Google이 이제 인증 CMP를 요구하는 이유

2024년 1월부터 Google은 엄격한 정책을 시행하고 있습니다. 유럽경제지역(EEA) 또는 영국 사용자에게 광고를 노출하는 모든 웹사이트는 반드시 Google 인증 동의관리플랫폼(Consent Management Platform, CMP)을 통해 동의를 수집해야 합니다. 이는 선택 사항이 아니라 의무입니다. 인증이 없으면 퍼블리셔는 수익과 데이터 품질에 직접적인 영향을 주는 실질적인 불이익을 겪게 됩니다.

이 요구사항은 EU의 변화하는 규제 환경에서 비롯되었습니다. Digital Markets Act는 Google을 게이트키퍼로 지정했고, 그 결과 Google은 자사 광고 스택을 통해 전달되는 동의 신호가 합법적이고, 감사 가능하며, Transparency and Consent Framework(TCF)를 준수한다는 것을 입증해야 했습니다. 이에 대한 Google의 해법이 바로 명확한 기술·운영 기준에 따라 CMP를 심사하는 인증 프로그램입니다.

퍼블리셔 입장에서는 이제 CMP 선택이 단순한 선호나 편의의 문제가 아닙니다. EEA 인벤토리가 온전한 수익을 창출할지, 아니면 잠재력의 일부만 노출되는 수준으로 제한될지를 좌우하는 관문이 되었습니다.

Google CMP 인증의 실제 의미

인증은 형식적인 도장이 아닙니다. Google은 인증을 부여하고 유지하기 전에 여러 측면에서 CMP를 평가합니다.

• TCF 2.2+ 연동: CMP는 IAB Europe Transparency and Consent Framework에 등록된 회원이어야 하며, 현재 버전 2.2를 사용하고 있고 TCF 2.3으로의 전환이 진행 중입니다. 이는 CMP가 벤더들이 특정 처리 목적에 대한 동의 상태를 파악할 수 있도록 TC String을 생성해야 함을 의미합니다.
• Consent Mode V2 지원: CMP는 Google Consent Mode API를 사용해 ad_storage, analytics_storage, ad_user_data, ad_personalization 등 올바른 Google 동의 신호를 전송해야 합니다. V2 업데이트에서 후자의 두 파라미터가 추가되었으며, 이제 모든 EEA 광고 송출에 필수입니다.
• 올바른 기본 동작: 사용자가 배너와 상호작용하기 전, CMP는 기본 동의 상태(일반적으로 EEA 사용자는 거부)를 설정해야 합니다. Google은 사용자가 선택을 하기 전에 동의가 허용된 상태로 어떤 태그도 실행되지 않는지 확인합니다.
• 사용자 인터페이스 기준: 동의 배너는 실제 선택권을 제공해야 합니다. Google은 CMP가 사용자가 동의를 수락, 거부 또는 맞춤 설정할 수 있도록 하고, 수락을 유도하는 기만적 디자인 패턴을 사용하지 않는지 검토합니다.
• 지속적인 컴플라이언스 감사: 인증은 영구적이지 않습니다. Google은 주기적으로 CMP를 재평가하며, 기준을 충족하지 못하거나 프레임워크 업데이트를 따라가지 못할 경우 인증을 취소할 수 있습니다.

현재 Google 인증 CMP 목록

Google은 지원 페이지에서 인증 CMP의 공개 목록을 유지합니다. 2026년 초 기준으로 약 30~40개 플랫폼이 인증을 보유하고 있습니다. 이 목록에는 대형 엔터프라이즈 플랫폼, 미드마켓 도구, 특화 솔루션 등이 포함됩니다. 대표적인 이름으로 Cookiebot, OneTrust, Usercentrics, Didomi, FlexyConsent 등이 있습니다.

이 목록은 고정되어 있지 않습니다. CMP는 인증 절차를 완료하면 추가될 수 있고, 컴플라이언스를 위반하면 제거될 수 있습니다. 퍼블리셔는 최소 분기마다 Google의 CMP Partner Program 페이지에서 사용하는 CMP가 공식 목록에 있는지 확인해야 합니다. CMP 벤더가 어떤 컴플라이언스를 주장하더라도, 목록에 없다면 EEA에서의 광고 송출은 위험에 처하게 됩니다.

또한 목록에 이름이 올라 있다고 해서 모든 인증 CMP의 품질이 동일하다는 의미는 아닙니다. 인증은 최소한의 컴플라이언스 기준을 의미할 뿐이며, 실제 구현 품질, 커스터마이징 옵션, 성능 영향, 지원 수준 등은 제공업체마다 크게 다릅니다. 퍼블리셔는 인증 여부를 넘어, 각 CMP의 실질적인 역량을 기준으로 평가해야 합니다.

인증 CMP 없이 운영할 경우 발생하는 일

EEA에서 인증 CMP 없이 운영할 경우 그 영향은 크고 즉각적입니다.

• 광고 송출 제한: Google Ad Manager, AdSense, AdMob은 EEA 사용자에게 노출되는 광고를 제한합니다. 많은 경우 비개인화 광고만 노출되거나, 설정에 따라 아예 광고가 노출되지 않을 수 있습니다. 비개인화 광고는 일반적으로 개인화 광고 대비 50~70% 낮은 수익을 발생시킵니다.
• 전환 모델링 미적용: Google의 고급 전환 모델링은 동의 신호에 의존합니다. 올바른 Consent Mode V2 신호가 없으면 Google Ads와 GA4에서 모델링된 전환을 사용할 수 없고, 이로 인해 어트리뷰션 데이터에 공백이 생겨 캠페인 최적화의 신뢰성이 떨어집니다.
• 프로그램매틱 수요 감소: Google 생태계의 많은 SSP와 DSP는 유효한 TC String을 확인합니다. TC String이 없으면 입찰 요청이 필터링되거나, 구매자가 동의 상태를 검증할 수 없어 CPM이 낮게 책정됩니다.
• 컴플라이언스 리스크: Google의 집행과는 별개로, EEA에서 적절한 동의 없이 운영하면 각국 데이터 보호 당국으로부터 GDPR 벌금에 노출됩니다. 이 벌금은 연간 전 세계 매출의 최대 4% 또는 2,000만 유로 중 더 높은 금액까지 부과될 수 있습니다.
• 광고주 신뢰 하락: 직거래 광고주와 에이전시는 점점 더 퍼블리셔의 컴플라이언스를 점검하고 있습니다. 인증 CMP 없이 운영한다는 것은 귀사의 인벤토리가 법적 리스크를 내포할 수 있음을 의미하며, 이로 인해 프리미엄 광고주의 직거래를 ��을 수 있습니다.

TCF 2.3와 Consent Mode V2: 이중 요구사항

TCF 준수만으로 충분하다는 오해가 흔합니다. 사실이 아닙니다. Google은 TCF에 등록된 CMP가 생성한 유효한 TC String과 Consent Mode V2 신호를 모두 요구합니다. 이 둘은 애드테크 생태계에서 서로 다른 역할을 합니다.

TC String은 프로그램매틱 광고 생태계에 벤더 단위의 세분화된 동의 정보를 전달합니다. 공급망의 모든 벤더에게 사용자가 어떤 처리 목적에 동의했는지 정확히 알려줍니다. 반면 Consent Mode V2는 Google의 자체 태그(Analytics, Ads, Floodlight 등)에 동의 상태를 전달합니다. 인증 CMP는 이 두 가지를 동시에 처리하고, 서로 동기화된 상태를 유지해야 합니다.

최신 프레임워크 버전인 TCF 2.3은 정당한 이익(legitimate interest) 처리와 벤더 공개 의무에 대한 정교한 개선을 도입합니다. 벤더가 정당한 이익을 법적 근거로 주장할 수 있는 범위를 더 엄격히 하고, 어떤 벤더가 데이터를 처리하는지 사용자에게 더 명확히 공개하도록 요구합니다. Google 인증을 신규로 취득하거나 유지하려는 CMP는 2026년 전반에 걸쳐 표준으로 자리 잡는 TCF 2.3을 지원해야 합니다.

FlexyConsent가 Google 인증을 획득한 방식

FlexyConsent는 Google 인증을 사후에 맞춘 것이 아니라, 설계 초기 단계부터 핵심 목표로 두고 구축된 플랫폼입니다. 이 플랫폼은 EEA 트래픽에 대해 기본 거부 상태를 올바르게 설정한 채 네 가지 Consent Mode V2 파라미터를 모두 구현합니다. 또한 IAB Europe에 등록된 CMP로서 표준을 준수하는 TC String을 생성합니다.

인증을 뒷받침한 핵심 기술적 결정은 다음과 같습니다.

• 다른 태그보다 먼저 스크립트 로딩: FlexyConsent의 경량 비동기 스크립트는 Google Tag Manager나 gtag.js가 실행되기 전에 로드되어 기본 동의 상태를 설정합니다. 이를 통해 페이지 로드 직후 수 밀리초 동안 발생할 수 있는 동의 누수를 방지합니다.
• 지역 인지 기본값: 플랫폼은 사용자 위치를 감지해 지역별로 적절한 동의 기본값을 적용합니다. EEA 및 영국은 거부, 명시적 동의 요구가 없는 지역은 허용(퍼블리셔가 별도로 설정하지 않는 한)으로 처리합니다.
• 투명한 동의 저장: 동의 선택은 명확한 네이밍 규칙을 가진 퍼스트파티 쿠키에 저장되며, 이�� Google의 인증 심사나 퍼블리셔의 자체 컴플라이언스 점검 시 감사 가능하도록 설계되어 있습니다.
• 지속적인 TCF 버전 지원: 프레임워크가 2.2에서 2.3으로 발전함에 따라 FlexyConsent는 퍼블리셔 측 코드 변경이나 스크립트 업데이트 없이 TC String 생성 로직을 자동으로 업데이트합니다.
• 최소한의 성능 영향: 스크립트는 일반적인 연결 환경에서 50밀리초 이내 로딩을 목표로 최적화되어 있어, Core Web Vitals 점수에 영향을 줄 수 있는 페이지 속도 저하를 유발하지 않습니다.

퍼블리셔가 지금 당장 확인해야 할 사항

EEA에 광고를 송출하고 있다면, 다음 체크리스트를 통해 컴플라이언스를 점검해야 합니다.

• 인증 목록 확인: 사용하는 CMP가 Google 공식 인증 CMP 파트너 목록에 있는지 확인합니다. 목록은 변경되므로 분기마다 점검해야 합니다.
• Consent Mode V2 신호 검증: Google Tag Assistant나 브라우저 콘솔을 사용해 consent default와 consent update 명령이 네 가지 파라미터(ad_storage, analytics_storage, ad_user_data, ad_personalization)와 함께 정상적으로 실행되는지 확인합니다.
• TC String 테스트: IAB의 TC String 디코더를 사용해 CMP가 유효하고 파싱 가능한 TC String을 생성하는지, 벤더 동의 및 목적 선언이 올바른지 검증합니다.
• 태그 실행 순서 점검: CMP 스크립트가 Google 태그보다 먼저 로드되는지 확인합니다. 동의가 설정되기 전에 태그가 실행되면, Google 시스템이 감지할 컴플라이언스 갭이 발생합니다.
• 동의율 검토: EEA 동의율이 비정상적으로 높게(예: 90% 이상) 나타난다면, 배너 디자인이 실제로 자유로운 선택을 제공하는지, 규제 당국이 문제 삼을 수 있는 방식으로 사용자를 유도하고 있지는 않은지 점검해야 합니다.
• 디바이스별 테스트: 모바일, 태블릿, 데스크톱에서 동의 플로우가 모두 정상 작동하는지 확인합니다. 모바일 환경에서의 동의 문제는 흔하지만, 데스크톱 위주 테스트만으로는 발견되지 않는 경우가 많습니다.

핵심 요약: Google CMP 인증은 마케팅용 배지가 아니라, EEA 광고 수익이 정상적으로 흐를지 제한될지를 결정하는 기술적 관문입니다. 사용하는 CMP의 인증 상태를 확인하고, 구현을 테스트하며, TCF와 Consent Mode V2 신호가 모두 올바르게 작동하는지 반드시 점검해야 합니다.

FlexyConsent는 Google 인증 CMP 전체 기능, Consent Mode V2, TCF 2.3 지원을 포함한 무료 요금을 제공합니다. 빠르게 컴플라이언스를 갖춰야 하는 퍼블리셔에게 설치부터 인증 수준의 동의 수집까지 가장 빠른 경로 중 하나입니다.