사이트에서 서드 파티 쿠키를 사용하고 있다면 지원 중단이 다가오고 있으니 조치를 취해야 합니다. 원활한 테스트를 위해 Chrome에서는 2024년 1월 4일부터 사용자의 1% 를 대상으로 서드 파티 쿠키를 제한했습니다. Chrome은 영국 경쟁시장청의 남아 있는 경쟁 관련 문제를 해결하는 대로 2024년 3분기부터 서드 파티 쿠키 제한을 모든 사용자로 확대할 계획입니다.
Google의 개인 정보 보호 샌드박스 목표는 크로스 사이트 추적을 줄이는 동시에 모든 사용자가 계속해서 온라인 콘텐츠와 서비스에 자유롭게 액세스할 수 있도록 하는 기능을 지원하는 것입니다. 서드 파티 쿠키를 지원 중단하고 삭제하는 것은 쉽지 않은 일입니다. 서드 파티 쿠키는 로그인, 사기 방지, 광고, 일반적으로 사이트에 풍부한 서드 파티 콘텐츠를 삽입하는 기능 등에서 중요한 기능을 사용 설정하기 때문입니다. 하지만 동시에 서드 파티 쿠키는 교차 사이트 추적의 핵심 요소이기도 합니다.
이전의 주요 마일스톤에서 Google은 ID, 광고, 사기 감지와 같은 사용 사례에 현재의 상태 대신 개인 정보 보호에 중점을 둔 대안을 제공하는 다양한 API를 출시했습니다. 대안이 마련되었으므로 이제 서드 파티 쿠키의 단계적 지원 중단을 시작할 수 있습니다.
이 쿠키 카운트다운 시리즈에서는 타임라인과 사이트를 준비하기 위해 취할 수 있는 즉각적인 조치를 안내합니다.
서드 파티 쿠키 1% 지원 중단 및 Chrome을 통한 테스트
privacysandbox.com 타임라인에서 Chrome에서 진행하는 테스트 모드의 일환으로 2023년 4분기와 2024년 1분기에 두 가지 주요 일정을 확인할 수 있습니다. 이 테스트는 주로 개인 정보 보호 샌드박스 관련성 및 측정 API를 테스트하는 조직을 대상으로 하지만, 이 테스트의 일환으로 Chrome 안정화 버전 사용자의 1% 를 대상으로 서드 파티 쿠키가 사용 중지됩니다.
즉, 2024년부터는 Chrome에서 진행하는 테스트에 적극적으로 참여하지 않더라도 사이트에서 서드 파티 쿠키가 사용 중지된 Chrome 사용자의 비율이 증가할 것으로 예상됩니다. 이 테스트 기간은 2024년 3분기까지 계속되며, CMA와의 협의 후 경쟁 관련 우려사항이 해결되는 대로 Chrome은 모든 Chrome 사용자를 대상으로 서드 파티 쿠키의 사용 중단을 시작할 계획입니다.
서드 파티 쿠키 지원 중단에 대비하기
사이트가 서드 파티 쿠키 없이도 실행될 수 있도록 준비할 수 있도록 아래와 같이 주요 단계로 프로세스를 분류했습니다.
- 서드 파티 쿠키 사용 감사
- 중단 테스트
- 삽입과 같이 사이트별로 데이터를 저장하는 교차 사이트 쿠키의 경우 CHIPS를 사용한
Partitioned를 고려하세요. - 의미 있게 연결된 소수의 사이트 그룹에서 교차 사이트 쿠키를 사용하려면 관련 웹사이트 세트를 고려해 보세요.
- 다른 서드 파티 쿠키 사용 사례의 경우 관련 웹 API로 이전하세요.
1. 서드 파티 쿠키 사용 감사
서드 파티 쿠키는 SameSite=None 값으로 식별할 수 있습니다. 코드를 검색하여 SameSite 속성을 이 값으로 설정하는 인스턴스를 찾아야 합니다. 이전에 2020년경에 쿠키에 SameSite=None를 추가하도록 변경한 경우 이러한 변경사항을 시작점으로 삼을 수 있습니다.
Chrome DevTools
Chrome DevTools 네트워크 패널에는 요청 시 설정되고 전송된 쿠키가 표시됩니다. 애플리케이션 패널의 스토리지 아래에 쿠키 제목이 표시됩니다. 페이지 로드의 일부로 액세스한 각 사이트에 저장된 쿠키를 탐색할 수 있습니다. SameSite 열을 기준으로 정렬하여 모든 None 쿠키를 그룹화할 수 있습니다.
Chrome 118부터 DevTools 문제 탭에 '크로스 사이트 컨텍스트에서 전송되는 쿠키는 향후 Chrome 버전에서 차단됩니다'라는 중대한 변경사항 문제가 표시됩니다. 이 문제에는 현재 페이지에서 영향을 받을 수 있는 쿠키가 나열됩니다.
개인 정보 보호 샌드박스 분석 도구 (PSAT)
또한 탐색 세션 중에 쿠키 사용을 분석하는 데 도움이 되는 DevTools 확장 프로그램인 개인 정보 보호 샌드박스 분석 도구 (PSAT)도 빌드했습니다. 이를 통해 쿠키 및 개인 정보 보호 샌드박스 기능을 디버그할 수 있으며 개인 정보 보호 샌드박스 이니셔티브에 대해 자세히 알아볼 수 있는 액세스 포인트도 제공됩니다.
이 확장 프로그램은 서드 파티 쿠키 지원 중단 및 새로운 개인 정보 보호 대안 채택과 관련된 시나리오를 분석하고 디버그하기 위한 전문 기능을 갖추고 있어 DevTools를 보완합니다.
Chrome 웹 스토어에서 확장 프로그램을 다운로드하거나 PSAT 저장소 및 위키에 액세스할 수 있습니다.
쿠키를 사용하는 서드 파티 확인
서드 파티에서 설정한 쿠키를 식별한 경우 해당 제공업체에 서드 파티 쿠키의 단계적 지원 중단에 관한 계획이 있는지 확인해야 합니다. 예를 들어 사용 중인 라이브러리 버전을 업그레이드하거나, 서비스의 구성 옵션을 변경해야 하거나, 서드 파티에서 필요한 변경사항을 직접 처리하는 경우에는 아무런 조치를 취하지 않아도 됩니다.
2. 중단 테스트
--test-third-party-cookie-phaseout 명령줄 플래그를 사용하여 Chrome을 실행하거나 Chrome 118부터 chrome://flags/#test-third-party-cookie-phaseout를 사용 설정할 수 있습니다. 이렇게 하면 Chrome에서 서드 파티 쿠키를 차단하도록 설정하고, 지원 중단 후 상태를 가장 잘 시뮬레이션할 수 있도록 새로운 기능과 완화 조치가 활성화됩니다.
chrome://settings/cookies를 통해 서드 파티 쿠키를 차단한 상태로 탐색해 볼 수도 있지만, 이 플래그를 사용하면 새 기능과 업데이트된 기능도 사용 설정됩니다. 서드 파티 쿠키를 차단하는 것은 문제를 감지하는 데 좋은 접근 방식이지만, 문제가 해결되었음을 확인하는 것은 아닙니다.
사이트의 활성 테스트 모음을 유지하는 경우 일반적인 설정의 Chrome을 사용한 실행과 --test-third-party-cookie-phaseout 플래그를 사용하여 실행한 동일한 버전의 Chrome을 사용한 실행을 나란히 실행해야 합니다. 첫 번째 실행에서는 실패하지 않고 두 번째 실행에서 실패하는 테스트는 서드 파티 쿠키 종속 항목을 조사할 만한 좋은 후보입니다. 발견한 문제를 신고해야 합니다.
문제가 있는 쿠키를 식별하고 쿠키의 사용 사례를 파악한 후 다음 옵션을 통해 필요한 해결 방법을 선택할 수 있습니다.
3. CHIPS와 함께 Partitioned 쿠키 사용
서드 파티 쿠키가 최상위 사이트와 1:1 삽입된 컨텍스트에서 사용되는 경우 사이트별로 사용되는 별도의 쿠키로 크로스 사이트 액세스를 허용하기 위해 Partitioned 속성을 Cookies Having Independent Partitioned State (CHIPS)의 일부로 사용하는 것이 좋습니다.
CHIPS를 구현하려면 Set-Cookie 헤더에 Partitioned 속성을 추가합니다.
Partitioned를 설정하면 사이트는 최상위 사이트별로 분할된 별도의 쿠키 저장소에 쿠키를 저장하도록 선택합니다. 위 예에서 쿠키는 사용자가 즐겨 찾는 매장을 저장할 수 있는 매장 지도를 호스팅하는 store-finder.site에서 가져옵니다. CHIPS를 사용하면 brand-a.site가 store-finder.site를 삽입할 때 fav_store 쿠키의 값이 123입니다. 그런 다음 brand-b.site가 store-finder.site도 삽입하면 fav_store 쿠키의 자체 파티션된 인스턴스를 설정하고 전송합니다(예: 값 456).
즉, 삽입된 서비스는 여전히 상태를 저장할 수 있지만 교차 사이트 추적을 허용하는 교차 사이트 공유 저장소는 없습니다.
잠재적 사용 사례: 서드 파티 채팅 삽입, 서드 파티 지도 삽입, 서드 파티 결제 삽입, 하위 리소스 CDN 부하 분산, 헤드리스 CMS 제공업체, 신뢰할 수 없는 사용자 콘텐츠를 게재하기 위한 샌드박스 도메인, 액세스 제어를 위해 쿠키를 사용하는 서드 파티 CDN, 요청에 쿠키가 필요한 서드 파티 API 호출, 게시자별로 상태 범위가 지정된 삽입 광고
4. Storage Access API 및 관련 웹사이트 세트 사용
서드 파티 쿠키가 소수의 관련 사이트에서만 사용되는 경우 관련 웹사이트 세트 (RWS)를 사용하여 정의된 사이트의 컨텍스트 내에서 해당 쿠키의 교차 사이트 액세스를 허용할 수 있습니다.
RWS를 구현하려면 세트의 사이트 그룹을 정의하고 제출해야 합니다. 사이트가 의미 있는 관련성을 갖도록 하려면 유효한 세트의 정책에 따라 서로 명시적인 관련성이 있는 연결된 사이트 (예: 회사 제품의 변형), 서비스 도메인 (예: API, CDN) 또는 국가 코드 도메인 (예: *.uk, *.jp)별로 사이트를 그룹화해야 합니다.
사이트는 Storage Access API를 사용하여 requestStorageAccess()를 사용하여 교차 사이트 쿠키 액세스를 요청하거나 requestStorageAccessFor()를 사용하여 액세스 권한을 위임할 수 있습니다. 사이트가 동일한 세트에 있으면 브라우저에서 자동으로 액세스 권한을 부여하고 교차 사이트 쿠키를 사용할 수 있습니다.
즉, 관련 사이트 그룹은 제한된 컨텍스트에서 계속 교차 사이트 쿠키를 사용할 수 있지만 교차 사이트 추적을 허용하는 방식으로 관련 없는 사이트 간에 서드 파티 쿠키를 공유할 위험은 없습니다.
잠재적 사용 사례: 앱별 도메인, 브랜드별 도메인, 국가별 도메인, 신뢰할 수 없는 사용자 콘텐츠를 게재하기 위한 샌드박스 도메인, API, CDN의 서비스 도메인
5. 관련 웹 API로 이전
CHIPS 및 RWS는 사용자 개인 정보를 유지하면서 특정 유형의 크로스 사이트 쿠키 액세스를 지원하지만, 서드 파티 쿠키의 다른 사용 사례는 개인 정보 보호 중심의 대안으로 이전해야 합니다.
개인 정보 보호 샌드박스는 서드 파티 쿠키 없이 특정 사용 사례에 맞는 다양한 특수 목적 API를 제공합니다.
- 제휴 사용자 인증 정보 관리 (FedCM)는 사용자가 사이트 및 서비스에 로그인할 수 있는 제휴 ID 서비스를 사용 설정합니다.
- 비공개 상태 토큰을 사용하면 사이트 간에 제한적이고 비식별 정보를 교환하여 사기 방지 및 스팸 방지를 지원할 수 있습니다.
- 주제를 사용하면 관심분야 기반 광고 및 콘텐츠 맞춤설정을 할 수 있습니다.
- Protected Audience를 사용하면 리마케팅 및 맞춤 잠재고객을 사용할 수 있습니다.
- 기여도 보고를 사용하면 광고 노출수와 전환을 측정할 수 있습니다.
또한 Chrome은 사용자 상호작용이 있는 iframe에서 사용할 수 있는 Storage Access API (SAA)를 지원합니다. SAA는 이미 Edge, Firefox, Safari에서 지원됩니다. Google은 이 접근 방식이 사용자 개인 정보 보호를 유지하면서도 교차 브라우저 호환성의 이점을 활용하여 중요한 교차 사이트 기능을 지원하는 데 적합하다고 생각합니다.
Storage Access API는 사용자에게 브라우저 권한 메시지를 표시합니다. 최적의 사용자 환경을 제공하기 위해 requestStorageAccess()를 호출하는 사이트가 삽입된 페이지와 상호작용했으며 이전에 최상위 컨텍스트에서 서드 파티 사이트를 방문한 경우에만 사용자에게 메시지가 표시됩니다. 액세스 권한이 부여되면 해당 사이트에서 30일 동안 교차 사이트 쿠키 액세스가 허용됩니다. 잠재적인 사용 사례로는 소셜 네트워크 댓글 위젯, 결제 제공업체, 구독 동영상 서비스와 같은 인증된 교차 사이트 삽입이 있습니다.
이러한 옵션에 포함되지 않은 서드 파티 쿠키 사용 사례가 여전히 있는 경우 Google에 문제를 신고하고 교차 사이트 추적을 사용 설정할 수 있는 기능에 종속되지 않는 대체 구현이 있는지 고려해야 합니다.
엔터프라이즈 지원
일반적인 웹 사용 대비 Enterprise 관리형 Chrome에는 항상 고유한 요구사항이 있습니다. Google에서는 Enterprise 관리자가 브라우저에서 서드 파티 쿠키 지원 중단을 적절하게 제어할 수 있도록 지원할 계획입니다.
대부분의 Chrome 실험과 마찬가지로 대부분의 기업 최종 사용자는 1% 서드 파티 쿠키 지원 중단에서 자동으로 제외됩니다. 영향을 받을 수 있는 일부 사용자의 경우, 기업 관리자는 BlockThirdPartyCookies 정책을 false로 설정하여 실험 전에 관리 브라우저를 선택 해제하고 이 정책이나 서드 파티 쿠키에 의존하지 않도록 필요한 변경사항을 적용할 시간을 확보할 수 있습니다. 자세한 내용은 Chrome Enterprise 출시 노트를 참고하세요.
또한 Google은 기업 사이트에서 서드 파티 쿠키 사용을 식별하는 데 도움이 되는 추가 보고 및 도구를 제공할 계획입니다. Chrome의 사용량 측정항목에서 기업 브라우저가 잘 표시되지 않으므로 기업은 중단을 테스트하고 Google에 문제를 신고하는 것이 특히 중요합니다.
엔터프라이즈 SaaS 통합은 아래에 설명된 서드 파티 지원 중단 기능 트라이얼을 사용할 수 있습니다.
비광고 사용 사례의 서드 파티 지원 중단 기능 트라이얼을 통해 추가 시간 요청
웹에 있었던 여러 이전 지원 중단 사례와 마찬가지로 이번에도 사이트에 필요한 변경사항을 적용하는 데 시간이 추가로 필요한 경우가 있을 것임을 잘 알고 있습니다. 이와 같은 개인 정보 보호 관련 변경사항의 경우 웹을 사용하는 사용자의 이익과도 균형을 맞춰야 합니다.
Google은 교차 사이트 컨텍스트에서 사용되는 사이트 또는 서비스가 제한된 기간 동안 서드 파티 쿠키에 계속 액세스할 수 있도록 등록할 수 있는 방법을 제공하기 위해 지원 중단 기능 트라이얼을 제공할 계획입니다.
계획이 진행되는 대로 자세한 내용을 공유할 예정이지만, 먼저 몇 가지 주요 원칙을 소개합니다.
- 서드 파티 삽입이 서드 파티 쿠키를 일시적으로 계속 사용하도록 선택할 수 있는 서드 파티 지원 중단 기능 트라이얼입니다.
- 등록하려면 지원 중단 체험판이 중요한 사용자 여정에 큰 영향을 미치는 기능에만 사용되는지 확인하는 검토 절차가 필요하며 등록은 케이스별로 고려됩니다.
- CMA에서 설명한 대로 2024년 초에 계획된 광고 테스트에는 영향을 미치지 않습니다. 따라서 광고 사용 사례는 지원 중단 체험판에 포함되지 않습니다.
다음 단계: 이번 달에 blink-dev 메일링 리스트에 추가 세부정보가 포함된 인텐트를 게시하고 여기에서 문서를 계속 업데이트할 예정입니다.
중요한 사용자 환경 보존
교차 사이트 쿠키는 25년 넘게 웹에서 중요한 역할을 해 왔습니다. 따라서 모든 변경사항, 특히 중단 변경사항은 조정되고 점진적인 접근 방식이 필요한 복잡한 프로세스가 됩니다. 추가 쿠키 속성과 새로운 개인 정보 보호 중심 API가 대부분의 사용 사례를 설명하지만, 이러한 사이트를 사용하는 사용자의 환경을 손상시키지 않는 것이 중요한 특정 시나리오가 있습니다.
이러한 흐름은 주로 최상위 사이트가 팝업 창을 열거나 작업을 위해 서드 파티 사이트로 리디렉션한 후 최상위 사이트로 돌아가면서 해당 반환 경로 또는 삽입된 컨텍스트에서 쿠키를 사용하는 인증 또는 결제 흐름입니다. Google은 이러한 시나리오를 식별하고 제한된 기간 동안 서드 파티 쿠키를 허용하는 임시 휴리스틱 세트를 제공하여 사이트가 필요한 변경사항을 구현할 수 있는 더 긴 기간을 제공할 계획입니다.
다음 단계: 이달에 blink-dev 메일링 리스트에 세부정보가 포함된 인텐트를 게시하고 여기에서 문서를 계속 업데이트할 예정입니다.
서드 파티 쿠키 관련 문제 신고 및 지원 받기
Google은 사이트가 서드 파티 쿠키 종속성에서 벗어날 수 있도록 적절한 가이드, 도구, 기능을 제공하기 위해 서드 파티 쿠키 없이 사이트가 중단되는 다양한 시나리오를 포착하고자 합니다. 서드 파티 쿠키가 사용 중지되었을 때 이용 중인 사이트 또는 서비스가 중단된다면 goo.gle/report-3pc-broken에서 중단 추적 도구를 통해 문제를 신고할 수 있습니다.
지원 중단 절차 및 Chrome 계획에 관해 궁금한 점이 있으면 개발자 지원 저장소에서 '서드 파티 쿠키 지원 중단' 태그를 사용하여 새 문제를 제기할 수 있습니다.