한 분석을 통해 새로운 기술적 대응 방안과 발전 가능성을 모색하고자 한다.
2.1.1 제 3자 쿠키(Third Party Cookie)
제 3자 쿠키는 사용자가 방문한 웹사이트 외부의 다른 도메인에서 설정된 쿠키로, 사용자의 행동을 추적하여 맞춤형 광고를 제공하는 데 사용된다. 사용자가 특정 웹사이트를 방문할 때 광고 네트워크가 쿠키를 설정하면, 이후 다른 웹사이트 방문 시에도 이 쿠키에 접근할 수 있어 사용자의 브라우징 패턴을 추적할 수 있다. 이를 통해 광고주는 사용자에게 맞춤형 광고를 효율적으로 노출할 수 있다.
(그림 1) 제 3자 쿠키 기술 원리
제 3자 쿠키는 사용자가 특정 웹사이트를 처음 방문하면 서버가 'Set-Cookie' 헤더를 통해 브라우저에 쿠키를 저장하고, 이후 같은 웹사이트를 방문할 때 이 쿠키를 함께 전송하여 맞춤형 응답을 제공하는 방식이다. 이를 통해 사용자는 다른 웹사이트에서도 추적될 수 있다. 이러한 과정은 사용자의 웹 브라우징 패턴을 파악하는 데 사용되며, 광고주는 이를 활용해 보다 정교한 맞춤형 광고를 제공할 수 있다[14].
(그림 2) SKAN 기술 원리
2.1.2 SKAN(SKAdNetwork)
SKAN(SKAdNetwork)는 Apple社가 광고주에게 사용자 프라이버시를 침해하지 않고 효과적인 광고를 제공하는 프레임워크이다[15]. 이 시스템에서 광고 네트워크는 앱이나 웹에 광고를 제공하고, 사용자가 이를 통해 앱을 다운로드하고 실행하면 Apple社가 사용자의 익명성을 보장하며 성과 데이터를 수집한다. 이후 광고 네트워크와 개발자에게 여러 번의 포스트백이 전송되어 광고 성과에 대한 정보를 제공하며, 이를통해 기업은 사용자 개인 정보를 보호하면서도 광고효과를 분석할 수 있다[16].
2.1.3 Privacy Sandbox’s Topics API
SKAN과 같은 대체 기술로 나온 Topics API(Privacy Sandbox's Topics API)는 본 연구의 서론에서 언급했듯이 FLoC가 먼저 개발되어 제공되었다. 개인정보에 대한 이슈가 있었기에 이를 대체하기 위해 나온 Topcis API는 Google社가 제안한 광고 기술로, 개인정보 보호를 우선적으로 제공한다는 장점이 있다.
(그림 3) Privacy Sandbox's Topics API 기술 원리
Google社는 Topics API 내에 웹사이트를 주제별로 분류하는 ‘분류기’라는 머신러닝 모델을 도입했다[17]. 분류기에 의해 Topics API가 사용자 관심 주제에 따라 사용자의 그래픽 기록을 추적하지 않고, 사용자가 나중에 사이트의 주제를 기반으로 관심 주제를 다룬다. 다음으로 사용자에게 가장 적합한 주제에 기반한 광고를 알려주며, 이로 인해 광고의 관련성 향상한다. 예를 들어, 향후 스포츠 관련 사이트를 추가로 사용자에게 스포츠 광고를 제공할 수 있다. Topics API는 브라우저 내에서 작동하여 사용자의 계정 개인정보를 외부나 광고주와 직접 공유하지 않는 관련 광고를 제공할 수 있게 된다. 이 기술은 쿠키 기반 광고의 억제를 보완하고 광고의 맞춤 성과를 유지하는 데 기여한다[18].
2.2 애드테크 기술의 핵심 요소
어느 타 연구에서는 추적과 관련된 항목들을 제안하였다[19].
<표 2> 애드테크 관련 항목 설명
위와 같이 정리하였으며, 사용자 식별 도구는 각 추적 기술이 쿠키, 토큰 등을 사용하여 사용자를 식별하는 방식을 다룬다. 크로스컨텍스트 사용자 가시성은 크로스 사이트(Cross Site)로 볼 수 있으며, 웹 애플리케이션에 악성 스크립트를 삽입해 피해자의 중요한 정보에 접근할 수 있다. 이를 통해 공격자는 쿠키 탈취, 세션 하이재킹, 웹 애플리케이션 변조, 서비스 거부 공격 등을 수행할 수 있어[20], 이를 해결하는 방안이 있는지 여부를 확인한다. 장기 추적은 지속적인 사용자 추적 가능 여부를, 타깃팅 제한 회피는 광고주가 타깃팅 제한을 회피해 더 정교한 프로파일링을 구축할 수 있는지 여부를 확인한다. 사용자 데이터 소스는 현재나 과거의 브라우징 행동을 통해 사용자 데이터 출처를 평가한다. 다섯 가지 기준을 통해 각 추적 기술의 프라이버시 영향을 분석하며, 본 연구는 이를 바탕으로 국내 가이드라인을 참고해 평가 항목 모델을 제안하였다[21].
해당 국내 가이드라인에 따르면 개인정보보호 원칙에 따라 행태정보 수집·이용에 대한 투명성을 보장하고, 이용자에게 정보 제공 및 광고 수신 여부를 선택할 수 있는 통제권을 부여하며, 기술적·관리적 보호조치를 통해 안전성을 확보하고 있다.
2.3 애드테크 기술 간의 비교 분석
본 절에서는 앞서 설명한 애드테크 기술들인 제 3자 쿠키, SKAN, Topics API의 동작 원리를 바탕으로 이들 기술을 비교 분석하고, 크게는 기존 기술인 제 3자 쿠키와 대체 기술들인 SKAN, Topics API를 비교 분석하고자 한다. 각 기술은 개인정보 보호 수준, 광고 타겟팅의 정밀도, 데이터 수집 방식 등 여러 측면에서 서로 다른 특징을 보인다. 이러한 비교 분석을 통해 디지털 광고 기술의 현재 상황과 각 기술의 강점 및 한계점을 명확히 이해할 수 있으며, 다음 목차인 3장 제안 사항에서 본 연구의 제안 사항을 명확히 제시할 수 있다. 따라서 앞서 설명된 절 내용을 통해 아래 표 3과 같이 비교 분석표를 작성할 수 있다.
<표 3> 가이드라인 분석
제 3자 쿠키는 높은 타겟팅 정밀도를 제공하지만, 개인정보 보호 측면에서 큰 문제가 있다. 반면, SKAN과 Topics API는 사용자의 개인정보 보호를 우선으로 하지만, 타겟팅 정밀도에서 제약이 있다. 이러한 분석을 통해 각 기술이 디지털 광고 생태계에서 어떤 역할을 수행하며, 그에 따른 장단점이 무엇인지를 명확히 파악할 수 있다. 이를 바탕으로 향후 광고 기술의 발전 방향을 모색하고, 개인정보 보호와 광고 효율성을 동시에 고려한 최적의 전략을 연구할 수 있을 것이다.
3. 효과적인 모델 구현 방안
3.1 제안 방법
애드테크 기술의 비교 분석 결과, 일반 사용자와 광고주 모두 개별 기술의 특성과 문제를 명확히 파악하기 어렵다. 개인정보 보호와 광고 효율성 측면에서의 장단점이 체계적으로 정리되지 않아 전반적인 이해 부족으로 이어지며, 이는 주요 이슈에 대한 인식과 대응책 마련에 한계를 초래한다.
이를 해결하기 위해 본 연구는 구체적인 평가 모델을 기반으로 애드테크 기술을 분석하고, 개선 방안을 도출하는 체계적인 접근 방안을 제안한다. 제안 방법은 다음과 같은 세 단계로 구성된다.
첫째, 기술 특성 분석 단계에서는 제3자 쿠키, SKAN, Topics API의 데이터 수집 방식, 사용자 식별 방법, 개인정보 보호 수준을 비교 분석하며, 문헌 검토와 데이터 수집 툴 등을 활용해 각 기술의 문제를 진단한다. 둘째, 평가 항목 도출 단계에서는 관련 연구와 개인정보보호 가이드라인을 바탕으로 투명성, 사용자 통제권, 기술적 보호, 관리적 보호의 네 가지 대분류로 평가 항목을 구성하고, 기술별 사례를 통해 실질적인 적합성을 검증한다. 마지막으로, 실행 방안 제시 단계에서는 평가 결과를 바탕으로 기술별 핵심 기준을 정의하고, 사용자와 광고주가 쉽게 적용할 수 있는 실행 가능한 가이드라인을 제시한다. 이를 통해 본 연구는 기술 문제를 체계적으로 분석하고 신뢰성 있는 광고 환경 조성을 위한 구체적인 대안을 제공한다.
3.2 평가 항목 모델 구성
본 연구는 관련 연구와 국내 온라인 맞춤형 광고 개인정보보호 가이드라인을 참고하여 1차, 2차 평가 항목을 구성하고, 이를 분석하여 최종 평가 모델을 도출하였다.
우선 타 연구에서 제안하고 있는 항목들을 대상으로 본 연구에서 다룰 기술들을 분석한 내용이 위 표 4이며, 일반적으로 크게 쿠키를 사용하는지 여부에 따라 기술이 나눠지고 이를 기존에 사용되고 있던 제 3자 쿠키(Third-party cookies)와 대체 신기술인 SKAN과 Topics API로 구분하였다.
<표 4> 각 기술별 장단점 비교 분석
<표 5> 맞춤형 광고의 추적 데이터 평가 항목 정리(1차)
따라서 1차 평가 항목은 기술의 기본 특성을 중심으로 구성하였다. 제3자 쿠키, SKAN, Topics API와 같은 기술별 데이터 수집 방식, 사용자 식별 가능성, 데이터 보관 기간 등의 요소를 비교하며, 각 기술의 개인정보 보호 수준과 효율성을 평가하기 위한 항목을 설정하였다. 예를 들어, 제3자 쿠키는 크로스 사이트 추적과 장기 식별 가능성을 보이는 반면, SKAN과 Topics API는 익명화 데이터와 제한된 데이터 소스를 사용하는 방식이 평가되었다.
다음, '온라인 맞춤형 광고 개인정보보호 가이드라인'은 데이터 보호에 대한 사회적, 법적 요구를 반영한 기준을 제시하지만, 주로 제 3자 쿠키만 다루고 있다. 본 연구는 이를 평가 항목에 포함하고, 대체 신기술을 추가하여 신뢰할 수 있는 평가체계를 구축하였다. 이를 위해 가이드라인의 '개인 정보 보호 원칙'을 정리해 표 6에 반영하였다.
<표 6> 맞춤형 광고의 추적 데이터 평가 항목 정리(2차)
2차 평가 항목은 온라인 맞춤형 광고 개인정보보호 가이드라인에서 제시한 개인정보 보호 원칙(예: 투명한 데이터 수집 안내, 사용자의 통제권 강화, 최소한의 데이터 수집 등)을 기준으로 기술별 개인정보 보호 수준을 평가하였다. 예를 들어, Topics API는 관심 주제를 기반으로 데이터를 처리하며 사용자가 통제를 용이하게 할 수 있지만, SKAN은 전환 데이터를 중심으로 처리해 데이터 통제의 범위가 제한적임을 확인하였다.
1차와 2차에서 도출된 항목을 기반으로 분석을 수행해 평가 항목을 도출하였다. 최종적으로, 평가모델은 투명성, 사용자 통제권, 기술적 보호, 관리적 보호의 네 가지 대분류로 구성되었다.
<표 7> 평가 항목 설명
애드테크 기술의 평가 항목 모델은 투명성, 사용자 통제권, 기술적 보호, 관리적 보호의 네 가지로 구성된다.
투명성 항목에서는 데이터 수집 및 이용 과정의 명확성을 평가하며, 세부적으로 식별 가능성(사용자가 데이터가 어떻게 처리되는지 알 수 있는지 여부)과 데이터 수집 안내(데이터 수집 사실의 고지 여부)가 포함된다.
사용자 통제권 항목은 데이터 제공과 광고 수신에 대한 사용자의 제어 능력을 평가하며, 사용자 제어 기능(정보 제공 여부 선택)과 설정 기능(PC 또는 모바일에서 광고 설정을 변경할 수 있는 기능)을 세부 항목으로 한다.
기술적 보호 항목은 데이터 보안 및 처리 안전성을 다루며, 세부 항목으로 추적 도구(사용된 기술이 개인정보를 추적하는 방법), 크로스사이트 추적 가능성, 데이터 보관 기간 준수, 강화된 타깃팅 방식의 프라이버시 보호 수준이 있다.
관리적 보호 항목은 데이터 최소 수집과 출처제한 준수 여부를 평가한다. 세부적으로는 데이터 최소 수집(필요한 데이터만 수집)과 데이터 출처제한(허용된 데이터 출처만 활용)이 포함된다.
이러한 세부 항목은 기술별 개인정보 보호와 효율성을 평가하기 위해 구체적이고 실질적인 기준을 제공하며, 기술의 장단점을 체계적으로 분석하는 데 활용된다.
<표 8> 평가 항목 모델의 평가 기준 설명
이 과정에서 각 대분류는 구체적인 평가 항목과 연결되며, 이를 위한 평가 기준은 높음(H), 중간(M), 낮음(L)으로 분류된다. 예를 들어, 투명성 항목에서는 "사용자가 데이터 수집 사실을 인지할 수 있음"이 H(높음)으로 평가되지만, 제3자 쿠키와 같이 안내가 부족한 경우는 L(낮음)으로 분류된다.
평가 모델 설계는 체계적인 단계를 통해 이루어진다. 첫 번째 단계에서는 관련 연구와 개인정보보호 가이드라인을 분석하여 평가 항목의 초안을 작성한다. 이 단계에서는 기술의 특성과 개인정보 보호의 주요 원칙을 반영한 초기 평가 항목이 도출된다. 두 번째 단계에서는 평가 항목 검토 및 수정 과정을 거친다. 기술별 사례를 기반으로 항목의 적합성을 검증하며, 이를 통해 세부 기준을 보완하고 항목의 실질적인 적용 가능성을 높인다. 마지막으로, 최종 평가 모델 구성 단계에서는 각 기술의 개인정보 보호 수준과 효율성을 종합적으로 평가할 수 있도록 네 가지 대분류를 중심으로 평가 모델을 완성한다. 이러한 설계 과정을 통해 연구는 기술별 장단점을 객관적으로 평가하고, 다양한 상황에 적용 가능한 평가 모델을 제공한다.
3.3 평가를 위한 가상환경 및 테스트 환경 구성
본 연구는 평가 항목을 검증하기 위해 웹과 앱의 독립적인 테스트 환경을 구축하여 효과를 평가하였다. 웹 환경은 Windows와 MacOS에서, 앱 환경은 Android와 iOS에서 구성하여 웹 및 모바일 애플리케이션의 효과를 확인하였다.
3.3.1 웹(Web)
(그림 4) 가상 환경 구성도(웹)
일반적인 PC에서 ‘VMware’라는 가상환경을 활용해 Window와 MacOS 운영체제로 각각 Chrome과 Safari 브라우저에서 제3자 쿠키, Privacy Sandbox‘s Topics API, SKAN(SKAAdNetwork)과 같은 목표 시스템까지의 구성도를 그린 그림이다. 이를 통해 각 운영체제와 브라우저가 다양한 평가 항목 모델을 대상으로 테스트를 진행하여 광고 추적 및 개인 정보 보호 시스템과 상호 작용하는 방식을 알아보려고 한다.
Windows에서는 쿠키와 Topics API 관련 항목을 평가하고, MacOS에서는 쿠키와 SKAN에 대한 평가를 수행하였다. Windows의 호환성과 MacOS의 높은 보안성을 활용하여 각각 애드테크 기술의 보안성과 개인정보 보호 측면을 검증하였다.
3.3.2 앱(App)
(그림 5) 휴대기기 환경 구성도(앱)
Android 기기에서는 Chrome으로 Topics API와 제 3자 쿠키를, iOS 기기에서는 Safari로 SKAN과 제 3자 쿠키를 테스트하였다. 운영체제와 브라우저에 대한 세부 정보는 표 9에 제시하였다.
<표 9> 운영체제 및 브라우저 상세 설명 정리 (웹)
<표 10> 기기 및 시스템 상세 설명 정리
Android는 다양한 기기에서 활용 가능한 오픈 소스 환경을 제공하여 보안 평가 항목을 유연하게 검증할 수 있다. iOS는 높은 보안성과 안정성을 갖춘 폐쇄형 운영체제를 기반으로, 데이터 보호와 프라이버시 중심의 평가 환경을 제공해 보안 항목을 세밀하게 검증할 수 있다.
이러한 환경 구성을 통해서 개발된 평가 항목별로 분석 및 평가를 진행아며, 구체적인 테스트 환경을 활용하는 방법은 아래 그림 6과 같이 구성하였다.
(그림 6) 평가 항목 분석 흐름도
"PC(Web) 또는 모바일(App) 테스트 환경 구현" 단계는 준비된 테스트 환경을 의미한다. 첫 판단 기준은 평가 항목의 테스트 환경 사용 여부이다. 필요 시 다음 단계로 이동하며, 필요하지 않다면 기존 연구 자료를 활용한다. 이후 PC(웹) 환경 또는 모바일(App) 환경을 선택해 최적의 테스트 환경을 진행한다. 마지막으로, 테스트 결과의 적합성을 검토하여 적합하면 "평가 항목 테스트 결과 및 증거 제시" 단계로 이어가고, 그렇지 않으면 추가 자료를 활용하여 분석한다.
4. 실증평가
4.1 평가 항목별 애드테크 기술 분석
이 연구는 애드테크 기술들이 개인정보 보호와 광고 효율성 측면에서 가지는 특징과 한계를 평가하고, 개선 방안을 제시하는 데 목적이 있다. 최근 디지털 광고 생태계에서 제3자 쿠키, SKAN, Privacy Sandbox’s Topics API와 같은 주요 기술들이 사용되지만, 이들 간의 차이와 장단점이 명확히 분석되지 않아 사용자와 광고주에게 혼란을 줄 수 있다. 이를 해결하기 위해 본 연구는 다양한 기술을 비교하고, 실험과 테스트를 통해 개인정보 보호와 광고 효율성을 동시에 달성할 수 있는 방법을 논의한다. 최종적으로, 광고 기술이 사용자 프라이버시와 광고 효율성을 조화롭게 고려할 수 있는지 평가하고, 광고주와 기술 개발자가 신뢰할 수 있는 광고 환경을 조성하도록 개선 방안을 제안한다.
4.1.1 식별 가능성
식별 가능성 항목은 기술이 사용자를 식별하는 방식과 이를 사용자가 이해할 수 있는지 평가하며, 식별 도구의 투명성과 안내 여부를 중점적으로 살핀다. 이는 개인정보 보호와 사용자 권한 보장을 강화하는 데 중요하다.
제3자 쿠키는 사용자의 웹 활동을 추적해 맞춤형 광고를 제공하지만, 행동을 광범위하게 추적할 수 있어 개인정보 보호 측면에서 낮은 평가를 받을 수 있다.
SKAN은 개인 식별 없이 익명화된 데이터를 활용해 광고 성과를 제공하며, 사용자 프라이버시를 강화하고 광고 효과를 평가할 수 있는 기술로 개인정보 보호 측면에서 높은 평가를 받는다.
Topics API는 사용자를 식별하지 않고 브라우저 내에서 관심 주제를 추출해 광고 타깃팅에 활용하며, 개인 정보를 외부로 전송하지 않아 개인정보 보호 측면에서 높은 평가를 받는다.
4.1.2 데이터 수집 안내
데이터 수집 안내는 사용자가 정보 수집의 목적, 방식, 활용 방안을 명확히 이해할 수 있는지를 평가하며, 이를 쉽게 이해할 수 있도록 제공하는 것을 중점으로 한다.
제3자 쿠키는 사용자의 행동 데이터를 수집하며, 동의 없이 사용될 경우 개인정보 침해 위험이 있다. 이를 예방하려면 사용자가 쿠키 사용 여부를 사전에 선택할 수 있는 권한을 제공해야 하며, 이를 통해 개인정보 관리를 강화할 수 있다.
(그림 7) 위치 기반 제 3자 쿠키 권한 요청
사이트나 브라우저는 데이터 사용을 명확히 공지해야 하지만, 위치 기반 제3자 쿠키 동의 시 설명 부족으로 위험성이 증가하며, 사전 안내 부족으로 낮은 평가를 받을 수 있다.
(그림 8) ATT 정책의 동의/비동의 여부
ATT 정책은 앱 사용 전에 추적 허용 여부를 선택할 수 있는 권한을 제공하지만, 데이터 수집 목적과 사용처에 대한 안내가 부족하여 평가에서 '보통'으로 측정될 수 있다.
(그림 9) ATT 정책의 동의/비동의 여부
Topics API는 데이터 수집 안내와 선택권을 명확히 제공하며, 데이터는 로컬 브라우저에서 처리되어 개인정보 보호를 강화한다. 투명성과 사용자 통제 권한으로 평가에서 '높음(H)'으로 판단된다.
4.1.3 사용자 제어 기능
사용자 제어 기능은 광고 수신과 데이터 제공 여부를 직접 선택·관리할 수 있는 권한을 평가하며, 직관적이고 쉽게 제공되어야 한다.
제 3자 쿠키는 PC 웹브라우저에서 쿠키 설정 가능 여부와 세부 설정 가능성을 확인하며, 이를 평가한다. 예시는 'Chrome'을 기준으로 설명되었다.
그림 10에 따르면, 'Chrome' 브라우저에서는 ① ‘설정’ 아이콘을 통해 쿠키 설정에 접근하고, ② ‘개인정보 보호 및 보안’ 항목에서 다양한 옵션을 설정할 수 있으며, ③ ‘서드 파티 쿠키’ 설정도 가능하다. 모바일에서도 동일한 기능을 제공하므로 평가 모델에서 높은 등급을 받을 수 있다.
(그림 10) Chrome 브라우저 제 3자 쿠키 관련 설정
(그림 11) MacOS ‘Safari’ 브라우저 설정
SKAN은 iOS에서 주로 작동하며 MacOS에서도 일부 사용 가능하지만 안내가 부족하고 직접 설정 기능이 미흡하다. 이에 따라 평가에서 중간 등급으로 측정될 수 있다.
Topics API는 브라우저 내에서 사용자의 웹 활동을 분석해 관심사를 추론하고 이를 광고에 활용한다. 그림 12에 따르면, '광고 개인 정보 보호' 설정에서 사용자는 Topics API를 활성화하거나 비활성화할 수 있으며, 관심사 목록을 수정 또는 삭제할 수 있다. 이러한 설정은 사용자에게 데이터 통제권을 제공하며, 세부적인 설명도 명확히 제시되어 있다.
(그림 12) Chrome 브라우저 Topics API 관련 설정
4.1.4 설정 기능
설정 기능 항목은 개인정보 보호와 관련된 설정의 구체성과 접근성을 평가하며, 사용자가 쉽게 변경하고 통제할 수 있는지를 중점적으로 다룬다.
Chrome 브라우저는 제3자 쿠키 설정으로 사용자가 데이터 처리를 통제할 수 있게 한다.
그림 13에 따르면, ‘서드 파티 쿠키’ 설정에서 사용자는 쿠키 허용, 시크릿 모드 차단, 모든 모드 차단 중 선택 가능하다. 고급 설정에는 "Do Not Track" 요청과 사이트 데이터 관리 기능이 포함되며, 특정 사이트에 대한 쿠키 사용을 개별적으로 허용할 수도 있다.
(그림 13) 제 3자 쿠키 세부 설정
SKAN은 광고 성과를 익명화된 데이터로 측정하며, 사용자가 별도 설정 없이 개인정보 보호를 기본적으로 강화하도록 설계되었다. ATT 정책과 연계되어 앱 추적 허용 여부를 설정할 수 있지만, SKAN 자체를 사용자가 직접 제어하기 어렵다는 점에서 평가에서 ‘보통’으로 측정될 수 있다.
Topics API는 브라우저 내에서 사용자의 관심 주제를 관리하며, 사용자는 설정 메뉴에서 주제를 확인, 삭제, 또는 API를 비활성화할 수 있는 기능을 제공한다.
(그림 14) Chrome 브라우저 Topics API 설정
광고 추적 설정, 사이트 추천 광고, 광고 측정 설정은 사용자가 데이터 활용을 관리할 수 있는 기능을 제공한다. 이를 통해 광고 추적을 제한하거나 허용하고, 개인화된 광고 추천 및 광고 성과 측정을 제어할 수 있다. 이러한 설정은 사용자 데이터의 투명성과 통제력을 강화해 평가에서 높게 측정된다.
4.1.5 추적 도구
추적 도구 항목은 쿠키, 토큰, 지문 등 사용자의 식별 및 추적 방식이 개인정보 보호에 미치는 영향을 평가하며, 동의 요청, 저장 기간, 활용 목적의 명확성, 그리고 사용자 관리 가능 여부가 핵심이다.
제3자 쿠키는 사용자가 방문한 웹사이트 외부의 다른 도메인에서 설정된 쿠키로, 사용자의 행동을 추적하고 데이터를 수집하는 데 사용된다. 이를 통해 광고 타깃팅과 사용자 프로파일링이 가능하며, 맞춤형 광고를 제공한다. 명확한 추적 도구인 '쿠키'를 사용하므로 평가 항목에서 높게 측정된다.
SKAN은 사용자 개별 데이터를 식별하거나 저장하지 않고 익명화된 전환 데이터를 통해 광고 성과를 평가하는 추적 도구다. Apple社이 데이터를 익명화하고 집계하여 광고 네트워크와 개발자에게 제공하며, 사용자 정보를 보호한다는 점에서 평가 항목에서 높게 측정된다.
Topics API는 사용자의 개인 정보를 추적하거나 저장하지 않고, 브라우저 내에서 사용자의 관심 주제만을 추론해 광고 네트워크와 공유하는 기술이다. 브라우저가 관심 주제를 로컬에서 처리하고 외부에는 주제 정보만 제공하므로, 개인 식별 정보가 보호된다.
4.1.6 식별 가능성
크로스 사이트는 악성 스크립트를 통해 사용자 정보를 탈취하거나 쿠키 도용 및 DOS 공격을 유발할 수 있는 주요 위협이다. 애드테크 플랫폼 보안 평가 모델은 이러한 공격 방지 기능과 보안 조치 여부를 평가해 사용자 정보의 안전한 처리 수준을 측정한다.
제3자 쿠키는 활동 추적과 맞춤형 광고 제공에 활용되지만, 크로스 사이트 환경에서 보안 취약점과 프라이버시 침해를 유발할 수 있다. 이로 인해 단계적 폐지가 논의되었으며, 평가에서 낮게 측정된다.
SKAN은 크로스 사이트 공격의 영향을 최소화하며, 제3자 쿠키 없이 익명화된 전환 데이터만으로 광고 성과를 평가하여 사용자 개별 정보를 추적하지 않는다.
그림 15은 MacOS와 iOS에서 '크로스 사이트 추적방지' 설정 옵션을 보여준다. SKAN은 Apple社 서버에서 관리되는 익명화된 전환 데이터를 제공하여, 사용자의 개인정보 노출과 개별 사용자 식별을 방지한다. 이를 통해 크로스 사이트 추적으로 인한 프라이버시 침해 위험을 효과적으로 줄인다.
(그림 15) MacOS, iOS 크로스 사이트 방지 설정
그림 13과 같이 서드파티 쿠키 차단과 Topics API는 크로스 사이트 추적 방지에 해당하는 기능을 제공한다. Topics API는 크로스 사이트 추적 방지를 목적으로 개발되었지만, 명확한 설정 안내나 알림이 부족하다. 이에 따라 평가 항목에서 ‘보통’으로 측정된다.
4.1.7 데이터 보관 기간
데이터 보관 기간 항목은 수집된 데이터의 저장 기간, 보관 목적, 안전성, 그리고 적절한 파기 여부를 평가한다. 장기 저장 여부와 그에 따른 안전 조치가 적절한지를 중점적으로 다룬다.
제3자 쿠키는 사용자의 웹사이트 방문 정보를 저장하며, 보관 기간은 설정된 만료 날짜에 따라 달라진다. 일반적으로 몇 주에서 몇 년까지 설정된다.
그림 16는 ‘Chrome’ 브라우저의 개발자 도구에서 확인할 수 있는 쿠키 정보를 보여준다. 제3자 쿠키는 사용자가 웹사이트를 방문할 때마다 업데이트되며, 장기간 보관되어 행동 추적과 맞춤형 광고에 활용된다. 그러나 긴 보관 기간은 개인정보 침해 우려를 높이고, 사용자가 수집된 데이터의 내용을 파악하거나 관리하기 어렵게 만드는 단점이 있다.
(그림 16) Chrome 브라우저 개발자 도구 설정을 통한 쿠키 확인
SKAN은 광고 성과 측정을 위해 익명화된 데이터를 수집하며, 보관 기간이 제한적이고 일정 기간 후 자동으로 삭제된다. 데이터는 사용자 식별 정보를 포함하지 않고 Apple社의 제어 하에 집계 방식으로 관리되어 개인정보 침해 위험을 줄인다. 이 보관 방식은 GDPR 등의 규제를 충족하며, 사용자 프라이버시를 강화한다.
Topics API는 사용자의 관심 주제를 최대 3주 동안 로컬 브라우저에 보관하며, 4주 이후에는 삭제되거나 갱신된다. 이 과정은 브라우저 내에서만 이루어져 개별 행동 데이터가 외부에 장기적으로 저장되지 않도록 보장한다.
(그림 17) Topics API 원리의 구체적인 작동방식
Topics API는 브라우저에서 관심사를 추적하여 광고를 제공하며, <그림Ⅳ-15>는 주기적으로 계산된 주제 목록을 보여준다. 각 주제는 고유 ID, 이름, 생성방식(real/random), 관찰된 도메인 목록으로 구성되며, 최대 4주까지만 데이터가 보관된다. 모델과 분류 체계 정보도 포함되어 있으며, 이러한 시스템은 사용자 데이터 사용을 제한하고 개인정보 보호 측면에서 높게 평가된다.
4.1.8 강화된 타깃팅
강화된 타깃팅 항목은 광고주가 투명하게 사용자 관심사에 기반한 광고를 제공하는 방식을 평가하며, 개인정보 보호를 위해 익명화된 데이터나 집계된 정보를 활용하도록 설계되어야 한다. 이는 광고 효과를 높이면서 사용자 프라이버시를 보호하는 데 기여한다.
제3자 쿠키는 사용자의 웹사이트 방문 기록을 기반으로 타깃팅 정밀도를 높여 맞춤형 광고를 제공하지만, 과도한 데이터 수집과 프라이버시 보호 미흡으로 개인정보 침해의 주요 원인으로 지적된다. 높은 타깃팅 효과에도 불구하고, GDPR 및 CCPA 규제의 대상이 되어 이를 대체할 기술들이 등장하고 있다.
SKAN은 익명화된 전환 데이터만을 사용해 광고 성과를 측정하며, 사용자 개인정보를 광고주나 네트워크에 노출하지 않는다. 이를 통해 타깃팅 효율성을 유지하면서 개인정보 침해 위험을 줄이고, 타깃팅 제한 정책을 준수하며 사용자에게 적합한 광고를 제공한다.
Topics API는 개별 데이터를 추적하지 않고, 사용자가 방문한 웹사이트의 주제(토픽)를 기반으로 광고를 타깃팅한다. 주제는 브라우저 내에서만 처리되며 3주 동안 유지 후 갱신되어, 광고주는 일반적인 관심 주제에 기반한 타깃팅만 가능하고 사용자 식별 정보는 제공되지 않는다.
4.1.9 데이터 최소 수집
데이터 최소 수집은 광고 시스템이 필요 이상의 개인정보를 수집하지 않도록 설계되었는지를 평가하는 항목이다. 본 연구는 애드테크 기술이 광고 효과를 높이기 위해 수집하는 데이터를 최소화하고, 광고주에게 필요한 정보만 포함되도록 제한하는지 분석한다.
제3자 쿠키는 광고 타깃팅을 위해 사용자의 웹 활동을 과도하게 수집하여 데이터 최소 수집 원칙을 위반한다. 여러 웹사이트에서 사용자 활동 데이터를 추적해 상세한 프로파일을 생성하며, 동의 없이 방대한 개인 정보를 수집해 프라이버시 침해 우려를 높인다.
SKAN은 익명화된 전환 데이터만을 수집하여 광고 성과를 평가하며, 개별 사용자의 식별 정보를 포함하지 않고 필요한 최소 데이터만 수집한다. 사용자의 동의를 기반으로 설계되어 프라이버시 보호와 데이터 최소 수집 원칙을 충족한다.
Topics API는 개별 행동 데이터를 수집하지 않고, 특정 관심 주제만 광고주에게 제공해 데이터를 최소화한다. 브라우저 내에서 작동하며 개인정보를 외부로 전송하지 않으며, 사용자가 관심 주제를 수정하거나 삭제할 수 있는 통제권을 제공해 불필요한 데이터 수집을 방지한다.
4.1.10 데이터 출처 제한
데이터 출처 제한 항목은 광고 타깃팅에 사용되는 데이터가 신뢰할 수 있는 출처에서만 수집되고, 외부 유출이나 무분별한 공유가 방지되는지를 평가한다. 사용자에게 데이터 출처가 명확히 공개되고, 외부 데이터 사용 시 투명한 동의 절차를 통해 개인정보 유출 위험을 줄이고 신뢰성을 확보하는 것이 핵심이다.
제3자 쿠키는 다양한 도메인에서 데이터를 수집하여 출처가 제한적이지 않다. 사용자는 데이터가 어떤 출처에서 수집되고 어떻게 활용되는지 알기 어렵고, 데이터 유출 위험이 크다. 이로 인해 제3자 쿠키는 데이터 출처 제한 관점에서 투명성과 보호 측면에서 한계를 가진다.
SKAN은 데이터 출처를 Apple社의 시스템 내로 제한하여 외부 광고 네트워크나 광고주가 사용자 데이터를 직접 수집하거나 접근하지 못하도록 한다. 익명화된 전환 데이터를 포스트백 형태로 제공하며, 개인 식별 정보가 포함되지 않아 개인정보 보호와 데이터 출처 관리 측면에서 신뢰성을 높인다.
Topics API는 사용자의 브라우징 데이터를 브라우저 내에서만 처리하고 외부로 전송하지 않으며, 광고 네트워크는 특정 주제 정보만 제공받는다. 데이터 출처가 브라우저로 제한되고, 개별 활동 데이터와 연결되지 않아 개인 데이터 추적과 장기 보관을 방지함으로써 개인정보 보호를 강화한다.
4.2 평가 항목 결과
본 연구에서는 제 3자 쿠키, SKAN(SKAdNetwork), Topics API의 개인정보 보호 및 보안 측면에서의 평가 결과를 비교 분석하였다. 각 기술은 투명성, 사용자 통제권, 기술적 보호, 관리적 보호 네 가지 항목에 따라 평가되었으며, 이러한 평가 결과는 애드테크 기술의 발전 방향에 대한 중요한 시사점을 제공한다. 특히, 개인정보 보호를 강화하면서도 광고 효율성을 유지하기 위한 균형 잡힌 접근이 필요함을 강조하였다. 이를 통해 사용자 프라이버시를 보호하는 동시에 효과적인 광고 타겟팅을 실현할 수 있는 기술적 방안을 모색하는 것이 중요하며, 결과는 아래 표 10와 같다.
<표 10> 평가 항목 결과
표 10의 분석에서 제3자 쿠키는 높은 타겟팅 정밀도를 제공하지만 개인정보 보호와 투명성이 부족해 낮은 평가를 받았다. SKAN은 익명화된 전환 데이터를 사용하여 개인정보 보호를 강화했으나, 사용자 통제권이 제한적이었다. Topics API는 브라우저 내 데이터 처리로 투명성과 사용자 통제권, 데이터 최소 수집에서 높은 평가를 받아 가장 우수한 기술로 인정되었다. 이 결과는 디지털 광고가 개인정보 보호와 광고 효율성을 조화롭게 추구해야 함을 보여주며, Topics API가 미래 애드테크 기술로서 가능성을 제시하고 있다.
5. 결론
본 연구는 디지털 광고 환경에서 개인정보 보호와 광고 효율성 간의 균형을 맞추기 위한 애드테크 기술의 변화와 보안 평가 모델을 제시하고자 한다. 제 3자 쿠키의 단계적 폐지와 SKAN, Privacy Sandbox의 Topics API 도입은 광고 기술의 진화이며, 이는 사용자의 개인정보 보호 요구를 반영한다. 제 3자 쿠키는 높은 타겟팅 정밀도를 제공하나, 개인정보 노출 위험이 크다. 반면 SKAN과 Topics API는 개인정보 보호를 강화하지만 타겟팅 정밀도가 제한적이다.
본 연구는 기존 쿠키 기반 기술과 대체 기술의 보안 측면을 비교 분석하여 각 기술의 장단점을 평가하였다. SKAN은 앱 광고 성과를 익명으로 측정하고, Topics API는 사용자 관심 주제를 제공함으로써 개인정보 보호를 우선시한다. 이를 통해 광고 효율성과 개인정보 보호 간의 균형을 맞추기 위한 기술적 대응 방안을 제안하였다.
또한, 연구는 각 기술의 평가 항목을 구성하여 디지털 광고 환경에서 개인정보 보호에 미치는 영향을 실증적으로 분석하였다. 그 결과, 광고주와 기술 개발자들은 신뢰성 있는 개인정보 보호 프레임워크를 통해 광고 효율성을 유지하면서도 사용자의 프라이버시를 보호할 수 있는 대안을 마련해야 할 필요성이 강조되었다. 앞으로 모바일 앱, 웹 기반 광고 플랫폼, OTT 서비스 등 다양한 디지털 플랫폼에서 개인정보 보호와 광고 효율성 간의 균형을 평가하고, 이를 기반으로 구체적인 가이드라인을 마련할 필요가 있다.
결론적으로, 디지털 광고 산업은 개인정보 보호와 광고 효율성 간의 균형을 맞추기 위해 기술적 혁신과 새로운 보안 표준 개발이 필요하다. 연구자들은 법적 규제와의 연계, 윤리적 기준을 명확히 하여 사용자 신뢰를 강화하는 방향으로 발전해 나가야 한다. 본 연구는 이러한 목표를 달성하기 위한 첫걸음을 제시하며, 향후 더욱 발전된 연구와 실천이 필요함을 강조한다.
References
- 개인정보보호위원회, "맞춤형 광고에 활용되는온라인 행태정보 보호를 위한 정책 방안", 2024, https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9888
- 송호열, 이용준, 강장묵, "정보보호 및 개인정보보호 관리체계 인증심사에서 반복적으로 도출되는 주요 결함사항에 대한 분석," 한국산학기술학회논문지, 제25권, 제4호, pp. 427-432, 2024. https://doi.org/10.5762/KAIS.2024.25.4.427
- 우기훈, 김민서, "GDPR과 CCPA 발효에 따른ICT 기업의 비즈니스 모델 변화에 대한 연구: ICT 생태계와 공진화 이론을 기반으로," 한국창업학회지, 제18권, 제4호, pp. 651-676, 2023. https://doi.org/10.24878/TKES.2023.18.4.651
- 문병순, "행태 데이터의 수집 방식과 규제 방안: 쿠키를 중심으로," 증권법연구, 제23권, 제1호, pp. 287-305, 2022. https://doi.org/10.17785/KJSL.2022.23.1.287
- Pantelic, O.; Jovic, K.; Krstovic, S., "Cookies Implementation Analysis and the Impact on User Privacy Regarding GDPR and CCPA Regulations," Sustainability, Vol. 14, 5015, 2022.
- 김나경, 고한준, "쿠키리스 시대의 대안, AI 기반맞춤형 DOOH의 광고효과 척도 개발 연구: 상황인식형 광고를 중심으로," OOH광고학연구, 제21권, 제2호, pp. 111-144, 2024.
- 권예지, 이경미, 편미란, "디지털 전환 시대의광고이용자의 권익향상 방안: 소비자와 광고주의권익, 직면한 문제, 권익향상 방안을 중심으로," 한국광고홍보학보, 제24권, 제3호, pp. 5-29, 2022.
- 유정아, 김자림, "맞춤형 광고 서비스를 위한 이용자의 앱 추적 허용에 관한 메시지 전략 연구: 프레이밍 이론을 중심으로," 한국광고홍보학보, 제25권, 제2호, pp. 228-252, 2023.
- Kuerbis, B., & Mueller, M., "Exploring the Role of Data Enclosure in the Digital Political Economy," Telecommunications Policy Research Journal, Vol. 45, No. 7, pp. 1015-1032, 2022.
- Alex Berke and Dan Calacci, "Privacy Limitations of Interest-based Advertising on The Web: A Post-mortem Empirical Analysis of Google's FLoC," Proceedings of the 2022 ACM SIGSAC Conference on Computer and Communications Security (CCS '22), November 7–11, 2022, Los Angeles, CA, USA, pp. 1015-1032.
- Yohan Beugin and Patrick McDaniel, "A Public and Reproducible Assessment of the Topics API on Real Data," Proceedings of the ACM SIGSAC Conference on Computer and Communications Security (CCS '24), pp. 1015-1032, 2024.
- 고상현, "신유형 온라인광고 법적 문제 연구: 온라인광고 위법성을 중심으로," 석사학위논문, 한국외국어대학교 대학원 법학과, 2021.
- 김나경, 고한준, "맞춤형 OOH 광고의 효용성과 실행에 관한 전문가 인식 연구," OOH광고학연구, 제19권, 제2호, pp. 5-39, 2022.
- Yiwen Cui, "Measure Cookie Setting Behavior of Web Pages Showing Cookie Privacy Warnings," Master's Thesis, School of Informatics, University of Edinburgh, 2021.
- Adel Javanmard, Lin Chen, Vahab Mirrokni, Ashwinkumar Badanidiyuru, and Gang Fu, "Learning from Aggregate Responses: Instance-Level versus Bag-Level Loss Functions," Proceedings of the ACM SIGKDD International Conference on Knowledge Discovery and Data Mining (KDD '24), 2024.
- Translated by Google, "Topics API", https://developers.google.com/privacy-sandbox/private-advertising/topics?hl=ko
- Cornelius Witt and Jan De Bruyne, "The Interplay Between Machine Learning and Data Minimization Under the GDPR: The Case of Google's Topics API," International Data Privacy Law, Vol. 13, No. 4, pp. 284-298, 2023. https://doi.org/10.1093/idpl/ipad020
- Apple Developer, "SKAdNetwork", https://developer.apple.com/documentation/storekit/skadnetwork/
- Ido Sivan-Sevilla and Patrick T. Parham, "Toward Consumer Surveillance in a 'Cookie-less' World: A Comparative Analysis of Current and Future Web Tracking Mechanisms," Telecommunications Policy Research Journal, Vol. 45, No. 7, pp. 1015-1032, 2024.
- Oluwatobiloba Okusi, "Cyber Security Techniques for Detecting and Preventing Cross-Site Scripting Attacks," World Journal of Innovation and Modern Technology, Vol. 8, No. 2, pp. 71–89, June 2024.
- 방송통신위원회, "온라인 맞춤형 광고 개인정보보호 가이드라인", 2017, https://kcc.go.kr/download.do?fileSeq=49004