튜토리얼2026년 5월 17일 | FlexyConsent

워드프레스 쿠키 점검: 테마와 플러그인이 사이트를 추적기로 가득 채우는 방식

워드프레스에 숨겨진 쿠키 문제

대부분의 워드프레스 사이트 소유자는 자신의 사이트가 얼마나 많은 쿠키를 설정하는지 알지 못합니다. 인기 테마와 몇 가지 일반적인 플러그인만 설치한 새 워드프레스 환경도 다양한 도메인에 걸쳐 15~30개의 쿠키를 쉽게 설정할 수 있으며, 그중 상당수는 방문자가 동의할 기회조차 갖기 전에 설정됩니다. 이는 의도적인 추적의 결과라기보다는, 테마와 플러그인이 자체 쿠키를 동반하는 외부 리소스를 불러오는 것이 누적된 결과입니다.

이 쿠키들이 어디에서 오고, 무엇을 하며, 어떻게 통제할 수 있는지 이해하는 것은 GDPR, ePrivacy 또는 유사 규정을 준수해야 하는 모든 워드프레스 사이트에 필수적입니다. 이 가이드는 쿠키 점검 과정을 단계별로 설명합니다.

워드프레스 사��트에 쿠키가 이렇게 많이 쌓이는 이유

워드프레스의 플러그인 아키텍처는 가장 큰 강점이자 동시에 가장 큰 프라이버시 리스크입니다. 각 플러그인은 반독립적으로 동작하며, 대부분의 플러그인 개발자는 쿠키 준수보다는 기능 구현에 초점을 맞춥니다. 일반적인 워드프레스 사이트에서 쿠키가 발생하는 주요 출처는 다음과 같습니다.

테마와 Google Fonts

많은 워드프레스 테마는 Google Fonts를 fonts.googleapis.com에서 직접 불러옵니다. 방문자의 브라우저가 이 폰트를 요청하면, Google은 쿠키를 설정하고 방문자의 IP 주소, 브라우저 정보, 리퍼러 페이지를 수집할 수 있습니다. 2022년 독일 법원은 Google Fonts를 Google 서버에서 동의 없이 불러오는 행위가 GDPR을 위반한다고 판결했고, 이에 따라 영향을 받은 각 방문자당 100유로의 벌금이 부과되었습니다. 해결책은 폰트를 로컬에 호스팅하는 것이지만, 대부분의 테마 기본 설정은 여전히 Google 서버를 가리키고 있습니다.

페이지 빌더와 분석 도구

가장 인기 있는 워드프레스 페이지 빌더인 Elementor는 폰트를 포함한 외부 리소스를 불러오며, ��용량 추적 쿠키를 설정할 수 있습니다. 일부 Elementor 위젯은 자체 쿠키를 설정하는 서드파티 콘텐츠(YouTube 동영상, Google Maps 등)를 임베드합니다. 무료 버전의 Elementor조차도 설정에서 명시적으로 비활성화하지 않으면 익명화된 사용 데이터를 전송할 수 있습니다.

SEO 플러그인

Yoast SEO와 Rank Math 자체는 쿠키를 많이 설정하지 않지만, Google Search Console과 연동하고 Google Analytics 추적 코드를 추가하도록 권장합니다. 이들이 구현을 돕는 분석 스크립트가 주요 쿠키 발생 원인입니다. Yoast의 프리미엄 버전은 SEO 분석을 위해 Yoast 서버와 통신하며, 이 과정에서 쿠키가 사용될 수 있습니다.

Jetpack과 WordPress.com 서비스

Jetpack은 워드프레스 생태계에서 가장 많은 쿠키를 설정하는 플러그인 중 하나입니다. 어떤 모듈이 활성화되어 있는지에 따라 Jetpack은 다음과 관련된 쿠키를 설정할 수 있습니다.

사이트 통계(WordPress.com stats)
소셜 공유 버튼(Facebook, Twitter, LinkedIn 스크립트 로딩)
댓글 시스템(Gravatar 쿠키)
보안 기능(Protect 모듈 쿠키)
CDN 사용(WordPress.com CDN 쿠키)

기본 설정의 Jetpack 설치 하나만으로도 여러 도메인에서 8~12개의 쿠키가 설정될 수 있습니다.

WooCommerce와 전자상거래

WooCommerce는 전자상거래 기능에 필수적인, 이른바 엄격히 필요한 쿠키를 여러 개 설정합니다.

woocommerce_cart_hash: 장바구니 내용이 변경되었는지 WooCommerce가 알 수 있도록 돕습니다.
woocommerce_items_in_cart: 장바구니에 상품이 있는지 여부를 추적합니다.
wp_woocommerce_session_*: 각 고객 세션에 대한 고유 코드를 포함합니다.

이 쿠키들은 일반적으로 전자상거래에 엄격히 필요한 쿠키로 간주되어 동의 요구에서 면제되지만, 결제 처리, 장바구니 이탈 복구, 마케팅 자동화용 WooCommerce 확장 기능은 동의가 필요한 더 많은 쿠키를 추가합니다.

문의 양식과 reCAPTCHA

Contact Form 7, WPForms, Gravity Forms와 같은 문의 양식 플러그인은 스팸 방지를 위해 Google reCAPTCHA를 자주 사용합니다. reCAPTCHA v2와 v3는 _GRECAPTCHA를 포함한 여러 쿠키를 설정하고, 추가 추적 쿠키를 설정할 수 있는 google.com 스크립트를 로드합니다. 즉, 단순한 문의 페이지 하나만으로도 광고 관련 쿠키가 트리거될 수 있습니다.

캐시 플러그인

WP Super Cache, W3 Total Cache, WP Rocket과 같은 캐시 플러그인은 캐시 동작을 관리하기 위해 자체 쿠키를 설정합니다. 이는 일반적으로 기능성 쿠키(예: 로그인 사용자에 대해 캐시를 우회하기 위해)지만, 여전히 쿠키 정책에 문서화해야 합니다.

워드프레스 사이트에서 쿠키를 점검하는 방법

철저한 쿠키 점검은 방문자 관점에서 사이트를 스캔하는 것을 의미합니다. 절차는 다음과 같습니다.

1단계: 브라우저 개발자 도구 사용

Chrome에서 사이트를 연 뒤 DevTools > Application > Cookies로 이동하여, 내 도메인과 서드파티 도메인에 설정된 모든 쿠키를 확인합니다. 첫 방문자를 시뮬레이션하기 위해 시크릿 모드(Incognito) 창에서 진행하세요. 각 쿠키의 이름, 도메인, 만료일, 1st-party/3rd-party 여부를 모두 기록합니다.

2단계: 전용 쿠키 스캐너 사용

수동 점검은 페이지 로드 시 설정되는 쿠키는 잡아내지만, 상호작용(버튼 ��릭, 폼 제출, 스크롤 등)으로 설정되는 쿠키는 놓치기 쉽습니다. Cookiebot의 무료 스캐너, CookieYes 스��너 같은 전용 스캐너나 EditThisCookie와 같은 브라우저 확장 프로그램을 사용하면 더 포괄적인 결과를 얻을 수 있습니다. 홈페이지뿐 아니라 여러 페이지에서 스캔을 실행하세요.

3단계: 모든 쿠키 분류

발견한 쿠키를 표준 카테고리로 그룹화합니다.

엄격히 필요한 쿠키(Strictly Necessary): 세션 쿠키, 인증, 보안, 장바구니 기능. 동의가 필요하지 않습니다.
기능성 쿠키(Functional): 언어 설정, UI 맞춤 설정. 기술적으로는 동의가 필요하지만 리스크는 낮습니다.
분석 쿠키(Analytics): Google Analytics, WordPress.com stats, 히트맵 도구. 동의가 필요합니다.
마케팅/광고 쿠키(Marketing/Advertising): Google Ads, Facebook Pixel, 리마케팅 쿠키. 동의가 필요하며, 차단 우선순위가 가장 높습니다.

4단계: 쿠키를 소스에 매핑

각 쿠키가 어떤 테마 또는 플러그인에서 비롯되었는지 식별합니다. 이 부분에서 워드프레스가 복잡해집니다. 하나의 페이지가 5개 이상의 플러그인에서 스크립트를 불러오고, 각 플러그인이 자체 쿠키를 설정할 수 있기 때��입니다. 어떤 플러그인이 어떤 쿠키를 설정하는지 확인하기 위해 플러그인을 하나씩 일시적으로 비활성화해 보세요.

일반적인 쿠키 출처와 해결 방법

가장 흔한 워드프레스 쿠키 출처와 이를 해결하는 방법을 빠르게 참고할 수 있는 목록입니다.

Google Fonts: 로컬 호스팅 폰트로 전환하세요. OMGF 같은 플러그인이나 테마 설정을 통해 자동화할 수 있습니다.
Google Analytics: 동의가 주어질 때까지 차단해야 합니다. 이는 CMP에서 처리합니다.
YouTube 임베드: youtube.com 대신 youtube-nocookie.com 도메인을 사용하세요. 대부분의 추적 쿠키를 방지할 수 있습니다.
Google Maps: 동의 후에만 로드하거나, 정적 지도 이미지를 플레이스홀더로 사용하세요.
Facebook Pixel: 마케팅 동의가 주어질 때까지 차단해야 합니다.
reCAPTCHA: 보다 프라이버시 친화적인 hCaptcha 같은 대안이나, 외부 스크립트가 필요 없는 honeypot 기법을 고려하세요.

완전한 준수를 위한 FlexyConsent 워드프레스 플러그인 설정

쿠키를 점검해 어떤 항목을 ��제해야 하는지 파악했다면, 워드프레스에서 FlexyConsent를 구현하는 과정은 간단합니다.

🔌

공식 워드프레스 플러그인

FlexyConsent for WordPress

워드프레스 플러그인 디렉터리에서 바로 설치하세요. WP 관리자 대시보드에서 네이티브하게 설정 — 코딩이 필요 없습니다.

→

FlexyConsent 워드프레스 플러그인은 워드프레스 관리자 대시보드에 직접 통합되어, 네이티브한 설정 경험을 제공합니다.

플러그인 디렉터리에서 설치: 관리자 메뉴에서 Plugins > Add New로 이동해 "FlexyConsent"를 검색한 뒤 설치 및 활성화합니다. 수동 파일 업로드는 필요 없습니다.
사이트 연결: 플러그인 설정에 FlexyConsent 사이트 ID를 입력합니다. 플러그인은 동의 스크립트를 다른 서드파티 스크립트보다 먼저, 올바른 위치에 자동으로 삽입합니다.
쿠키 카테고리 구성: 점검한 쿠키를 FlexyConsent의 동의 카테고리에 매핑합니다. 플러그인은 워드프레스 관리자 화면에서 이를 위한 시각적 인터페이스를 제공합니다.
스크립트 차단 설정: FlexyConsent는 Consent Mode V2를 통해 Google 태그를 자동으로 관리합니다. 다른 스크립트(Facebook Pixel, 커스텀 트래킹 등)에 대해서는, 적절한 동의 카테고리가 부여될 때까지 실행을 막는 스크립트 차단 규칙을 플러그인에서 제공합니다.
철저한 테스트: 시크릿 모드 창을 사용해, 비필수 쿠키가 동의 전까지 차단되는지, 그리고 동의 후 모든 기능이 정상적으로 작동하는지 확인합니다.

Google 인증 CMP이자 IAB TCF 2.3을 지원하는 FlexyConsent는 워드프레스 쿠키 준수의 가장 복잡한 부분을 자동으로 처리합니다. 추가 태그 설정 없이도 Consent Mode V2 신호가 Google 서비스로 전송되며, 지리적 타게팅(geo-targeting)을 통해 지역별 방문자에게 적절한 동의 경험을 제공합니다.

핵심 요약: 워드프레스의 유연성은 프라이버시 ��면에서 대가를 수반합니다. 각 테마와 플러그인은 동의가 필요한 쿠키를 도입할 수 있습니다. 체계적인 점검과 적절한 CMP 구현만이 신뢰할 수 있는 준수 경로입니다. 사이트가 자신이 알고 있는 쿠키만 설정한다고 가정하지 마세요. 실제 상황은 거의 항상 예상보다 훨씬 복잡합니다.