HubSpot 추적에 실제 동의 신호가 필요한 이유

HubSpot은 추적 스크립트(HubSpot JavaScript 스니펫, 일반적으로 hs-scripts.com/{hub_id}.js)가 실행되는 즉시 방문자의 기기에 여러 퍼스트파티 쿠키를 저장합니다. 가장 중요한 것은 __hstc, hubspotutk, __hssc로, 이들은 함께 세션 간 방문자를 식별하고, 폼 제출을 익명 탐색 기록에 연결하며, CRM의 리드 스코링 모델에 정보를 제공합니다. GDPR 및 ePrivacy 지침에 따라 이 세 가지는 모두 자유롭게 제공된, 구체적인, 정보에 입각한, 명확한 사전 동의가 필요한 비필수 쿠키입니다. 문서 헤드에 스니펫을 로드하는 것 — 이는 HubSpot의 기본 통합 패턴입니다 — 은 방문자에게 아무것도 묻기 전에 해당 쿠키를 배치합니다.

결과는 이론적이지 않습니다. 프랑스, 이탈리아, 스페인의 데이터 보호 기관은 모두 마케팅 스택이 동의 전에 추적 쿠키를 설정한 조직에 대해 지난 2년간 집행 조치를 취했습니다. 벌금은 소규모 게시자에 대한 5자리 숫자 페널티부터 대기업에 대한 수백만 유로 페널티까지 다양했습니다. HubSpot의 기본 쿠키 배너는 존재하지만 의도적으로 가볍고, 그 자체로는 스니펫 실행을 차단하지 않습니다. 대부분의 컴플라이언스 검토자는 이를 제어 레이어가 아닌 알림 레이어로 취급합니다.

HubSpot이 실제로 추적하는 것

HubSpot을 게이팅하는 방법을 결정하기 전에, 어떤 처리 범주가 관련되어 있는지 정확히 파악하는 것이 도움이 됩니다. HubSpot의 추적 범위는 4개의 겹치는 버킷으로 나뉘며, 각각 고유한 동의 의미를 갖습니다.

행동 분석

페이지뷰, 클릭, 스크롤, 세션 지속 시간 이벤트는 추적 코드가 로드되면 자동으로 수집됩니다. 이 이벤트들은 HubSpot의 연락처 레코드 내에서 볼 수 있는 방문자 타임라인을 구성하며 모든 리드 스코링 또는 워크플로우 규칙의 기반이 됩니다. 규제 기관 관점에서 이것은 간단한 분석 추적으로 EU 및 EEA에서 옵트인 동의가 필요합니다. UK에서 ICO의 2023년 지침은 동일하게 취급합니다.

폼 및 채팅

HubSpot 폼과 HubSpot 채팅 위젯(이전의 Drift 통합)은 메인 추적 스크립트와 독립적으로 로드되도록 구성할 수 있습니다. 폼 제출은 대부분의 법적 분석에서 고유한 합법적 근거를 가진 별도의 처리 활동으로 간주됩니다 — 일반적으로 계약 이행 또는 정당한 이익입니다. 그러나 서드파티 서버에 대화를 기록하는 채팅은 일반적으로 녹음 자체에 대한 동의가 필요합니다.

크로스 도메인 신원 결합

동일한 HubSpot 포털을 여러 도메인에 걸쳐 사용하는 경우, 스니펫은 해당 속성에 걸쳐 방문자를 연결하는 방식으로 쿠키를 설정하고 읽으려 합니다. 이는 EDPB가 엄밀한 의미에서 “추적”이라고 부르는 것에 해당하며 가장 고위험 범주입니다. DPIA 중에 플래그가 표시될 가능성이 가장 높은 항목이기도 합니다.

마케팅 통합

HubSpot은 통합을 통해 Google Ads, Meta, LinkedIn 및 기타 광고 네트워크에 이벤트를 푸시할 수 있습니다. 이러한 전달 각각에는 고유한 동의 요건이 있으며, EU에서는 고유한 데이터 전송 평가가 있습니다.

기본 HubSpot 배너 vs. 서드파티 CMP

HubSpot에는 설정 > 개인 정보 & 동의에서 활성화할 수 있는 내장 쿠키 동의 배너가 제공됩니다. 구성 가능한 알림을 표시하고, 연락처에 대한 동의 기록을 기록하며, 분석에 대한 단일 옵트아웃을 존중합니다. 위험이 낮은 관할권에서 운영하는 매우 소규모 조직에는 충분할 수 있습니다. 컴플라이언스에 진지한 사람 — 또는 동의 모드를 인식하는 광고를 운영하는 사람 — 에게는 부족합니다.

서드파티 CMP로 이동하는 이유는 실용적입니다:

• 세분화된 범주. 기본 배너는 엄격히 필요한 쿠키, 기능적 쿠키, 분석 쿠키, 마케팅 쿠키를 규제 기관이 기대하는 구조인 별도의 토글로 분리하지 않습니다.
• IAB TCF 및 GPP 지원. 프로그래매틱 광고에 참여하는 경우 유효한 TC 문자열을 발행하는 Google 인증 CMP가 필요합니다. 기본 HubSpot 배너는 이를 수행하지 않습니다.
• Consent Mode v2. Google은 이제 EEA 트래픽에 대해 v2 형식으로 제공된 동의 신호를 요구합니다. 전용 CMP는 기본 거부 구성을 포함하여 이를 엔드투엔드로 연결합니다.
• 다국어 및 접근성. 대부분의 CMP는 30개 이상의 언어 팩과 WCAG 호환 기본값과 함께 제공됩니다. HubSpot의 내장 배너는 더 제한적입니다.
• 감사 수준 로깅. 전용 CMP는 타임스탬프, 배너 버전, 선택과 함께 각 동의 결정을 기록합니다 — 규제 기관이 조사에서 요청하는 증거입니다.

서드파티 CMP와의 단계별 통합

신뢰할 수 있게 작동하는 통합 패턴은 HubSpot 스니펫을 페이지에 유지하되 동의 결정이 기록될 때까지 실행을 방지하는 것입니다. 아래는 FlexyConsent를 포함한 모든 최신 CMP에 적용되는 표준 접근 방식입니다.

1. 문서 헤드에서 기본 스니펫 제거

사이트 템플릿에서 hs-scripts.com/{hub_id}.js를 로드하는 인라인 <script> 태그를 삭제합니다. CMP가 나중에 활성화할 수 있는 플레이스홀더로 교체하며, 일반적으로 type 속성을 text/plain으로 설정하고 data-category="marketing"과 같은 범주 데이터 속성을 추가합니다.

2. HubSpot을 올바른 동의 범주에 매핑

대부분의 CMP는 IAB TCF 또는 4버킷 모델을 사용합니다: 필수, 기능적, 분석, 마케팅. HubSpot의 추적 스크립트는 CRM 통합 때문에 분석 및 마케팅 범주 모두에 영향을 미칩니다. 보수적인 매핑은 가장 제한적인 버킷인 마케팅 범주 뒤에 전체 스니펫을 게이팅하는 것입니다. CMP가 세밀한 매핑을 허용하는 경우 분할할 수 있습니다: 기능적 아래에 폼을 로드하고, 분석 아래에 분석 이벤트를 로드하고, 마케팅 아래에 CRM 신원 결합을 로드합니다.

3. 활성화 콜백 구성

CMP는 사용자가 범주에 대한 동의를 부여할 때 실행되는 이벤트 또는 콜백을 노출합니다. 해당 콜백에서 플레이스홀더 스크립트 태그의 type 속성을 text/javascript로 다시 작성하고 문서에 추가합니다. 그러면 스크립트가 정상적으로 로드되고 실행됩니다. SPA의 경우 새로 마운트된 페이지도 활성화를 받을 수 있도록 모든 라우트 변경 시 콜백을 등록합니다.

4. Consent Mode v2 연결

HubSpot과 함께 Google Ads 또는 GA4를 사용하는 경우, CMP는 Google 태그가 실행되기 전에 v2 동의 신호 — ad_storage, analytics_storage, ad_user_data, ad_personalization — 를 dataLayer에 푸시해야 합니다. HubSpot 자체는 이러한 신호를 사용하지 않지만 스택의 나머지 부분이 사용합니다. HubSpot과 Google 간의 불일치는 측정 가능한 수익 격차로 보고에 나타납니다.

5. 동의 상태를 HubSpot CRM에 동기화

알려진 연락처가 동의를 업데이트할 때(예: 배너를 다시 방문하여 마케팅 동의를 철회할 때), 워크플로우 로직이 마케팅 이메일 발송을 중지하도록 HubSpot 레코드에 이를 반영해야 합니다. HubSpot API는 구독 수준 업데이트를 수락하는 communication-preferences 엔드포인트를 노출합니다. 대부분의 CMP는 서버 사이드 훅에서 이 엔드포인트를 호출하도록 구성할 수 있습니다.

일반적인 함정과 피하는 방법

세 가지 통합 실수가 HubSpot을 많이 사용하는 스택에서 발견되는 감사 결과의 대부분을 차지합니다.

스니펫을 너무 일찍 로드

일부 팀은 HubSpot 태그를 태그 매니저 안에 넣고 태그 매니저가 동의를 처리한다고 가정합니다. Google Tag Manager는 동의 모드를 준수하지만, 명시적으로 부여된 상태를 요구하는 태그에만 해당됩니다. HubSpot 태그가 해당 요건 없이 구성된 경우 GTM은 어쨌든 실행합니다. 실행 전에 마케팅 동의를 요구하도록 태그의 Additional consent 필드를 항상 설정하십시오.

폼 스크립트 잊기

HubSpot 폼은 별도의 도메인(forms.hsforms.com)에서 제공되며 자체 스크립트로 삽입할 수 있습니다. 메인 추적 스니펫을 게이팅하지만 초기 렌더링 시 폼 스크립트가 로드되도록 두면 문제를 실제로 해결하지 못한 것입니다 — 폼 라이브러리는 자체 식별 쿠키를 설정합니다. 둘 다 게이팅하고 CMP가 함께 로드하도록 하십시오.

옵트아웃을 옵트인으로 처리

HubSpot의 기본 설정에는 Do Not Track 옵션과 원클릭 옵트아웃이 포함되어 있습니다. 일부 팀은 이것이 GDPR을 준수하기에 충분한 메커니즘이라고 해석합니다. 그렇지 않습니다 — GDPR은 비필수 쿠키에 대한 긍정적 옵트인을 요구하며, 개인정보 보호 페이지에 묻혀 있는 옵트아웃 체크박스는 그 기준을 충족하지 못합니다. CMP를 동의 상태의 권위 있는 출처로 만들고 HubSpot이 이를 따르도록 구성하십시오.

감사 대비 문서화

기술적 통합이 완료된 후 마지막 단계는 증거 추적이 규제 기관의 요청을 견딜 수 있도록 하는 것입니다. 최소한 다음의 기록을 유지하십시오: CMP가 HubSpot을 매핑하는 범주, 특정 날짜에 라이브 상태인 동의 배너 버전, 유효한 동의를 보여주는 샘플 TC 문자열, 동의가 부여되기 전에 HubSpot이 추적 호출을 실행하지 않았음을 증명하는 API 로그. 대부분의 집행 조치는 기술이 아니라 문서화에서 막힙니다 — 명확한 서류 흔적을 제시할 수 있는 조직은 일반적으로 그렇지 못한 조직보다 훨씬 빠르게 조사를 해결합니다. 이러한 아티팩트를 온디맨드로 내보내는 동의 관리 플랫폼은 감사를 몇 주 간의 혼란에서 반나절의 대응으로 바꿉니다.