서드 파티 쿠키는 올바른 용도로 사용할 수 있지만 크로스 사이트 추적도 지원합니다. Chrome은 2024년 1분기부터 사용자 1% 의 서드 파티 쿠키를 제한하여 테스트를 용이하게 하고, 2025년 초부터 사용자 100%를 대상으로 서드 파티 쿠키를 지원 중단할 계획입니다. 웹사이트에 서드 파티 쿠키를 사용하는 로그인 과정이 있는 경우 이 변경사항의 영향을 받을 수 있습니다. 사이트가 준비되었는지 확인해야 합니다.
이 페이지에서는 영향을 받을 가능성이 가장 높은 로그인 시나리오에 대한 정보와 가능한 해결 방법을 참조할 수 있습니다.
웹사이트가 동일한 도메인 및 하위 도메인(예: publisher.example 및 login.publisher.example) 내의 흐름만 처리하는 경우 교차 사이트 쿠키를 사용하지 않으며 로그인 흐름이 단계적 중단의 영향을 받지 않을 것으로 예상됩니다.
그러나 사이트에서 Google 로그인 또는 Facebook 로그인과 같이 별도의 로그인 도메인을 사용하거나 사이트에서 여러 도메인 또는 하위 도메인에서 사용자 인증을 공유해야 하는 경우, 크로스 사이트 쿠키에서 원활하게 전환할 수 있도록 사이트를 변경해야 할 수 있습니다.
ID 관련 사용자 경험 테스트
로그인 흐름이 서드 파티 쿠키 단계의 영향을 받는지 테스트하는 가장 좋은 방법은 서드 파티 쿠키 단계적 중단 테스트 플래그를 사용 설정하고 등록, 비밀번호 복구, 로그인, 로그아웃 흐름을 진행하는 것입니다.
다음은 서드 파티 쿠키를 제한한 후 확인해야 할 체크리스트입니다.
- 사용자 등록: 새 계정 만들기는 정상적으로 작동합니다. 서드 파티 ID 공급업체를 사용하는 경우 새 계정 등록이 모든 통합에 작동하는지 확인합니다.
- 비밀번호 복구: 비밀번호 복구는 웹 UI에서 보안문자, 비밀번호 복구 이메일 수신까지 예상대로 작동합니다.
- 로그인: 로그인 워크플로는 동일한 도메인 내에서, 그리고 다른 도메인으로 이동할 때 작동합니다. 모든 로그인 통합을 테스트해야 합니다.
- 로그아웃: 로그아웃 프로세스가 예상대로 진행되며 사용자는 로그아웃 흐름 후 로그아웃 상태가 유지됩니다.
또한 사용자 로그인이 필요한 다른 사이트 기능이 크로스 사이트 쿠키 없이도 계속 작동하는지 테스트해야 합니다(특히 크로스 사이트 리소스 로드가 포함된 경우). 예를 들어 CDN을 사용하여 사용자 프로필 이미지를 로드하는 경우에도 여전히 작동하는지 확인합니다. 결제와 같이 로그인이 관리되는 중요한 사용자 여정이 있는 경우 이러한 사용자 여정이 계속 작동하는지 확인합니다.
다음 섹션에서는 이러한 흐름이 어떤 영향을 받을 수 있는지에 관한 자세한 정보를 알아봅니다.
제휴 ID
Google 계정으로 로그인, Facebook 로그인, Twitter로 로그인과 같은 로그인 버튼은 웹사이트에서 제휴 ID 공급업체를 사용하고 있음을 확실하게 보여줍니다. 각 제휴 ID 공급업체는 자체 구현이 있으므로 가장 좋은 해결 방법은 제공업체의 문서를 확인하거나 공급업체에 문의하여 추가 안내를 받는 것입니다.
지원 중단된 Google 로그인 JavaScript 플랫폼 라이브러리를 사용하는 경우 인증 및 승인을 위해 최신 Google ID 서비스 라이브러리로 이전하는 방법을 알아보세요.
최신 Google ID 서비스 라이브러리를 사용하는 대부분의 사이트는 서드 파티 쿠키 지원 중단 준비가 되었습니다. 호환성을 위해 FedCM을 사용하도록 라이브러리가 자동으로 이전되기 때문입니다. 서드 파티 쿠키 단계적 중단 테스트 플래그를 사용 설정하여 사이트를 테스트하고 필요한 경우 FedCM 이전 체크리스트를 사용하여 준비하는 것이 좋습니다.
별도의 로그인 도메인
기본 사이트에 example.com를 사용하고 로그인 흐름에 login.example를 사용하는 웹사이트와 같이 동일 사이트 쿠키를 사용할 자격이 없는 사용자를 인증하는 용도로만 다른 도메인을 사용하는 웹사이트의 경우 사용자가 양쪽 도메인에서 인증되었는지 확인하기 위해 서드 파티 쿠키에 액세스해야 할 수 있습니다.
이 시나리오에 사용할 수 있는 이전 경로는 다음과 같습니다.
- 퍼스트 파티 ('동일 사이트') 쿠키를 사용하도록 업데이트: 로그인 흐름이 퍼스트 파티 쿠키만 사용하는 기본 사이트와 동일한 도메인 (또는 하위 도메인)에서 호스팅되도록 웹사이트 인프라를 변경합니다. 인프라 설정 방법에 따라 더 많은 작업이 필요할 수 있습니다.
- 관련 웹사이트 세트 (RWS): 관련 웹사이트 세트를 사용하면 소수의 관련 도메인 간에 교차 사이트 쿠키 액세스를 제한할 수 있습니다. RWS는 이러한 사용 사례를 지원하기 위해 빌드된 개인 정보 보호 샌드박스 API입니다. 그러나 RWS는 제한된 수의 도메인에서 크로스 사이트 쿠키 액세스만 지원합니다.
- 5개 이상의 연결된 도메인에서 사용자를 인증하는 경우 FedCM을 살펴보세요.: Federated Credentials Management (FedCM)를 사용하면 ID 공급업체가 Chrome을 사용하여 서드 파티 쿠키를 요구하지 않고도 ID 관련 흐름을 처리할 수 있습니다. 이 경우 '로그인 도메인'이 FedCM ID 공급업체 역할을 하고 다른 도메인에서 사용자를 인증하는 데 사용될 수 있습니다.
여러 도메인
비즈니스가 여러 도메인 또는 하위 도메인에서 호스팅되는 여러 제품을 보유하고 있는 경우 해당 제품 간에 사용자 세션을 공유해야 할 수 있습니다. 이 경우 여러 도메인 간에 서드 파티 쿠키에 액세스해야 할 수 있습니다.
이 시나리오에서 모든 제품을 동일한 도메인에 호스팅하는 것은 비실용적인 경우가 많습니다. 이 경우 가능한 해결책은 다음과 같습니다.
- 관련 웹사이트 세트 사용: 소규모의 관련 도메인 그룹 간에 크로스 사이트 쿠키 액세스가 필요한 경우
- 제휴 사용자 인증 정보 관리 (FedCM) 사용: 도메인 수가 많은 경우 별도의 로그인 도메인을 사용하여 ID 공급업체 역할을 하고 사이트에서 FedCM을 사용하여 사용자를 인증할 수 있습니다.
로그인 솔루션
서드 파티 싱글 사인온 (SSO)
SSO 솔루션을 구현하는 데 따르는 복잡성으로 인해 많은 회사에서 여러 출처 간에 로그인 상태를 공유하기 위해 서드 파티 솔루션 제공업체를 사용하기로 선택하고 있습니다. 공급업체의 예로는 Okta, Ping Identity, Google Cloud IAM 또는 Microsoft Entra ID가 있습니다.
서드 파티 제공업체를 사용할 때 가장 좋은 접근 방식은 서드 파티 쿠키의 단계적 폐지가 솔루션에 미치는 영향과 서드 파티 서비스에 권장되는 접근 방식에 대해 제공업체로부터 안내를 받는 것입니다.
오픈소스 SSO 솔루션
자체 SSO 솔루션을 유지하는 많은 기업은 OpenID Connect, OAuth 또는 SAML과 같은 기존의 산업 표준이나 Keycloak, WSO2, Auth.js 또는 Hydra와 같은 기존의 오픈소스 프로젝트를 사용하여 이를 수행합니다.
제공업체의 문서를 확인하여 쿠키의 단계적 중단이 솔루션에 미칠 수 있는 영향과 특정 솔루션에 가장 적합한 이전 경로를 파악하는 것이 좋습니다.
맞춤형 사내 솔루션
로그인 솔루션이 이전의 사용 사례 중 하나에 속하며 자체적으로 구축된 경우 서드 파티 쿠키의 단계적 지원 중단 준비에서 코드를 감사하고 서드 파티 쿠키의 단계적 지원 중단에 대비하는 방법을 자세히 설명합니다.
지금 바로 조치를 취하십시오.
웹사이트가 사용 사례 중 하나에 속하는 경우 퍼스트 파티 쿠키만 사용하도록 인증 흐름을 기본 도메인으로 이동하거나, 소수의 도메인 간에 쿠키를 공유할 수 있도록 관련 웹사이트 세트를 사용하거나, 제휴 사용자 인증 정보 관리를 활용하는 등 가능한 영향을 해결하는 여러 솔루션을 사용할 수 있습니다.