본문 바로가기
privacy/해외

[privacy] 구글 프라이버시 샌드박스 이야기

by ramo 2026. 2. 25.

프라이버시 샌드박스(Privacy Sandbox)를 처음 들었을 때, 솔직히 "구글이 서드파티 쿠키를 없애는 대신 뭔가 더 프라이버시 친화적인 광고 기술을 만들겠다는 거구나" 정도로만 이해했다. 그런데 막상 찾아보다 보면, 이게 단순한 기술 교체 이야기가 아니라는 걸 알게 된다. 규제 기관, 경쟁법, 광고 업계의 이해관계가 한데 얽혀서 2019년에 시작한 이 프로젝트가 2025년에 이르러 사실상 종료 수순을 밟은 이야기다.

서드파티 쿠키가 왜 문제였나

쿠키는 웹사이트가 방문자의 브라우저에 전달하는 작은 코드 조각이다. 이러한 쿠키는 여러 사이트에서 사용자를 추적하여 타게팅 광고 기능을 활성화함으로써 디지털 광고 생태계에서 중요한 역할을 해왔다. 문제는 범위다. 이 흔적과 주변 정보를 조합하면 개인을 특정화할 수 있다. 내가 개인정보를 제공한 적이 없는 회사들도 나에 대해 너무 많이 알고 있는 것이 문제였고, 기업이 마음만 먹으면 내가 어디에 사는 누구인지 집어낼 수 있었다. 이걸 막겠다는 명분으로 구글이 꺼낸 카드가 프라이버시 샌드박스였다.

샌드박스가 제안한 구조는 이랬다

프라이버시 샌드박스의 핵심은 사용자 정보를 외부와 공유하지 않고 브라우저 안에서 처리하는 API 세트다. 핵심 API 세 가지만 짚어보면 이렇다.

Topics API는 개인의 방문 기록 대신 관심사 카테고리를 브라우저가 직접 추론해서 광고주에게 넘기는 방식이다. 브라우저가 매주 단위로 방문 페이지를 관찰하고 공개된 분류 체계에서 관심사 카테고리를 계산해, 사이트가 요청하면 에포크(epoch)당 최대 하나의 주제만 반환한다. 서버가 사용자를 직접 추적하는 게 아니라 브라우저가 로컬에서 처리하는 구조다.

Protected Audience API는 리타게팅 광고를 대체하는 API다. 서드파티가 사이트 간 사용자 행동을 추적하는 데 사용할 수 없도록 설계되어 있으며, 브라우저가 온디바이스 경매를 실행해 사용자가 이전에 방문한 웹사이트에 관련 광고를 표시한다. 관심 그룹 정보가 서버가 아닌 기기 안에 저장된다.

Attribution Reporting API는 광고 클릭과 전환을 연결하는 API다. 브라우저가 두 이벤트를 연결해 서드파티 쿠키 없이 전환 인사이트를 도출한다. 사용자가 퍼블리셔 사이트에서 광고를 클릭하면 이것이 첫 번째 이벤트가 되고, 광고주 측에서 전환이 발생하면 두 번째 이벤트가 된다. API는 개인을 식별할 수 있는 정보 없이 두 이벤트를 프라이버시 보호 방식으로 연결한다.

공통 원칙은 분명하다. 서드파티에 원시 사용자 데이터를 넘기는 대신, 관심사 신호·어트리뷰션 데이터·오디언스 정보를 온디바이스에서 처리해 기기 밖으로 나가는 데이터를 최소화한다. 기술적으로는 상당히 잘 설계된 구조였다.

그런데 왜 접었나

여기서부터가 흥미롭다. 기술 문제가 아니라 구조적 문제였다.

서드파티 쿠키는 웹 표준 기술인 덕에 구글의 독점적 지위를 견제해 주는 장점이 있다. 만약 구글이 개발한 프라이버시 샌드박스가 구글이 개발한 크롬 브라우저에서 활용되는 것이 표준으로 자리 잡는다면, 광고 업계의 구글 의존도는 기존보다 훨씬 더 높아질 수 있다. 영국 경쟁시장청(CMA)이 바로 이 점을 문제 삼았다. CMA와 ICO는 프라이버시 샌드박스가 구글의 지배력을 더욱 강화해 광고주, 경쟁 광고 플랫폼, 퍼블리셔, 이용자에게 불공정한 이익을 줄 수 있다는 우려를 표명했다.

성능 문제도 있었다. 영국 CMA의 2025년 6월 보고서에 따르면, 프라이버시 샌드박스 툴만 사용했을 때 임프레션당 퍼블리셔 수익이 일반 쿠키 대비 약 30% 낮게 나왔다. 구글의 자체 테스트에서도 Google Ad Manager에서 비슷한 수준의 하락이 나타났다. 광고주 입장에서 전환 측정의 정밀도도 떨어진다는 지적이 꾸준히 나왔다.

미국 반독점 소송도 결정적이었다. 구글이 온라인 광고 반독점 소송에서 패소했고, 미국 법무부는 "구글은 오픈 웹 디지털 광고 시장의 공정성을 해치고 있으며 이는 반독점법 위반"이라며 소송을 제기했었다. 이런 상황에서 쿠키를 강제 폐지하고 자사 API를 표준으로 밀어붙이기는 더욱 어려워졌다.

현재 상황: 철회, 그리고 사실상 종료

일정이 반복해서 밀리다가, 2025년 4월 구글은 전격적으로 크롬에서 서드파티 쿠키 단계적 폐지 계획을 철회했다. 구글은 크롬에서 이용자에게 서드파티 쿠키 선택권을 제공하는 현재의 접근 방식을 유지하고, 서드파티 쿠키에 대한 새로운 독립형 안내 메시지를 출시하지 않기로 결정했다.

그리고 같은 해 10월, 구글은 6년간의 개발 끝에 프라이버시 샌드박스 이니셔티브를 공식 종료했다. 서드파티 쿠키는 당분간 크롬에 그대로 남는다. 규제 기관의 반경쟁 우려, 테스트 중 저조한 API 성능, 구글 주도 표준에 대한 업계 저항이 실패 요인으로 꼽힌다. 구글은 Attribution Reporting, Topics, Protected Audience를 포함한 잔여 프라이버시 샌드박스 API를 크롬과 안드로이드 양쪽에서 공식 퇴역시켰다.

광고 추적 관점에서 달라진 게 있기는 한가

쿠키가 남는다고 해서 원점으로 돌아간 건 아니다. 서드파티 쿠키는 사용자들이 점점 더 많이 차단하거나 삭제하면서 실효성이 꾸준히 줄어들고 있다. 결과적으로 서드파티 쿠키는 효과적인 디지털 광고에 필요한 견고한 인사이트를 제공하지 못하며 점차 구식이 되어가고 있다.

2025년 1분기 기준으로 퍼블리셔의 71%가 퍼스트파티 데이터를 긍정적인 광고 성과의 핵심 원천으로 인식하고 있으며, 85%는 2026년에 퍼스트파티 데이터의 수익화 역할이 더욱 커질 것으로 전망했다. 산업 자체가 그 방향으로 이미 움직이고 있다는 뜻이다.

개인적으로는, 프라이버시 샌드박스의 설계 방향 자체가 틀렸다고 보지 않는다. 브라우저가 추적 로직을 통제하고 외부 서버에 원시 데이터가 나가지 않도록 하는 아이디어는 지금도 유효하다. 다만 그 구조를 크롬이라는 특정 브라우저, 구글이라는 특정 회사가 단독으로 표준화하려 한 게 문제였다. 기술적 해법과 시장 지배력이 같은 회사에 집중될 때, 규제 기관이 '프라이버시 보호'를 명분으로 봐주기 어렵다는 걸 이번 사례가 잘 보여준다.