아이덴티티 해석이 실제로 하는 일

아이덴티티 해석은 퍼블리셔의 데이터 소스와 측정 및 개인화 도구 사이의 레이어입니다. 퍼스트 파티 쿠키, 서버 측 세션 ID, 로그인 세션의 해시된 이메일 주소, 퍼블리셔 앱의 모바일 광고 ID, 스마트 TV 디바이스 식별자, IP 주소·사용자 에이전트·행동 핑거프린트 같은 확률적 신호의 집합체를 입력으로 받아 퍼블리셔가 운영하는 모든 표면에서 단일 소비자를 나타내는 안정적인 내부 식별자를 출력으로 생성합니다.

결정론적 스티칭

가장 명확한 방법은 결정론적 스티칭입니다: 소비자가 두 표면에서 로그인하면 퍼블리셔는 두 디바이스가 같은 사람의 것임을 알고 식별자 그래프를 이에 맞게 병합합니다. 뉴스레터 구독자, 가입 독자, 유료 구독자는 자연스럽게 결정론적 스티칭을 생성합니다. 데이터 신뢰도가 높고, 법적 근거가 명확하며(퍼블리셔가 직접적인 관계를 가짐), 한 표면에서 이루어진 동의 결정은 확률적 추측 없이 다른 표면으로 전파될 수 있습니다.

확률적 스티칭

더 어려운 방법은 확률적 스티칭입니다: 인증된 연결 없이 두 디바이스가 같은 사람의 것이라고 추론하는 것입니다. 신호에는 IP 주소 공출, 행동 유사성, 시간대 패턴, 지리적 클러스터링, 위 모든 것을 결합한 독자적인 모델이 포함됩니다. 확률적 스티칭은 퍼블리셔에게 훨씬 더 많은 도달 범위를 제공합니다 — 대부분의 독자는 대부분의 방문에서 로그아웃 상태입니다 — 하지만 법적 근거가 훨씬 약하며, EU 규제 기관들은 명시적 동의 없이 작동하는 확률적 아이덴티티 레이어에 점점 더 적극적으로 제동을 걸고 있습니다.

벤더 제공 아이덴티티 그래프

세 번째 방법은 벤더로부터 아이덴티티 그래프를 구매하거나 라이선스하는 것입니다 — LiveRamp, ID5, The Trade Desk의 Unified ID 2.0, 또는 수많은 소규모 제공업체 중 하나. 벤더가 그래프를 유지하고, 퍼블리셔는 해시된 식별자를 제공하며, 벤더는 퍼블리셔가 다운스트림에서 사용할 수 있는 스티칭된 식별자를 반환합니다. 여기서 법적 입장은 혼재합니다: 이는 전적으로 벤더 자체의 데이터 출처와 계약 조건에 달려 있으며, 2025년에 걸쳐 여러 대형 아이덴티티 벤더에 대한 EU의 집행 조치로 인해 퍼블리셔들은 어떤 그래프를 통합할지에 대해 더욱 신중해졌습니다.

크로스 디바이스 해석이 제기하는 동의 문제

아이덴티티 해석이 제기하는 어려운 질문은 스티칭 행위 자체가 동의를 필요로 하는지 여부입니다 — 스티칭된 식별자가 공급하는 다운스트림 광고나 개인화와는 별도로.

스티칭 자체

GDPR 하에서 아이덴티티 해석은 개인 데이터의 처리입니다. 필요한 법적 근거는 목적에 따라 다릅니다: 사기 방지나 기본 서비스 운영을 위해서는 정당한 이익이 적용될 수 있지만, 광고, 개인화, 또는 오디언스 확장을 위해서는 동의가 필요합니다. ePrivacy는 사용자 디바이스에서 읽히는 모든 쿠키나 디바이스 식별자에 대한 별도 레이어를 추가하며, 읽히는 쿠키나 식별자는 퍼블리셔가 결과를 어떻게 처리하든 관계없이 동의가 필요합니다.

동의의 전파

더 흥미로운 질문은 한 디바이스에서 이루어진 동의 결정이 다른 디바이스로 어떻게 전파되는가입니다. 독자가 노트북에서 광고 쿠키를 거부하고 노트북의 식별자가 결정론적 이메일 매칭을 통해 스마트폰의 식별자와 연결되어 있다면, 스마트폰은 다음 방문에서 노트북의 거부를 존중해야 할까요? European Data Protection Board가 발표한 지침은 그 답이 '예'라고 명확히 밝힙니다 — 동의 결정은 디바이스가 아닌 정보 주체에 귀속되며, 퍼블리셔가 정보 주체를 인식할 수 있게 하는 스티칭된 아이덴티티 그래프는 또한 퍼블리셔가 그들의 결정을 존중하도록 요구하는 그래프입니다.

철회 경로

철회도 전파되어야 합니다. 노트북에서 퍼블리셔의 계정 설정에 로그인해 '모든 광고 거부'를 클릭한 독자는 스마트폰 앱을 열었을 때도 같은 상태가 반영된 것을 볼 수 있어야 합니다 — 스마트폰 앱 세션이 익명이고 다른 쿠키를 사용하더라도. CMP와 아이덴티티 레이어는 상태를 공유해야 하며, 전파는 거의 실시간으로 이루어져야 합니다 — 일주일 후에 존중되는 철회는 존중된 것이 아닙니다.

아키텍처 패턴

크로스 디바이스 인식 CMP와 아이덴티티 스택은 2026년까지 성숙한 퍼블리셔들 사이에서 안정화된 소수의 반복 가능한 요소를 갖추고 있습니다.

단일 진실 소스

동의 상태는 CMP 벤더의 데이터베이스가 아닌 퍼블리셔 소유의 동의 서비스에 있습니다. 서비스는 최신 동의 결정을 트리거한 쿠키가 아닌 해석된 식별자를 키로 하며, 동의를 인식하는 모든 다운스트림 서비스는 이 단일 소스에서 읽습니다. CMP는 모든 동의 변경 시 서비스를 채우고, 서비스는 광고 스택과 개인화 레이어가 모든 페이지 로드와 모든 이벤트에서 호출할 수 있는 실시간 API를 제공합니다.

아이덴티티 레이어 동의 인덱스

아이덴티티 해석 레이어는 양방향 인덱스를 유지합니다: 모든 디바이스 식별자는 해석된 아이덴티티에 매핑되고, 모든 해석된 아이덴티티는 접촉한 디바이스 식별자 집합으로 다시 매핑됩니다. 특정 디바이스에서 동의 변경이 발생하면 인덱스를 통해 퍼블리셔는 같은 아이덴티티가 사용한 모든 다른 디바이스에 적절한 냉각 시간과 전파 로깅과 함께 변경 사항을 팬아웃할 수 있습니다.

표면별 동의 UI

각 디바이스의 동의 UI 표면은 크로스 디바이스 상태를 반영해야 합니다. 노트북에서 동의한 독자는 아이덴티티 스티칭이 성공했다면 스마트폰에서 새 배너를 보아서는 안 됩니다. 이전에 한 번도 본 적이 없는 독자는 기본 거부 설정의 배너를 보아야 합니다. CMP는 아이덴티티 레이어의 상태를 읽고 이에 따라 UI를 렌더링할 수 있어야 하는데, 이는 실제 엔지니어링 통합이지만 일회성 투자입니다.

특별한 경우들

여러 표면과 컨텍스트가 아키텍처가 명시적으로 처리해야 하는 엣지 케이스를 만들어냅니다.

커넥티드 TV와 Over-the-Top 앱

스마트 TV와 OTT 앱 컨텍스트는 디바이스가 종종 가구 내에서 공유되기 때문에 특이합니다 — 여러 사람이 같은 TV를 사용하지만 스마트폰에 퍼블리셔의 앱 계정이 있는 것은 그중 한 명뿐입니다. 스마트폰에서 TV로의 결정론적 스티칭은 신뢰할 수 없으며, 가구 공유 디바이스에서의 확률적 스티칭은 동의 혼란을 초래합니다. 준수하는 패턴은 TV 앱을 기본적으로 미인증 표면으로 취급하고, 첫 실행 시 자체 동의 배너를 표시하며, 사용자가 명시적 연결 작업을 취할 때만 알려진 계정과 연결하는 것입니다.

시크릿 및 프라이빗 브라우징

시크릿 세션은 정의상 아이덴티티 해석을 거부합니다. CMP는 세션을 매번 완전히 새로운 방문자로 취급하고, 기본 거부로 배너를 렌더링하며, IP 주소와 행동 패턴이 확률적 매칭을 생성하더라도 세션을 알려진 식별자와 연결하려고 시도해서는 안 됩니다. 사용자는 격리를 원한다는 신호를 보냈으며, 퍼블리셔는 그 신호를 존중합니다.

아동 대상 표면

오디언스에 미성년자가 포함될 수 있는 모든 표면 — 아동 콘텐츠 섹션, 가족 대상 앱, 18세 미만으로 자기 신고된 계정 — 은 기본적으로 아이덴티티 해석을 전혀 사용하지 않고 광고 및 개인화에 대한 동의 기본값을 거부로 설정해야 합니다. DSA의 미성년자 타겟팅 금지와 미국의 COPPA 제한은 절대적이며 가구 구성원 성인 계정에서의 크로스 디바이스 전파보다 우선합니다.

지적 사항을 유발하는 일반적인 크로스 디바이스 실수

규제 기관의 지적 사항을 만들어내는 크로스 디바이스 배포는 EU의 집행 결정이 구체화한 패턴에서 실패하는 경향이 있습니다. 확률적 아이덴티티 그래프가 확률적 매칭이 GDPR 임계값 이하라는 이론으로 명시적 동의 게이트 없이 운영됩니다 — 이는 최근 판결에서 살아남지 못한 입장입니다. 한 디바이스의 철회 경로가 배치 프로세스를 통해 다른 디바이스로 전파되는 데 일주일이 걸려 사용자의 의사가 존중되지 않는 창을 남깁니다. 벤더 아이덴티티 그래프 통합이 Data Protection Impact Assessment 없이 그리고 퍼블리셔의 적법한 근거를 벤더의 처리로 확장하는 계약 조항 없이 가동됩니다. 커넥티드 TV 앱이 명시적 사용자 작업 없이 가구의 주 스마트폰 계정에 결정론적으로 연결되어 한 사용자의 동의 결정을 다른 사용자에게 가져옵니다. CMP가 크로스 디바이스 상태를 반영하지 않는 배너를 렌더링하여 다른 표면에서 이미 동의한 복귀 독자를 좌절시키고 EDPB가 2025년을 통해 추구해온 동의 피로 지적 사항을 생성합니다.

결론

크로스 디바이스 동의는 기술적 문제도 아니고 법적 문제도 아닙니다 — 두 가지가 수렴하는 지점입니다. 퍼블리셔들이 오디언스 확장과 주파수 제한을 작동시키기 위해 구축한 아이덴티티 해석 레이어는 모든 표면에서 동의와 철회를 일관되게 만들어야 할 의무도 생성합니다. 아키텍처는 2026년까지 확립되었습니다: 해석된 아이덴티티에 키를 둔 퍼블리셔 소유 동의 서비스, 아이덴티티 레이어의 양방향 인덱스, 거의 실시간 전파, 크로스 디바이스 상태를 반영하는 표면별 동의 UI, 그리고 가구 공유·시크릿·미성년자 엣지 케이스에 대한 명시적 처리. 이 중 어느 것도 극적인 엔지니어링이 아닙니다. 모두 운영상 구체적인 사항입니다. 서드 파티 쿠키 폐기 사이클 동안 이를 구축한 퍼블리셔들은 이제 스마트폰, 노트북, TV 전반에서 깔끔하게 운영하고 있습니다. 크로스 디바이스를 동의 레이어 없는 측정 업그레이드로 취급한 퍼블리셔들은 2026년을 노트북에서의 독자 철회가 스마트 TV에 다음 화요일까지 왜 전달되지 않았는지를 EDPB에 설명하는 데 보내고 있습니다.