Technology2026년 4월 25일 | FlexyConsent

Chrome Privacy Sandbox와 Topics API: 동의, 타겟팅, 측정에 관한 2026년 퍼블리셔 가이드

지난 10년 대부분 동안 디지털 광고는 단순한 가정 위에서 운영되었습니다. 서드파티 쿠키가 항상 존재하며 웹 전체에서 사용자 식별자를 조용히 전달할 것이라는 가정이었습니다. 이제 그 가정은 무너졌습니다. Chrome의 지원 중단 경로는 여러 번 바뀌었지만 이동 방향은 바뀌지 않았습니다. 서드파티 쿠키를 통한 교차 사이트 추적이 종료되고 있으며, Google의 Privacy Sandbox는 Chrome이 퍼블리셔와 광고주가 채택하기를 원하는 대안입니다. Sandbox는 단일 제품이 아닙니다. 각각 쿠키가 담당하던 특정 사용 사례를 대체하는 브라우저 API 모음 — Topics, Protected Audience, Attribution Reporting, Fenced Frames, Shared Storage 등 — 입니다. 퍼블리셔에게 어려운 부분은 API를 개별적으로 이해하는 것이 아닙니다. Privacy Sandbox 흐름, GDPR 준수, 주 개인정보보호법을 동시에 맞추는 동의 레이어와 수익화 경로를 구축하는 것입니다. 이 가이드는 2026년의 움직이는 부분들과 동의 스택이 어떤 모습이어야 하는지를 설명합니다.

Privacy Sandbox가 실제로 무엇을 대체하는가

서드파티 쿠키는 네 가지 광고 기능을 담당했습니다. 관심사 기반 타겟팅, 리타겟팅, 전환 측정, 빈도 제한입니다. Privacy Sandbox는 이를 각각 고유한 동의 프로필을 가진 별도의 API로 분리합니다.

Topics API — 관심사 기반 타겟팅

Topics API는 각 브라우저에 수백 개 카테고리의 큐레이션된 분류 체계에서 추출한 주당 약 5개 주제로 구성된 거칠게 분류된 관심사 주제 세트를 할당합니다. 퍼블리셔가 document.browsingTopics()를 호출하면 브라우저는 교차 사이트 식별자 없이 광고 기술 생태계가 맥락 기반 개인화에 사용할 수 있는 최대 3개의 주제를 반환합니다. 주제는 로컬에서 계산되고 기기에 저장되며 매주 갱신되고 chrome://settings/adPrivacy의 사용자 컨트롤을 따릅니다.

Protected Audience API — 리타겟팅과 리마케팅

이전의 FLEDGE인 Protected Audience는 공유된 교차 사이트 식별자 없이 리타겟팅을 유지합니다. 광고주는 자체 사이트에서 사용자를 관심사 그룹에 추가하고, 사용자가 참여 퍼블리셔를 방문하면 Fenced Frame 내에서 온디바이스 경매가 실행되어 크리에이티브를 선택합니다. 낙찰 광고는 퍼블리셔에게 어떤 관심사 그룹이 일치했는지 알리지 않고 렌더링됩니다.

Attribution Reporting API — 전환 측정

Attribution Reporting은 측정 사용 사례의 일부에서 전환 픽셀을 대체합니다. 이벤트 수준 보고서(노이즈 있음, 손실 있음, 전환별)와 집계 요약 보고서(통계적으로 편향 보정된 롤업)를 지원합니다. 레거시 픽셀과 달리 개별 사용자-전환 링크를 노출하지 않습니다.

Shared Storage와 Fenced Frames

Shared Storage는 빈도 제한과 A/B 실험 일관성 같은 교차 사이트 사용 사례를 위한 어디서나 쓸 수 있고 샌드박스에서 읽는 키-값 저장소입니다. Fenced Frames는 주변 페이지가 렌더링된 광고나 상호작용 데이터를 읽지 못하도록 막는 격리된 iframe입니다.

Privacy Sandbox는 동의가 필요한가?

이것은 2026년 광고 기술 환경에서 가장 오해되는 질문이며 답은 관할권마다 다릅니다.

GDPR과 ePrivacy 아래서

유럽 데이터 보호 위원회는 포괄적인 입장을 발표하지 않았지만 국가 기관은 더 명확했습니다. 영국 ICO, 이탈리아 Garante, 프랑스 CNIL은 모두 Topics와 Protected Audience는 개인 데이터를 처리하는 경우 사용자 기기에 상태를 쓰거나 읽는 처리를 포함하여 사전 옵트인 동의가 필요하다는 입장을 취했습니다. 그 논리는 다음과 같습니다. 브라우저는 여전히 관심사 주제와 관심사 그룹을 로컬에 저장하며 document.browsingTopics() 호출은 추론된 개인 데이터를 제3자에게 전송합니다. 이는 ePrivacy 지침 제5조 제3항에 의해 규제되며 요청된 서비스에 엄격히 필요한 범위를 초과하여 사용자의 단말 기기에 대한 접근 또는 저장에 동의를 요구합니다.

Google의 입장은 더 허용적입니다. API는 프라이버시 보호 설계이며 동의 요건이 모든 맥락에서 적용되지 않을 수 있다고 주장합니다. 이것은 규제 기관의 입장이 아닙니다. 유럽에서 Privacy Sandbox를 동의 면제로 취급하는 것은 고위험 자세입니다.

CCPA, CPRA 및 미국 주법 아래서

미국에서 Privacy Sandbox 흐름은 CPRA에 따른 교차 맥락 행동 광고를 위한 개인 정보 공유로 일반적으로 취급됩니다. 이는 옵트아웃 권리를 발동하고 Global Privacy Control 신호 및 기타 보편적 옵트아웃 메커니즘을 통해 준수해야 함을 의미합니다. Topics 데이터가 서드파티 브로커로부터 판매되는 것이 아니라 브라우저에서 파생된다는 사실이 이를 면제하지 않습니다.

Chrome 자체 컨트롤

Chrome은 Topics, Protected Audience, Attribution Reporting을 위해 chrome://settings/adPrivacy에서 사용자 대면 토글을 제공합니다. 이 사용자 선택은 CMP의 동의 상태를 대체하는 것이 아니라 나란히 존재합니다. 배너에서 광고 쿠키에 거부했지만 Chrome 전역 설정에서 Topics에 동의한 사용자는 여전히 배너를 통해 거부 의사를 전달한 것입니다. 스택은 두 신호 중 더 엄격한 것을 존중해야 합니다.

실제로 필요한 동의 레이어

2026년 프로덕션급 동의 스택은 Privacy Sandbox API를 IAB TCF 목적 또는 동등한 주법 범주를 통해 게이팅된 별도의 처리 활동으로 취급합니다.

Sandbox API를 TCF 목적에 매핑

Topics API — IAB TCF 목적 2(기본 광고 선택)와 목적 3(맞춤 광고 프로필 생성) 최소한; 주제가 타겟팅을 제공하면 목적 4(맞춤 광고 선택)도.
Protected Audience — 목적 3과 4, 경매가 결과 데이터를 사용하면 목적 7(광고 성과 측정)도.
Attribution Reporting — 목적 7(광고 성과 측정)과 목적 9(통계를 통한 청중 이해).
빈도 제한용 Shared Storage — 개인화를 제공하는 경우 목적 3, 순수 빈도 제어인 경우 정당한 이익 근거.

Google Consent Mode v2에 매핑

Google Consent Mode v2 신호는 Privacy Sandbox 동작에 매핑됩니다:

ad_storage 거부 — Topics 및 Protected Audience API 호출 완전 비활성화
ad_user_data 거부 — Attribution Reporting의 사용자 범위 데이터 전송 차단
ad_personalization 거부 — 타겟팅 로직에 대한 Topics 입력 건너뜀

미국 주(州) 신호 처리

미국 트래픽의 경우 동의 레이어는 Global Privacy Control과 적용 가능한 주 옵트아웃 신호를 검사해야 합니다. 미국 사용자가 공유를 옵트아웃한 경우 document.browsingTopics()를 억제하고 joinAdInterestGroup을 호출하지 않으며 Attribution Reporting 등록 헤더를 제거합니다.

실용적인 구현 패턴

Privacy Sandbox를 이미 배포한 퍼블리셔는 일반적으로 두 가지 아키텍처 패턴 중 하나를 따릅니다.

패턴 1: 서버 사이드 오케스트레이션

오리진의 퍼스트파티 태그 매니저가 동의 상태, 사용자 관할권, 신호 재정의를 수집한 다음 조건부로 Privacy Sandbox 훅을 페이지에 렌더링합니다. 광고 서버와 SSP는 입찰 요청을 통해 동의 플래그를 받고 Topics, Protected Audience를 호출할지 아무것도 호출하지 않을지 결정합니다. 이 패턴은 로직을 중앙 집중화하고 동의 상태를 권위 있는 상태로 유지합니다.

패턴 2: 헤더 비딩 래퍼 통합

Prebid.js와 기타 헤더 비딩 래퍼는 이제 Privacy Sandbox 모듈을 지원합니다. 래퍼는 동의 신호를 읽고 Topics 호출 동작을 구성하며 허용될 때 Protected Audience를 통해 경매 결과를 전달합니다. 이 접근 방식은 배포가 더 가볍지만 클라이언트에 더 많은 로직을 밀어 넣고 래퍼 릴리즈 주기에 대한 의존도를 높입니다.

감사해야 할 사항

CMP의 광고 동의가 긍정적이고 옵트아웃 신호가 없는 경우에만 document.browsingTopics()가 호출되는지 확인
joinAdInterestGroup과 runAdAuction이 동일한 조건으로 게이팅되는지 확인
Attribution Reporting 등록 헤더가 동의 상태가 측정을 허용하는 사용자의 응답에만 전송되는지 확인
TCF 문자열의 공급업체 목록이 인벤토리에서 Sandbox API를 사용하는 SSP 및 DSP와 여전히 일치하는지 확인
개인정보처리방침이 Topics, Protected Audience, Attribution Reporting을 법적 근거와 보존 기간을 포함한 별도의 처리 활동으로 설명하는지 확인

Privacy Sandbox가 하지 않는 것

예산을 세우기 전에 제거해야 할 몇 가지 일반적인 오해가 있습니다.

동의 우회 수단이 아니다

API는 광고주에게 노출되는 개인 데이터를 줄이지만 유럽 법에 따라 기저 처리를 동의 면제로 만들지 않습니다. Sandbox 채택으로 CMP를 건너뛸 수 있다는 준수 이론은 모든 EU/EEA 관할권에서 잘못된 것입니다.

현재 쿠키의 완전한 대체재가 아니다

Topics는 일반적으로 쿠키 기반 잠재고객보다 약한 거칠고 손실이 많은 타겟팅 신호를 제공합니다. Protected Audience 리타겟팅 규모는 아직 성숙 중입니다. Attribution Reporting에는 작은 전환 증가를 숨길 수 있는 측정 노이즈 하한선이 있습니다. 오늘날 모든 수익화를 Sandbox로 전환하는 퍼블리셔는 일반적인 인벤토리에서 쿠키 기반 스택 대비 RPM이 10~30% 감소할 것을 예상해야 합니다.

현재 형태로 영구적이지 않다

Privacy Sandbox 사양은 여전히 발전 중입니다. Topics 분류 체계가 확장 중이고 Protected Audience 관심사 그룹 한도는 개정 중이며 규제 대응이 진행 중입니다. 현재 사양에 하드코딩하지 말고 구성 중심으로 동의 레이어를 설계하세요.

2026년의 올바른 자세

Privacy Sandbox는 퍼스트파티 데이터, 셀러 정의 잠재고객, 맥락 타겟팅, 서버 사이드 헤더 비딩과 함께 더 광범위한 쿠키리스 전략의 한 레이어로 이해하는 것이 가장 좋습니다. 2026년에 승리하는 퍼블리셔는 동의를 장애물이 아닌 중재자로 취급하는 퍼블리셔가 될 것입니다. 법과 사용자 선택이 허용하는 곳에서만 Sandbox API를 제공하고 다른 모든 곳에서는 맥락 기반으로 깔끔하게 폴백하며 신원을 가정하지 않는 도구로 두 경로 모두에서 결과를 측정합니다.

최악의 자세는 관망하는 것입니다. 규제 기관은 이미 다음 규칙 파동을 작성하고 있습니다. 영국 경쟁시장청의 Sandbox 약정, 진행 중인 CNIL 가이던스, EU AI Act의 프로파일링 조항이 모두 이 영역에 해당합니다. 2026년에 제대로 게이팅된 동의 스택에 Privacy Sandbox를 구축하는 퍼블리셔는 그 규칙에 대비할 것입니다. 마지막 순간에 쿠키 대체재로 붙이는 퍼블리셔는 압박 속에서 다시 작성하는 자신을 발견할 것입니다.