Skip to main content

쿠키는 오랜 역사를 지닌 간식이며 많은 사람의 사랑을 받았습니다. 이번 포스트에서는 초콜릿 칩이 박힌 쿠키부터 스니커두들까지, 모든 종류의 쿠키에 대해 허브스팟이 지닌 철학을 이야기해보겠습니다.

스니커두들(Snickerdoodle)

부드러운 계란 과자 스타일에 계핏가루와 설탕이 코팅된 쿠키. 보통 크리스마스 시즌에 많이 구워 먹습니다. 

🧚‍♀️

 

🍪

 

🎅

 

🥰

 

이렇게 쉽고 흥미로웠다면 좋았을 텐데.. 그저 안타까울 따름입니다.

어떤 쿠키는 아이들과 단 음식을 좋아하는 사람의 하루를 행복하게 만들어줍니다. 하지만 어떤 쿠키는 두통을 안겨다 줍니다. 특히 이 글을 읽는 당신이 마케터라면 더더욱 말입니다.

지난 몇 달 동안 구글이나 애플 등 세계 유수의 첨단 기술 회사들은 웹사이트 내 쿠키 사용을 억제하기 위해 여러 가지 행보를 보여왔습니다. 이번 포스트에서는 이들의 행보를 전반적으로 요약해 보겠습니다.

구글과 애플이 보인 행보란 무엇인가요?

구글은 지난해 새로운 버전의 크롬을 발표하며, ‘SameSite’라는 IETF 표준을 사용하여 표시(flag)하거나 보안설정(secure) 하지 않는 이상 크로스 사이트 리퀘스트(Cross-Site Requests)에 서드파티(Third-party) 쿠키를 보내는 행위를 중단하겠다고 밝혔습니다.

국제인터넷 표준화 기구
(IETF, Internet Engineering Task Force)

국제인터넷 표준화 기구. 국제적으로 이슈가 되는 기술 쟁점 등을 해결하기 위해 망 설계자, 관리자, 연구자, 망 사업자 등으로 구성된 개방된 공동체입니다. 주로 자발적인 참여와 논의 과정을 통해 인터넷 관련 기술표준을 마련하고 있습니다. 최근에는 인터넷의 빠른 성장으로 발생하는 문제를 해결하기 위해 엔지니어들과 프로그래머들이 상호 협의하는 포럼도 개최하고 있습니다.

애플 역시 지난 6월 개발자 콘퍼런스에서 새로운 버전의 ITP(지능형 추적 방지, Intelligent Tracking Prevention)를 발표했습니다. 해당 시스템은 애플이 기본 브라우저로 사용하는 ‘사파리’의 광고 기능을 제한하는 시스템이며, 특히 새로운 버전은 퍼스트 파티(First Party) 쿠키를 ‘엄하게’ 단속할 것이라고 말했습니다.

사파리 (Safari)

애플이 웹킷 엔진을 기반으로 개발한 웹 브라우저.

우와 😅 이게 무슨 소리인지.. 길고 복잡하네요. 기본적인 부분부터 나누어 알아보겠습니다.

 

‘쿠키’란 무엇인가요?

브라우저 내에 저장되는 작은 텍스트 파일입니다.

HTTP 쿠키, 웹 쿠키, 브라우저 쿠키라고도 불리는 이 작은 텍스트 파일은 “헨젤과 그레텔”속에 나오는 ‘쿠키’를 상상하면 이해하기 쉽습니다. 남매는 집으로 돌아가는 길을 까먹지 않도록 길 위에 쿠키를 뿌려두고 갑니다. 인터넷 세계의 쿠키 역시 사용자의 정보를 잃어버리지 않기 위해, 웹사이트에서 사용자의 하드디스크에 저장하는 특별한 텍스트 파일입니다.

사이트 개발자는 유저가 웹 사이트를 방문하면 자사의 페이지에서 쿠키를 생성하여 브라우저에 추가할 수 있는 ‘스크립트’를 가질 수 있습니다. 쿠키에 대한 인식은 좋지 않지만, 기업이 온라인상에서 하고 싶은 많은 일에 유용합니다.

가장 간단한 예는 특정 사이트에 접속 시, 로그인 창에서 자동으로 아이디와 비밀번호가 입력되는 경우입니다. 오늘날 많은 서버 및 웹사이트들이 신속함을 위해 애용하고 있습니다. 또 다른 예시로는 온라인 쇼핑의 카트 기능이 있습니다. 쿠키는 살 물건을 담아둔 ‘카트’를 추적하고, 페이지 간 전환이 이루어지는 동안에도 (예 : 다른 페이지를 보는 등) 로그인 상태를 유지합니다.

또한, 웹사이트의 소유자가 트래픽과 방문자의 수를 파악할 수 있도록 돕습니다. 보통 고유한 쿠키를 브라우저에 태그로 지정하는 방식을 통해 이루어집니다.

하지만 쿠키는 종종 보안상 이슈를 불러옵니다. 스파이웨어를 통해 유저의 행동을 추적할 수 있고, 심지어는 탈취하여 해당 사용자의 웹 계정 접근 권한을 획득하는 일도 발생합니다. 

 

허브스팟(HubSpot)은 쿠키를 어떻게 활용하고 있나요?

허브스팟은 쿠키를 추적하여 유저의 사이트 방문에 대한 전후 사정(Context)을 제공합니다. 누군가가 허브스팟의 추적 페이지(Tracked page)에 도착하면, 쿠키는 해당 유저의 방문 페이지를 기억하기 위해 브라우저 내에 추가됩니다. 물론 쿠키에 대한 배너가 노출되어 있고, 유저가 동의했다는 전제 하입니다!

쿠키는 최초방문자이자 익명 상태인 유저의 개인식별정보를 소유하고 있지 않습니다. 하지만 해당 유저가 방문한 페이지 이력은 여전히 저장할 수 있습니다. 만약 방문자가 자사의 콘텐츠를 좋아해서, 허브스팟으로 만들어진 폼을 작성하거나 라이브 채팅을 시작했다고 가정해봅시다. 방문자는 일종의 기록(Record)을 지니게 될 것이고, 이는 허브스팟의 Contact 데이터베이스에 저장될 것입니다. 그리고 방문자의 쿠키와 관련된 히스토리 역시 해당 기록에 저장됩니다.

 

퍼스트 파티 쿠키와 서드파티 쿠키의 차이점은 무엇입니까?

퍼스트 파티 쿠키와 서드파티 쿠키는 ‘쿠키를 어떻게 저장하는지’ 그리고 ‘쿠키를 누가 볼 수 있는지’로 구분할 수 있습니다.

웹 사이트가 쿠키를 저장할 때는 ‘도메인’을 부여합니다. 쿠키의 도메인이 웹사이트가 설정한 도메인과 일치한다면 해당 쿠키는 퍼스트 파티 쿠키입니다. 도메인이 다르다면 서드파티 쿠키입니다. 퍼스트 파티 쿠키는 쿠키를 설정한 웹 사이트에서만 볼 수 있으며, 서드파티 쿠키는 모든 웹 사이트에서 볼 수 있습니다.

도메인 (Domain)

https://www.hellodigital.kr/blog/ 과 같은 주소. 도메인을 이해하기 위해서는 먼저 IP가 무엇인지 이해할 필요가 있습니다. IP는 인터넷에 연결된 장치(컴퓨터, 스마트폰, 태블릿, 서버 등등)는 각각의 장치를 식별할 수 있는 주소를 가지고 있습니다. 168.0.1 등의 숫자로 표현되는 아이피는 사람이 이해하고 기억하기 어렵습니다. 따라서 각 아이피에 https://www.hellodigital.kr/blog/ 같이 이름을 부여했습니다. 이가 바로 도메인입니다.

광고 툴이 서드파티 쿠키를 사용하는 이유가 대부분 이렇습니다. 툴을 활용하면 여러 웹 사이트에서 사용자를 추적할 수 있으며, 다른 웹 사이트의 크로스 사이트 데이터를 사용하여 광고를 조정할 수 있기 때문입니다.

구체적인 예시를 하나 들어보겠습니다.

(a.com) 라는 전형적인 형태의 인터넷 쇼핑몰에 방문했다고 가정해보겠습니다. 장바구니에 어떤 상품을 넣었다면, 이후의 방문에서도 사이트는 유저를 기억하고 동일한 상품을 쇼핑 카트 페이지에서 보여줍니다. 이는 퍼스트 파티 쿠키가 동작한 결과입니다. 해당 쿠키는 유저가 방문한 사이트와 동일한 도메인에서 설정되었습니다.

반면에, 유저가 (a.com) 을 방문했고, 해당 유저가 접속한 페이지에는 다른 웹 사이트 (b.com) 의 iframe이 포함되어 있다고 가정해봅시다.

이때, (a.com) 페이지에서 접속한 && (b.com) 이 설정한 쿠키는 서드파티 쿠키가 되고, (a.com) 에서 접속하는 행위는 크로스 사이트 리퀘스트(Cross-Site Requests)가 됩니다.

이러한 iframe은 Doubleclick을 통해 광고를 노출할 수 있습니다. 즉, 여러 웹 사이트를 넘어 사용자를 추적하고, 온라인 어디에서나 광고를 띄운다는 뜻입니다. 그리고 이가 바로 구글이 단속하고자 하는 유형입니다.

iFrame

페이지 안에 페이지를 삽입하는 방법. HTML 문서 안에서 글 안의 위치에 또 다른 HTML을 보여주는 내부프레임(inline Frame) 태그를 말합니다. 제한된 공간 안에 많은 자료를 넣어야 할 경우나 한 문서를 여러 페이지에 동일하게 넣어야 할 경우에 많이 사용됩니다.

그럼 서드파티 쿠키는 완전히 무용지물이 되었나요?

꼭 그렇지는 않습니다. 이번 업데이트가 수행되면서, 서드파티 쿠키가 보낸 크로스 사이트 리퀘스트에는 SameSite라는 특수한 유형의 ‘보안 스탬프(Security Stamp)’가 필요한 상황이 되었습니다.

본질적으로, 이번 크롬 업데이트는 개발자들에게 서드파티 쿠키에 확실하게 명시적인 방식으로 라벨을 붙일 필요성을 요구했습니다.

만약 라벨을 붙이지 않는다면, 해당 쿠키는 크롬에서 작동하지 않을 수 있습니다. 따라서 악의적인 목적을 지닌 “나쁜 사람들”이 쿠키를 사용하기 어려워졌습니다. (예 : 데이터 도용 및 웹 사이트 해킹)

 

허브스팟을 사용하는 고객입니다. 이번 크롬 업데이트가 트래킹 활동에 영향을 미칠까요?

결론부터 말씀드리면 “아니요”입니다. 허브스팟의 쿠키는 퍼스트 파티 쿠키이므로 크롬 업데이트의 영향을 받지 않습니다.

이용하고 계시는 허브스팟 추적 코드는 계속해서 작동할 것이며, 허브스팟 보고서(Report)에도 마찬가지로 계속해서 데이터가 누적될 것입니다.

 

정말인가요? 크로스 사이트 리소스에 대한 크롬 알림이 뜨는데요 🧐

네, 정말입니다. 허브스팟 쿠키는 퍼스트 파티 쿠키입니다.

허브스팟 쿠키 설정을 담당하는 스크립트는 일반적으로 허브스팟 추적 웹사이트와 다른 도메인에서 호스팅 됩니다. 실제로 허브스팟 애널리틱 스크립트는 hs-analytics.net에서 호스팅 되고 있습니다. 그리고 이가 아마도 크롬에서 쿠키를 ‘Associated with a Cross-Site Resource’로 표시하는 이유일 것입니다.

호스팅 (Hosting)

정보의 집약체인 서버의 전체 혹은 일부를 이용할 수 있도록 임대하는 서비스. 서버를 관리하기 위해서는 큰 비용이 수반되기 때문에 개인이 서버를 관리하기보다는 전문 업체의 호스팅 서비스를 사용하는 방법이 일반적입니다.

쿠키를 설정하는 허브스팟 스크립트는 크로스 사이트 리소스로 간주하지만, 쿠키 자체는 퍼스트 파티 쿠키이며 여러 웹 사이트/도메인에서 방문 유저를 추적하지 않습니다.

 

사파리 업데이트는요?

최근에 이루어졌던 ITP(지능형 추적 방지, Intelligent Tracking Prevention) 업데이트의 가장 큰 변화는 사파리 내에 저장된 퍼스트 파티 쿠키가 7일 동안 사용되지 않는다면 자동으로 삭제된다는 내용입니다.

즉, 7일 이내에 방문자가 웹 사이트를 재방문하지 않는다면 허브스팟이 (혹은 다른 분석 툴이) 해당 방문자를 신규 방문자로 판단한다는 뜻이기도 합니다.

따라서 순 방문자(Unique visitor, Unique user)나 신규 방문자(New Visitor)와 관련된 지표가 상승할 수 있습니다. 또한 사파리 사용자들이 보여주는 허브스팟 내의 Contact에서 확인할 수 있는 방문 기록이 이전보다 적게 쌓일 수 있습니다.

알아둬야 할 부분은 전 세계의 브라우저 사용량을 측정했을 때, 사파리가 4위를 차지한다는 사실입니다. 이러한 사실이 발표의 중요성을 깎아내리는 건 아니지만, 여러 가지 다른 관점으로도 볼 수 있으리라 판단합니다.

 

기존 마케팅에 종말이 찾아오는 걸까요?

아니요. 이는 끊임없는 발전을 위한 다음 단계일 뿐입니다. 단지 데이터를 바라보는 두 가지 대조적인 관점 사이에서 잠시 진통을 겪는 단계인 셈입니다.

쿠키의 제한적 사용은 웹 사이트의 방문자 및 고객에게 개인화된 경험을 제공하는 능력을 저해할 것이며, 유저에게 덜 친숙한 웹 경험을 만들 것입니다.

하지만 인터넷의 안전성이 높아지고 개인정보를 보호할 수 있다는 장점도 있습니다.

이러한 업데이트가 마케팅과 세일즈, 서비스를 위한 데이터 활용에 어려움을 가져올 것이라는 사실은 의심의 여지가 없습니다. 하지만 결국 중요한 것은 이 모두가 고객 경험에 관한 이야기라는 겁니다.

구글과 애플은 자사에 고객이 개인정보에 가치를 둔다고 생각했으므로 이를 보호하기 위해 움직였을 뿐입니다. 그러한 의미에서 보자면 지금 이 글을 읽는 ‘당신’과 ‘당신의 고객’ 모두를 위한 조처를 한 셈입니다.

또한 이러한 움직임은 인바운드 방법론과 100% 일치한다는 의미를 지니고 있습니다.

허브스팟에서는 고객이 쇼핑하고 구매하는 방식에 따라 마케팅과 세일즈 방식을 일치시키도록 중점을 두고 있습니다.

오늘날의 고객은 프라이버시를 우선시합니다. 그렇다면 업계 종사자인 ‘우리 모두’도 프라이버시를 우선시 해야 합니다. 애플과 구글은 그것을 더 쉽게 하기 위해 그들의 소프트웨어를 업데이트하고 있습니다.

앞으로 나아가기 위한 질문은 : “이 회사들은 선을 어디쯤 그을 것인가?”입니다.

제한적 쿠키 사용이 실제로 고객의 경험을 완전한 익명으로 만들었을까요? 어느 정도의 고객 경험의 저해를 가져올까요? 이는 단지 시간이 말해줄 것입니다.