사이트에서 서드 파티 쿠키를 사용하고 있다면 지원 중단이 다가오고 있으니 조치를 취해야 합니다. 원활한 테스트를 위해 2024년 1월 4일부터 Chrome에서는 사용자의 1% 를 대상으로 서드 파티 쿠키를 제한했습니다. Chrome은 영국 경쟁시장청의 남아 있는 경쟁 관련 우려사항을 해결함에 따라 2024년 3분기부터 모든 사용자를 대상으로 서드 파티 쿠키 제한을 확대할 계획입니다.
개인 정보 보호 샌드박스의 목표는 크로스 사이트 추적을 줄이는 동시에 모든 사용자가 온라인 콘텐츠와 서비스에 계속 자유롭게 액세스할 수 있도록 하는 기능을 지원하는 것입니다. 서드 파티 쿠키 지원 중단 및 삭제는 로그인, 사기 방지, 광고, 사이트에 풍부한 서드 파티 콘텐츠를 삽입하는 기능 전반에 걸쳐 중요한 기능을 지원하는 동시에 크로스 사이트 추적의 핵심 요소이기도 하므로 문제를 종식시킵니다.
이전의 주요 이정표에서 Google은 ID, 광고, 사기 감지와 같은 사용 사례를 위한 오늘날의 현상 상황에 대한 개인 정보 보호 중심의 대안을 제공하는 다양한 API를 출시했습니다. 대안이 마련되면 이제 서드 파티 쿠키에 대한 지원 중단을 시작할 수 있습니다.
이 쿠키 카운트다운 시리즈에서는 타임라인과 사이트가 준비되었는지 확인하기 위해 즉시 취할 수 있는 조치를 안내합니다.
서드 파티 쿠키 지원 중단 및 Chrome에서 진행하는 테스트의 1%
privacysandbox.com 타임라인에서 Chrome에서 진행하는 테스트 모드의 일환으로 2023년 4분기와 2024년 1분기의 두 가지 주요 기록을 확인할 수 있습니다. 이 테스트는 주로 개인 정보 보호 샌드박스 관련성 및 측정 API를 테스트하는 조직을 대상으로 하지만, 그 일환으로 Chrome 안정화 버전 사용자의 1% 를 대상으로 서드 파티 쿠키를 사용 중지할 예정입니다.
즉, 2024년부터 Chrome에서 진행하는 테스트에 적극적으로 참여하고 있지 않더라도 서드 파티 쿠키를 사용 중지한 상태에서 사이트의 Chrome 사용자가 증가할 것으로 예상됩니다. 이 테스트 기간은 2024년 3분기까지 계속되며, CMA와 협의하고 경쟁 관련 문제를 해결한 후 모든 Chrome 사용자에 대해 서드 파티 쿠키의 사용 중지를 시작할 계획입니다.
서드 파티 쿠키의 단계적 지원 중단에 대비하기
서드 파티 쿠키 없이 사이트를 운영할 수 있도록 이 프로세스를 주요 단계로 구분하여 아래에 자세히 설명해 드립니다.
- 서드 파티 쿠키 사용 감사.
- 손상을 테스트합니다.
- 삽입과 같이 사이트별로 데이터를 저장하는 크로스 사이트 쿠키의 경우 CHIPS를 사용하는
Partitioned을 사용하는 것이 좋습니다. - 의미 있게 연결된 소규모 사이트의 교차 사이트 쿠키에는 관련 웹사이트 세트를 고려해 보세요.
- 기타 서드 파티 쿠키 사용 사례는 관련 웹 API로 이전하세요.
1. 서드 파티 쿠키 사용 감사하기
서드 파티 쿠키는 SameSite=None 값으로 식별할 수 있습니다. 코드를 검색하여 SameSite 속성을 이 값으로 설정한 인스턴스를 찾아야 합니다. 이전에 2020년경에 쿠키에 SameSite=None를 추가하도록 변경했다면 이러한 변경사항으로 좋은 출발점이 될 수 있습니다.
Chrome DevTools
요청에 따라 설정되고 전송된 쿠키가 Chrome DevTools Network 패널에 표시됩니다. Application 패널에서 Storage 아래에 Cookies(쿠키)라는 제목이 표시됩니다. 페이지 로드의 일부로 액세스한 각 사이트에 대해 저장된 쿠키를 탐색할 수 있습니다. SameSite 열을 기준으로 정렬하여 모든 None 쿠키를 그룹화할 수 있습니다.
Chrome 118부터 DevTools 문제 탭에 브레이킹 체인지 문제인 '크로스 사이트 컨텍스트에서 전송된 쿠키가 향후 Chrome 버전에서 차단됩니다.'가 표시됩니다. 문제에는 현재 페이지에서 영향을 받았을 수 있는 쿠키가 나열됩니다.
개인 정보 보호 샌드박스 분석 도구 (PSAT)
탐색 세션 중 쿠키 사용 분석을 용이하게 하는 DevTools 확장 프로그램인 개인 정보 보호 샌드박스 분석 도구 (PSAT)도 빌드했습니다. 개인 정보 보호 샌드박스 이니셔티브에 관해 자세히 알아볼 수 있는 액세스 포인트와 함께 쿠키 및 개인 정보 보호 샌드박스 기능의 디버깅 경로를 제공합니다.
이 확장 프로그램은 서드 파티 쿠키 지원 중단 및 새로운 개인 정보 보호 대안 채택과 관련된 시나리오를 분석 및 디버깅하는 특수 기능으로 DevTools를 보완합니다.
이 확장 프로그램은 Chrome 웹 스토어에서 다운로드하거나 PSAT 저장소 및 위키에 액세스할 수 있습니다.
쿠키를 사용하여 서드 파티 확인
제3자가 설정한 쿠키를 식별하는 경우 해당 제공업체에 문의하여 서드 파티 쿠키의 단계적 지원 중단에 대한 계획이 있는지 확인해야 합니다. 예를 들어 사용 중인 라이브러리 버전을 업그레이드하거나 서비스의 구성 옵션을 변경해야 할 수 있으며, 서드 파티가 필요한 변경사항을 직접 처리하는 경우에는 아무 조치도 취하지 않을 수 있습니다.
2. 손상 테스트
--test-third-party-cookie-phaseout 명령줄 플래그를 사용하여 Chrome을 실행하거나 Chrome 118에서 chrome://flags/#test-third-party-cookie-phaseout를 사용 설정할 수 있습니다. 이렇게 하면 Chrome이 서드 파티 쿠키를 차단하고 새로운 기능과 완화 조치가 활성화되도록 설정하여 단계적 지원 중단 후 상태를 가장 효과적으로 시뮬레이션할 수 있습니다.
chrome://settings/cookies를 통해 차단된 서드 파티 쿠키로 탐색해 볼 수도 있지만 플래그를 통해 새 기능과 업데이트된 기능도 사용 설정된다는 점에 유의하세요. 서드 파티 쿠키 차단은 문제를 감지하는 데 좋은 방법이지만, 반드시 문제가 해결되었음을 확인하는 것은 아닙니다.
사이트에 활성 테스트 모음을 유지하는 경우 두 가지를 나란히 실행해야 합니다. 하나는 일반적인 설정으로 Chrome을 실행하고 다른 하나는 --test-third-party-cookie-phaseout 플래그로 실행되는 동일한 버전의 Chrome으로 실행합니다. 첫 번째 실행과 두 번째 실행의 테스트 실패는 서드 파티 쿠키 종속 항목을 조사하는 데 좋은 후보입니다. 발견한 문제를 신고해야 합니다.
문제가 있는 쿠키를 식별하고 사용 사례를 이해했다면 다음 옵션을 통해 필요한 해결책을 선택할 수 있습니다.
3. CHIPS로 Partitioned 쿠키 사용
서드 파티 쿠키가 최상위 사이트의 1:1 삽입된 컨텍스트에서 사용되는 경우 CHIPS (Cookies Having Independent Partitioned State)의 일부로 Partitioned 속성을 사용하여 사이트별로 사용되는 별도의 쿠키로 크로스 사이트 액세스를 허용하는 것이 좋습니다.
CHIPS를 구현하려면 Set-Cookie 헤더에 Partitioned 속성을 추가합니다.
Partitioned를 설정하면 사이트는 최상위 사이트로 파티션을 나눈 별도의 쿠키 보관함에 쿠키를 저장하도록 선택합니다. 위의 예에서 쿠키는 사용자가 즐겨 찾는 매장을 저장할 수 있도록 매장 지도를 호스팅하는 store-finder.site에서 제공됩니다. CHIPS를 사용하면 brand-a.site가 store-finder.site를 삽입할 때 fav_store 쿠키의 값은 123입니다. 그런 다음 brand-b.site가 store-finder.site도 삽입하면 fav_store 쿠키의 파티션을 나눈 인스턴스(예: 456 값)를 설정하고 전송합니다.
즉, 삽입된 서비스에서 계속 상태를 저장할 수 있지만 크로스 사이트 추적을 허용하는 공유 크로스 사이트 스토리지가 없습니다.
잠재적 사용 사례: 서드 파티 채팅 삽입, 서드 파티 지도 삽입, 서드 파티 결제 삽입, 하위 리소스 CDN 부하 분산, 헤드리스 CMS 제공업체, 신뢰할 수 없는 사용자 콘텐츠를 제공하기 위한 샌드박스 도메인, 액세스 제어를 위해 쿠키를 사용하는 서드 파티 CDN, 요청 시 쿠키가 필요한 서드 파티 API 호출, 게시자별로 상태 범위가 지정된 삽입된 광고
4. Storage Access API 및 관련 웹사이트 세트 사용
서드 파티 쿠키가 소수의 관련 사이트에서만 사용되는 경우 관련 웹사이트 세트 (RWS)를 사용하여 정의된 사이트의 컨텍스트 내에서 해당 쿠키에 대한 크로스 사이트 액세스를 허용할 수 있습니다.
RWS를 구현하려면 세트에 대한 사이트 그룹을 정의하고 제출해야 합니다. 유효한 사이트 세트에 대한 정책에서는 서로 연관성이 높은 관련 사이트 (예: 회사에서 제공하는 제품의 변형), 서비스 도메인 (예: API, CDN) 또는 국가 코드 도메인 (예: *.uk, *.jp)을 기준으로 사이트를 그룹화하여 유효한 사이트 정책에서 사이트의 유의미한 관련성을 보장하도록 사이트를 그룹화해야 합니다.
사이트에서 Storage Access API를 사용하여 requestStorageAccess()를 사용하여 크로스 사이트 쿠키 액세스를 요청하거나 requestStorageAccessFor()를 사용하여 액세스 권한을 위임할 수 있습니다. 사이트가 동일한 집합 내에 있으면 브라우저에서 자동으로 액세스 권한을 부여하고 크로스 사이트 쿠키를 사용할 수 있습니다.
즉, 관련 사이트 그룹이 제한된 상황에서 크로스 사이트 쿠키를 계속 사용할 수는 있지만 크로스 사이트 추적을 허용하는 방식으로 관련 없는 사이트에 서드 파티 쿠키를 공유할 위험이 없습니다.
잠재적 사용 사례: 앱별 도메인, 브랜드 도메인, 국가별 도메인, 신뢰할 수 없는 사용자 콘텐츠를 제공하기 위한 샌드박스 도메인, API용 서비스 도메인, CDN
5. 관련 웹 API로 이전
CHIPS 및 RWS는 사용자 개인 정보를 보호하면서 특정 유형의 크로스 사이트 쿠키 액세스를 지원하지만, 서드 파티 쿠키의 다른 사용 사례는 개인 정보 보호 중심의 대안으로 이전해야 합니다.
개인 정보 보호 샌드박스는 서드 파티 쿠키 없이도 특정 사용 사례를 위해 목적에 맞게 빌드된 다양한 API를 제공합니다.
- Federated Credential Management (FedCM)는 제휴 ID 서비스를 사용 설정하여 사용자가 사이트 및 서비스에 로그인할 수 있도록 합니다.
- 비공개 상태 토큰은 사이트 간에 식별되지 않는 제한된 정보를 교환하여 사기 및 스팸 방지를 지원합니다.
- Topics는 관심 기반 광고 및 콘텐츠 맞춤설정을 지원합니다.
- Protected Audience는 리마케팅 및 맞춤 잠재고객을 사용 설정합니다.
- 기여도 보고를 사용하면 광고 노출수와 전환을 측정할 수 있습니다.
또한 Chrome은 사용자 상호작용이 있는 iframe에서 사용할 수 있도록 Storage Access API (SAA)를 지원합니다. SAA는 이미 Edge, Firefox, Safari에서 지원됩니다. Google은 이 방식이 사용자 개인 정보 보호를 유지하는 동시에 브라우저 간 호환성의 이점과 함께 중요한 크로스 사이트 기능을 계속 지원할 수 있는 균형이 잡힌 방법이라고 생각합니다.
Storage Access API는 사용자에게 브라우저 권한 메시지를 표시합니다. 최적의 사용자 환경을 제공하기 위해 Google에서는 requestStorageAccess()를 호출하는 사이트가 삽입된 페이지와 상호작용했으며 이전에 최상위 컨텍스트에서 서드 파티 사이트를 방문한 경우에만 사용자에게 메시지를 표시합니다. 권한이 부여되면 해당 사이트의 크로스 사이트 쿠키 액세스가 30일 동안 허용됩니다. 소셜 네트워크 댓글 위젯, 결제 시스템 공급자, 구독한 동영상 서비스 등 인증된 크로스 사이트 삽입을 사용할 수 있습니다.
이러한 옵션이 적용되지 않는 서드 파티 쿠키 사용 사례가 여전히 있는 경우 이 문제를 Google에 신고하고 크로스 사이트 추적을 사용할 수 있는 기능에 의존하지 않는 대체 구현 방식이 있는지 고려해야 합니다.
엔터프라이즈 지원
일반적인 웹 사용과 비교했을 때 기업 관리 Chrome에는 항상 고유한 요구사항이 있습니다. Google은 기업 관리자가 브라우저에서 서드 파티 쿠키 지원 중단을 적절하게 제어할 수 있도록 지원할 예정입니다.
대부분의 Chrome 실험과 마찬가지로 대부분의 기업 최종 사용자는 1% 의 서드 파티 쿠키 지원 중단에서 자동으로 제외됩니다. 영향을 받을 수 있는 일부 쿠키의 경우, 기업 관리자는 BlockThirdPartyCookies 정책을 false로 설정하여 실험에 앞서 관리 브라우저를 선택 해제하고, 이 정책이나 서드 파티 쿠키에 의존하지 않도록 필요한 변경사항을 적용할 시간을 확보할 수 있습니다. 자세한 내용은 Chrome Enterprise 출시 노트를 참고하세요.
또한 Google은 기업 사이트에서 서드 파티 쿠키 사용을 파악하는 데 도움이 되는 보고 및 도구를 추가로 제공할 계획입니다. Chrome의 사용 측정항목에서 엔터프라이즈 브라우저에 대한 가시성이 떨어집니다. 즉, 기업이 중단을 테스트하고 Google에 문제를 신고하는 것이 특히 중요합니다.
엔터프라이즈 SaaS 통합에서는 아래에 설명된 서드 파티 지원 중단 기능 트라이얼을 사용할 수 있습니다.
광고 외 사용 사례에는 서드 파티 지원 중단 기능 트라이얼을 통해 추가 시간 요청하기
웹에서 있었던 여러 이전 지원 중단과 마찬가지로, 사이트에 필요한 변경사항을 적용하는 데 추가 시간이 필요한 경우가 있을 수 있습니다. 이와 같은 개인 정보 보호 관련 변경사항에 있어서는 웹 사용자의 최선의 이익과 균형을 맞춰야 합니다.
Google에서는 크로스 사이트 컨텍스트에서 사용되는 사이트 또는 서비스가 제한된 기간 동안 서드 파티 쿠키에 계속 액세스하도록 등록할 수 있는 방법을 제공하기 위해 지원 중단 기능 트라이얼을 제공할 계획입니다.
계획이 진행됨에 따라 자세한 내용을 공유할 예정이지만, 먼저 몇 가지 주요 원칙부터 살펴보겠습니다.
- 이는 서드 파티 지원 중단 기능 트라이얼이 되어 서드 파티 삽입 기능을 통해 일시적으로 서드 파티 쿠키를 계속 사용하도록 선택할 수 있게 됩니다.
- 등록하려면 지원 중단 기능 트라이얼이 중요한 사용자 여정에 크게 영향을 미치는 기능에만 사용되도록 검토 절차가 필요하며 등록은 사례별로 고려됩니다.
- CMA에 명시된 바와 같이 2024년 초로 예정된 광고 테스트에는 영향을 미치지 않습니다. 따라서 광고 사용 사례는 지원 중단 기능 트라이얼에 반영되지 않습니다.
다음 단계: 이번 달에 Intent를 blink-dev 메일링 리스트에 추가 세부정보와 함께 게시하고 여기에서 문서를 계속 업데이트할 예정입니다.
중요한 사용자 경험 보존
크로스 사이트 쿠키는 지난 25년 동안 웹의 중요한 역할을 해 왔습니다. 이로 인해 모든 변경, 특히 브레이킹 체인지가 복잡해지며, 조직적이고 점진적인 접근 방식이 필요한 프로세스가 복잡해집니다. 추가 쿠키 속성과 새로운 개인 정보 보호 중심의 API가 대부분의 사용 사례를 차지하지만, Google에서는 이러한 사이트를 사용하는 사용자의 경험을 방해하지 않기를 원하는 특정 시나리오가 있습니다.
일반적으로 최상위 사이트에서 작업을 위해 팝업 창을 열거나 제3자 사이트로 리디렉션한 다음 최상위 사이트로 돌아가 해당 재방문 과정 또는 삽입된 컨텍스트에서 쿠키를 사용하는 인증 또는 결제 흐름이 여기에 해당합니다. Google은 이러한 시나리오를 식별하고 제한된 시간 동안 서드 파티 쿠키를 허용하도록 임시 휴리스틱 세트를 제공하여 사이트에서 필요한 변경사항을 구현하는 데 더 긴 기간을 제공할 계획입니다.
다음 단계: 이번 달에 추가 세부정보와 함께 blink-dev 메일링 리스트에 인텐트를 게시하고 여기에서 문서를 계속 업데이트할 예정입니다.
서드 파티 쿠키 관련 문제 신고 및 도움 받기
Google에서는 서드 파티 쿠키 없이 사이트가 중단되는 다양한 시나리오를 포착하여 사이트가 서드 파티 쿠키 종속 항목에서 벗어날 수 있도록 가이드, 도구, 기능을 제공하고자 합니다. 사용 중인 사이트 또는 서비스가 서드 파티 쿠키가 사용 중지되어 중단되는 경우 goo.gle/report-3pc-broken에서 중단 추적기에 제출하실 수 있습니다.
지원 중단 절차 및 Chrome의 계획에 관해 궁금한 점이 있으면 개발자 지원 저장소에서 '서드 파티 쿠키 지원 중단' 태그를 사용하여 새로운 문제를 제기할 수 있습니다.