안녕하세요, 데이터 기반으로 성과를 도출하는 디지털 마케팅 컨설팅 팀, 오픈소스마케팅입니다.

한국에 계신 분들에게는 아직 동의 모드라는 단어 자체가 생소하실 텐데요. 이미 해외의 많은 회사에서 적용하고 있는 구글의 개인정보 보호 관련 기술입니다. 이번 글에서는 구체적으로 동의 모드가 무엇이고 왜 사용해야 하는지 알아보도록 하겠습니다.

동의 모드가 나오게 된 배경

General Data Protection Regulation 흔히 우리가 GDPR이라고 부르는 유럽 일반개인정보보호법이 2018년에 발효된 이후 EU 내에 있는 개인의 개인 정보를 처리하는 경우, EU 내 자회사, 지사와 같은 사업장이 있는 경우 개인의 데이터를 수집하고 저장하는 것이 매우 까다로워졌습니다.

GDPR 발효 후 생긴 가장 큰 변화는 방문자의 기기에 쿠키를 할당하기 전 아래 이미지와 같은 쿠키 배너를 필수로 추가해야 하는 것인데요.  

이 경우 쿠키를 동의한 방문자의 정보만을 수집할 수 있기 때문에 GDPR을 발효하기 이전보다 수집되는 데이터의 양이 적어지고 마케터는 정확한 광고의 성과를 평가하는 것이 불가능해졌습니다. 이에 대응하기 위해 구글은 2020년 9월 3일 사용자의 쿠키 동의 상태에 따라 구글 애즈, 구글 애널리틱스, 구글 플러드라이트를 동작시키는 동의 모드를 베타 버전으로 출시 합니다.

동의 모드란?

위의 이미지에서 알 수 있듯이 동의 모드는 쿠키 배너를 보고 사용자가 선택한 쿠키 사용 옵션에 따라 구글 애널리틱스, 구글 애즈 및 기타 구글 플랫폼에서 태그가 작동하는 방식을 제어할 수 있는 기술입니다. 동의 모드의 가장 큰 이점은 구글 플랫폼에 한해 이전과 달리 방문자가 쿠키 사용을 거부해도 GDPR을 지키며 합법적으로 비식별 데이터를 수집할 수 있다는 것인데요. 구체적으로 어떤 동의 유형이 있고 동의 유형의 상태(거부 또는 허용)에 따른 제한점과 수집되는 비식별 데이터에는 어떤 것이 있는지 알아보겠습니다.

사용자가 사용 여부를 선택할 수 있는 동의 모드의 유형

구글이 공식적으로 태그를 컨트롤하기 위해 제공하는 동의 유형에는 5가지가 있습니다.

1. ad_storage : 광고와 관련된 저장공간 사용 설정(예 : 쿠키)

2. analytics_storage : 방문 후 머문 시간 등의 분석과 관련된 저장공간 사용 설정(예: 구글 애널리틱스 쿠키)

3. functionality_storage : 웹사이트의 기능을 지원하는 저장공간 사용 설정(예: 언어 설정)

4. personalization_storage : 맞춤 설정 관련 저장공간 사용 설정(예: 동영상 추천, 음악 추천)

5. security_storage : 보안 관련 저장공간 사용 설정(예: 인증 기능, 사기 방지)

이 중 방문자 데이터 수집에 영향을 미치는 것은 광고와 관련된 ad_storage, 웹사이트 분석과 관련된 analytics_storage 입니다. 각 동의 유형별 상태에 따라 웹과 앱에서 태그가 어떻게 작동하는지 알아보도록 하겠습니다.

동의 유형별 상태에 따른 작동 방식의 차이

사용자가 쿠키를 광고 최적화, 웹사이트 분석에 사용하는데 동의했을 때

ad_storage= ‘granted’ 및 analytics_storage= ‘granted’

광고 저장 공간, 웹사이트 분석 저장 공간 모두 사용에 동의한 상태이기 때문에 기존과 마찬가지로 쿠키, 광고 식별자, 앱 인스턴스 ID를 기반으로 방문자 정보를 수집할 수 있는 상태입니다.

사용자가 쿠키를 웹사이트 분석에 사용하는 데 동의했으나 광고 최적화 사용에는 거부했을 때

ad_storage= ‘denied’

다음과 같이 광고 쿠키에 의존하는 구글 애널리틱스의 기능을 사용할 수 없게 됩니다.

• 특정 행동, 인구통계 및 관심 분야 데이터를 기반으로 리마케팅 잠재고객을 만들고 이를 구글 애즈로 공유하기

• 애널리틱스 보고서 내 인구통계 및 관심 분야 데이터 사용

• 구글 디스플레이 네트워크 노출 보고서

• 인구 통계 및 관심 분야 데이터를 기반으로 세그먼트 생성

구글 애널리틱스는 계속해서 퍼스트 쿠키를 읽고 사용할 수 있으므로 Device ID에 접근하고 수집하는 것이 가능합니다. 따라서 리마케팅에 활용하지 못할 뿐 전환, 이벤트, 사용자 측정항목, 세션 측정항목, 획득 데이터 및 속성은 지속해서 수집됩니다. 즉 ad_storage 사용이 거부되어도 캠페인별로 전환 관련 데이터는 정확하게 기록이 됩니다.

용어 추가 설명

• 구글 신호 데이터 : 구글이 직접 수집한 사용자의 다양한 활동 데이터입니다. 사용자가 구글 로그인을 한 상태로 유튜브, 크롬과 같은 특정 구글 서비스를 사용할 때 시청한 동영상, 검색한 내용, 방문한 웹사이트 같은 활동 정보를 구글 계정에 데이터로 저장합니다. 구글 신호 데이터에 대해서는 구글 신호 데이터(Google Signal)와 GA4 기준점 적용 글에서 더 자세히 확인할 수 있습니다.

• GCLID : Google 클릭 ID(GCLID)는 광고 클릭과 광고 기여를 위해 광고와 연결된 클릭의 캠페인 및 기타 속성을 식별하기 위해 광고 클릭과 함께 URL에 전달되는 매개변수입니다. Google Ads에서 자동 태그 추가 설정을 사용하면 이 기능을 사용할 수 있습니다. 이는 Google Ads 웹사이트 전환 추적에 필요하며 Google Ads와 Google 애널리틱스 간에 데이터를 연결하는 데도 사용됩니다.

• DCLID : GMP(Google Marketing Platform)에서 디스플레이 캠페인이 사용하는 DoubleClick의 클릭 ID 입니다. GCLID와 같은 역할을 합니다.

• IDFV : IDFV(Identifier for Vendor)는 iOS 디바이스에서 동일한 공급업체의 모든 앱이 동일하게 가지는 기기 식별자입니다. 특정 공급업체의 모든 앱이 제거되면 해당 공급업체의 IDFV는 삭제되며 새로 인스톨 시에는 기존과는 다른 새로운 IDFV가 할당됩니다.

• 플러드라이트 : Floodlight는 Campaign Manager 360의 선택적 기능으로 전환을 추적 및 보고하고 사용자 목록을 수집해 잠재고객을 설정할 수 있습니다.

사용자가 쿠키를 웹사이트 분석에 사용하는데 동의했으나 광고 최적화 사용에는 거부했으며

광고 클릭과 함께 URL에 전달되는 매개변수인 GCLID를 수정하여 수집할 때

ad_storage= ‘denied’ 및 ads_data_redaction=‘true’

ad_sotrage 사용이 거부되었을 때보다 한 단계 나아가 개인 정보를 보호합니다. 트래픽과 광고 캠페인을 연결하는 GCLID, DCLID가 수정되기 때문에 광고 캠페인별 추적 정보(획득 보고)에도 영향을 미칩니다. 광고 클릭 식별자가 수정되면 구글 애널리틱스가 사용자를 웹사이트에 방문하게 한 캠페인이 어떤 캠페인인지 알 방법이 없습니다.

사용자가 쿠키를 웹사이트 분석에 사용하는 것을 거부했을 때

analytics_storage= ‘denied’

일반적으로 구글 애널리틱스 쿠키를 사용할 수 있는 경우 Device ID가 쿠키에 할당됩니다. 이렇게 할당된 Device ID는 사용자를 식별하는 고유의 익명 식별자로 사용되며 이벤트, 페이지 로드, 세션 전반에 걸쳐 사용자의 행동을 연결하는 데 사용됩니다.

analytics_storage 사용이 거부되는 경우 사용할 수 있는 쿠키가 없기 때문에 Device ID는 새로운 페이지가 로드될 때마다 고유한 임의의 숫자로 재설정됩니다. 즉 1명이 10개의 페이지를 봤어도 쿠키를 사용할 수 없는 경우에는 10명이 1개의 페이지를 본 것처럼 보고가 됩니다. 이 경우 사용자, 세션 및 기여에 대한 분석이 아예 불가능하기 때문에 구글에서는 행동 모델링이라는 기술을 사용해 추정된 데이터를 제공하고 있습니다.

동의 모드로 수집되는 데이터

ad_storage 또는 analytics_storage가 거부되는 경우, 실행되는 태그는 쿠키를 저장하는 대신 사용자 활동에 대한 최소한의 정보를 전달하고 이 정보는 구글의 서버로 전송합니다. 전송되는 데이터는 다음과 같습니다.

• 동의 상태 핑 : 방문자가 ad_storage 또는 analytics_storage와 같은 동의 유형을 거부하면 기본으로 설정했던 동의 상태(허용 또는 거부로 서비스에 따라 설정할 수 있음)와 업데이트된 상태를 전달합니다. 이후 사용자가 동의 모드를 사용 중인 페이지를 방문할 때마다 동의 상태 핑이 전송되고, 동의 상태가 ‘거부’에서 ‘동의’로 업데이트되는 경우에도 핑이 전송됩니다.

• 전환 핑 : 전환이 발생했을 때 전환이 발생했음을 알리기 위해 핑이 전송됩니다.

• 구글 애널리틱스 핑 : 구글 애널리틱스가 구현된 웹사이트의 각 페이지 로드 시 또는 이벤트가 로깅될 때 이를 알리기 위해 핑이 전송됩니다. 이렇게 전송된 정보는 행동 모델링 기술이 적용되어 구글 애널리틱스 보고서에 보고됩니다.

• 핑에 포함되는 기능 정보

    - 타임스탬프 : 사이트를 방문한 시간

    - 사용자 에이전트 : 사용자의 브라우저 정보

    - 리퍼러 : 사이트 방문 이전 경로

• 핑에 포함되는 집계/비식별 정보

    - 현재 또는 이전 페이지 중 URL에 광고 클릭 정보(GCLID / DCLID)의 포함여부 표시

    - 동의 상태에 대한 true, false 정보

    - 페이지를 로드할 때마다 생성되는 임의의 번호(Device ID)

    - 사이트 소유자가 사용하는 동의 관리 플랫폼(CMP)의 고유 ID

동의 모드 요약

1. 동의 모드를 사용하면 사용자가 선택한 옵션에 따라 구글 애널리틱스, 구글 애즈와 같은 서비스를 GDPR을 준수하며 사용할 수 있게 됩니다.

2. 쿠키를 사용할 수 없어도 비식별 상태로 전환, 웹사이트방문, 사용자의 행동(GA 이벤트)에 관한 데이터가 수집됩니다.

3. 동의를 거부당했을 때 수집되는 비식별 데이터는 구글 애널리틱스 계정이 아닌 구글의 서버로 전달되고 이는 모델링 되어 GA4, 구글 애즈 보고서에 표시됩니다.

4. 동의 모드를 통해 수집된 비식별 데이터는 광고 리타게팅에 사용할 수 없습니다.

동의 모드 관련 논쟁

구글에서는 동의 모드가 GDPR을 위반하지 않으며 데이터를 수집하고 있다고 하지만 동의 모드가 완벽하게 개인 정보를 보호하고 있지 못하다는 시각도 있습니다. 그 주장은 다음과 같습니다.

1. 쿠키가 설정되지 않은 한 동의 없이도 데이터를 수집하는 것이 합법이라고 주장하는 것은 방문자의 의사를 무시하고 고의적으로 GDPR을 위반한 것

2. 서버에 IP 주소가 실제로 저장되지는 않지만, 구글의 미국 서버로 실제 IP 주소가 전송된 후에 익명화가 진행되기 때문에 익명화 되지 않은 IP 주소가 EU를 벗어나 미국으로 전달되고 있음

3. 구글 서버로 데이터가 전송되기 때문에 여전히 미국으로 EU 시민의 데이터를 전송합니다.

4. IP 주소 외에 User Agent(사용자의 브라우저 정보)와 같은 값들은 익명 처리되지 않고 구글 서버에 저장되고 있습니다.

이와 같은 이유로 구글의 주장과 달리 실제로 동의모드가 GDPR을 완벽하게 지키고 있다고 보기는 어려워 보입니다. 특히 EU에서 미국으로 데이터가 전송되는 것은 EU - US Privacy Shield가 2020년 7월 16일 무효가 된 후로 명백히 불법이기 때문에 새롭게 제안된 데이터 전송 규정인 TADPF(Trans-Atlantic Data Privacy Framework)가 발효되기 전까지 비난에서 자유로울 수 없는 부분입니다.

GTM 활용하여 동의 모드 적용하기

구글의 동의 모드는 사용자가 동의하기 전 웹사이트 쿠키를 차단한 뒤 원하는 쿠키만을 동의할 수 있게 해주는 CMP(Consent Management Provider)라는 동의 관리 솔루션을 사용하고 있다면 구글 태그 매니저로 쉽게 구현이 가능합니다. CMP를 사용하고 있다는 가정하에 동의 모드를 구현하는 방법을 차근차근 알아보도록 하겠습니다.

1. 쿠키 및 사용자 데이터를 관리해주는 CMP 선정

구글이 소개하는 대표적인 CMP들

2. 동의 모드를 사용하고자 하는 컨테이너의 동의 개요 사용 설정 활성화

[동의 개요 경로]

관리자 → 컨테이너 설정 → 추가 설정 → 동의 개요 사용

3. GTM 태그 템플릿에서 선정한 CMP를 검색하여 템플릿 추가 후 동의 배너 구현

[템플릿 추가 경로]

작업공간 → 템플릿 → 갤러리 검색 → 선정한 CMP에 맞는 템플릿 선택 → 작업공간에 추가

Cookiebot 템플릿 검색 예시

구글이 소개하는 CMP 중 Sourcepoint를 제외하고 태그 템플릿을 만들어 놓았기 때문에 템플릿 가이드를 확인하면 개발자의 도움 없이 쉽게 동의 배너를 구현할 수 있습니다.

4. 태그 페이지에서 아래와 같은 방패 모양 아이콘 클릭

5. 동의 설정되지 않음의 구글 제품 관련 태그만 선택하고 방패 아이콘 클릭

6. 추가 동의가 필요하지 않음으로 변경하고 저장

구글 제품의 경우 태그를 생성할 때 태그를 실행하는 데 필요한 동의 유형을 기본 제공 동의로 설정되어 생성이됩니다. 그래서 추가 동의가 필요하지 않기 때문에 추가 동의가 필요하지 않음으로 설정을 하면 간단하게 동의 모드가 적용된 태그가 완성이됩니다.

구글의 제품이 아닌 페이스북 기본 픽셀이나 링크드인 기본 인사이트 태그 같은 경우 태그를 실행하기 위해 추가 동의 요구 설정을 하여 광고와 관련된 저장공간인 ad_storage 동의 유형을 추가해줘야 합니다. 두 태그는 구글의 제품이 아니기 때문에 쿠키 사용에 비동의한 경우에는 아예 태그가 실행되지 않습니다.

7. 다수의 태그를 한 번에 동의 설정 완료

8. 미리보기를 통해 동의 모드 작동 여부 확인

처음 확인되는 동의 상태는 기본 동의 값이기 때문에 기본 동의 값을 거부로 해놓은 경우 Status에 granted가 아닌 denied가 값으로 보이게 됩니다.

동의모드가 GA4에 미치는 영향

동의 모드를 사용하면 ad_storage, analytics_storage 쿠키 사용을 거부해도 비식별로 사용자 활동에 대한 최소한의 정보를 전달하므로 구글은 이 정보에 머신러닝 기술을 적용하여 쿠키를 거부한 사람의 행동을 추정해 구글 애널리틱스 보고서에 표시해줍니다. 이를 동의 모드 행동 모델링이라고 정의하며 머신러닝의 기술의 원리는 이전에 작성했던 모델링된 전환의 원리와 같습니다. 다만, 동의 모드의 경우 전환 외에 페이지뷰, 이벤트도 부정확하게 수집되기 때문에 더 광범위한 지표에 모델링이 적용됩니다.

동의 모드 행동 모델링이 적용되는 대표적인 데이터

• 일일 활성 사용자 수

• 지난 캠페인에서 획득한 신규 사용자 수

• 웹사이트 방문부터 실제 구매에 이르기까지의 사용자 여정

• 내 사이트 방문자의 국가별 방문자 수 비교

• 모바일 방문자와 웹 방문자의 사용자 행동 차이

행동 모델링은 특정 요건을 만족하면 자동으로 적용이 되어 구글 애널리틱스 보고서에 보고되는데요. 어떤 조건이 있는지 살펴보도록 하겠습니다.

행동 모델링이 적용되는 기본 요건

1. 동의 모드 사용이 설정되어야 합니다.

2. 쿠키 배너(동의 팝업)가 뜨기 전에 구글 태그 매니저가 로드되어야 합니다.

3. 한 GA4 속성에서 최소 7일 동안 analytics_storage=’denied’가 포함된 이벤트를 하루에 1,000개 이상 수집해야 합니다.

4. 한 GA4 속성에서 이전 28일 중 최소 7일은 analytics_storage=’granted’가 포함된 이벤트를 전송하는 일일 사용자가 1,000명 이상이어야 합니다.

구글 공식 가이드 내부 데이터 품질 아이콘 예시

조건을 만족하여 행동 모델링이 사용 가능해졌음을 데이터의 변화 뿐만 아니라 GA4에서 제공하는 데이터 품질 아이콘을 통해서도 확인이 가능합니다. 각각의 데이터 품질 아이콘 상태가 의미하는 바는 다음과 같습니다.

데이터 품질 아이콘 상태

추정 사용자 데이터 제외 상태의 경우 행동 모델링을 적용한 데이터를 반영할 수 있으나 GA4 속성의 설정이 비활성화되어 반영되지 못하는 상태입니다. 설정은 아래 경로에서 변경 가능하니 참고해주세요.

[보고 ID 설정 경로]

관리자 → 보고 ID → 혼합됨 활성화 → 저장

마지막으로 알아볼 것은 GA4에서 모델링된 데이터 사용이 불가능한 곳인데요. 다음과 같습니다.

GA4에서 모델링된 데이터 사용이 불가능한 곳

1. 잠재고객

2. 실시간 데이터가 포함된 실시간 보고서 및 카드

3. 자유 형식 표를 제외한 탐색 분석

4. 세그먼트

5. 예측 측정항목

6. 데이터 내보내기(예: BigQuery export)

이상으로 구글의 또 다른 개인정보 강화 대비책 솔루션인 동의 모드에 대해 알아봤습니다. 동의 모드에서 기억해야 할 가장 중요한 점은 아직 논란이 있긴 하지만 동의 모드를 사용하면 구글 제품에 한해 비식별화된 데이터가 수집되어 아예 수집이 원천 차단된 것에 비해서는 더 정확히 광고 성과, 사용자의 방문 및 행동 데이터를 추정할 수 있다는 것입니다.

동의 모드는 2020년 9월 출시된 이후 아직도 베타로 적용되어 있기 때문에 이후 새로운 업데이트나 변화가 있을 수 있는데요. 오픈소스마케팅 인사이터를 구독해주시면 업데이트 소식을 빠르게 받아보실 수 있습니다.

"GA4 전환부터 마케팅 성과 향상까지, 

오픈소스마케팅이 그 방향을 제시하겠습니다."