서드파티 쿠키에 실제로 무슨 일이 있었나

전체 이야기는 뉴스 헤드라인이 시사하는 것보다 훨씬 복잡합니다. 2026년의 환경은 패치워크 형태이며, 모든 퍼블리셔 구성은 자체 오디언스의 브라우저 점유율에 맞춰야 합니다.

Safari — 2020년부터 이미 차단

Apple의 Intelligent Tracking Prevention은 2020년부터 Safari에서 서드파티 쿠키를 차단해 왔으며, 이후 주요 브라우저 중 가장 공격적인 반추적 입장 중 하나로 발전했습니다. Safari는 크로스사이트 추적에서 이미 완전한 쿠키리스 환경이며, Safari 트래픽에서의 모든 어드레서빌리티는 퍼스트파티 아이덴티티, 컨텍스트 타겟팅 또는 SKAdNetwork 방식의 어트리뷰션을 통해 이루어집니다.

Firefox — 2019년부터 기본 차단

Firefox의 Enhanced Tracking Protection은 2019년부터 알려진 서드파티 추적 쿠키를 기본적으로 차단해 왔습니다. 사용 가능한 서드파티 쿠키 ID를 보유한 Firefox 트래픽 비율은 대부분의 퍼블리셔에게 사실상 제로입니다.

Chrome — 2026년의 변곡점

의미 있는 서드파티 쿠키 커버리지를 보유한 마지막 보루인 Chrome이 2026년에 대부분의 변화가 일어나고 있는 브라우저입니다. 수년간의 지연 끝에 Google은 사용자 선택 모델로 전환했습니다. 사용자는 서드파티 쿠키를 계속 허용할 수 있지만, 브라우저는 더 엄격한 설정으로 유도하며 Privacy Sandbox API가 대부분의 애드테크 사용 사례에서 권장 메커니즘이 되었습니다. 실제로 이는 Chrome의 서드파티 쿠키 가용성이 하룻밤에 사라지는 것이 아니라 꾸준히 줄어들고 있음을 의미하며, 모든 퍼블리셔는 동일한 브라우저 내에서 쿠키 있는 트래픽과 쿠키리스 트래픽을 혼합해서 운영하고 있습니다.

Edge 및 기타

Edge는 Chromium을 따르지만 자체 추적 방지 기능을 추가합니다. Brave와 다른 프라이버시 우선 브라우저는 수년째 기본적으로 쿠키리스입니다. 쿠키가 전혀 없는 모바일 인앱 환경이라는 긴 꼬리는 항상 광고 식별자(IDFA, GAID)를 통해 다루어졌으며, 이것들 자체도 이제 대부분 옵트인 방식이 되었습니다.

Privacy Sandbox의 실제 현황

Privacy Sandbox는 서드파티 쿠키의 단일 대체제가 아닙니다. 기존 사용 사례의 각 부분을 처리하는 API의 모음입니다.

Topics API

Topics API는 브라우저가 사이트 전반에 걸쳐 사용자의 탐색을 관찰하고, 이를 제한된 관심 주제 집합으로 분류하며, 해당 주제를 광고주에게 노출할 수 있도록 합니다. 이는 단일 광고주가 사용자 프로필을 재구성할 수 없도록 하면서 광범위한 행동 타겟팅을 대체합니다. Topics는 2026년에 사용 가능하고 실제로 활용되고 있지만, 쿠키 기반 행동 타겟팅보다 정확도가 낮으며 대부분의 퍼블리셔는 이것만 의존하기보다는 다른 신호와 결합합니다.

Protected Audience API

Protected Audience — 원래 FLEDGE라고 불렸던 것의 진화형 — 는 리마케팅을 처리합니다. 브라우저 내에서 광고 경매를 실행하여 광고주가 사이트 간에 사용자를 식별하지 않고 이전에 자신의 사이트를 방문한 사용자에게 도달할 수 있도록 합니다. 도입은 불균등하며, 수요 측 플랫폼들은 통합의 다양한 단계에 있습니다.

Attribution Reporting API

Attribution Reporting은 쿠키 기반 전환 추적을 대체합니다. 사용자 수준 재구성을 방지하기에 충분한 지연과 노이즈를 가진 이벤트 수준 및 요약 보고서를 제공합니다. 절충점은 낮은 충실도의 어트리뷰션이며, 성과를 측정하는 퍼블리셔는 대시보드와 기대치를 재조정해야 합니다.

퍼블리셔가 구성해야 할 것

2026년 대부분의 퍼블리셔는 기존 SSP와 함께 Topics 및 Protected Audience를 실행하며, 래퍼가 라우팅을 처리하도록 합니다. 이는 광고 스택을 재구축할 필요가 없습니다. SSP 및 헤더 비딩 수준에서의 구성과 Sandbox API에 동의 신호를 올바르게 전달하는 CMP가 필요합니다.

퍼스트파티 아이덴티티의 부상

쿠키리스 전환에서 가장 일관된 승자는 인증된 퍼스트파티 아이덴티티였습니다. 등록 장벽, 뉴스레터 구독자 또는 로그인 경험을 보유한 퍼블리셔는 새로운 환경에서 구조적 우위를 갖습니다.

이메일 기반 아이덴티티 그래프

해시된 이메일(UID2나 RampID 같은 표준화된 식별자로 래핑되기도 함)은 포스트 쿠키 세계에서 크로스사이트 아이덴티티의 근간입니다. 사용자가 한 번 인증하면 이메일이 로컬에서 해시되고, 해시된 식별자가 사용자 신호로 입찰 요청에 흘러 들어갑니다. 중요한 것은 이는 로그인한 사용자에게만 적용되며, 퍼블리셔가 광고 목적으로 식별자를 공유할 유효한 동의를 보유한 경우에만 작동한다는 것입니다.

동의가 게이팅 요소

GDPR 또는 CCPA 동의 없이는 이메일 기반 아이덴티티 신호가 신호 없음보다 더 나쁩니다 — 규정 준수 책임입니다. CMP는 서드파티 쿠키를 규율하는 것과 동일한 목적 뒤에 아이덴티티 신호를 명시적으로 게이팅해야 합니다. 일반적으로 TCF 목적 1, 3, 4, 7과 아이덴티티 공급자 자체에 대한 벤더별 허가입니다.

로그인율이 새로운 북극성

광고로 수익화하는 퍼블리셔에게 로그인한 트래픽의 비율은 이제 수익 지표입니다. 퍼블리셔들은 편집적 이유가 아니라 쿠키리스 환경에서 로그인 트래픽이 익명 트래픽 대비 의미 있는 CPM 프리미엄을 제공하기 때문에 소프트 월 등록, 뉴스레터 수집, 독자 로열티 프로그램에 투자하고 있습니다.

셀러 정의 오디언스

IAB의 Seller-Defined Audiences (SDA) 사양은 퍼블리셔가 공유 분류 체계를 사용하여 자체 오디언스 세그먼트를 직접 입찰 요청에 정의하고 신호를 보낼 수 있도록 합니다. 퍼블리셔는 자체 퍼스트파티 데이터를 기반으로 특정 사용자가 자동차 애호가 또는 어린 자녀를 둔 부모 같은 세그먼트에 속한다고 결정하며, 해당 신호는 쿠키가 어떤 경계도 넘지 않고 모든 구매자에게 전달됩니다.

SDA가 중요한 이유

SDA는 더 넓은 에코시스템에 사용자 수준 데이터를 노출하지 않고 퍼블리셔의 퍼스트파티 편집 및 행동 데이터를 프로그래매틱 가치로 전환합니다. 강력한 편집 버티컬과 기존 분석 또는 DMP 역량을 보유한 퍼블리셔에게 적합하며, 양질의 콘텐츠에 직접 보상하는 몇 안 되는 쿠키리스 전략 중 하나입니다.

동의와 SDA

SDA 세그먼트는 여전히 개인 데이터 처리에 기반하며 CMP를 통해 흘러야 합니다. CMP는 관련 TCF 목적과 퍼블리셔가 자체 오디언스 구축 활동을 위해 선언한 커스텀 목적에 신호를 보내야 합니다.

컨텍스트 타겟팅 — 조용한 부활

컨텍스트 타겟팅 — 사용자 기록이 아닌 페이지 콘텐츠에 광고를 매칭하는 방식 — 은 2018년 구식으로 여겨지던 것에서 2026년 핵심 전략으로 변모했습니다. 현대 컨텍스트 벤더들은 자연어 모델을 사용하여 단순한 키워드 매칭이 결코 달성하지 못했던 깊이로 페이지 의미론을 이해하며, 컨텍스트 인벤토리는 브랜드 안전에 민감한 광고주들에서 쿠키 기반 타겟팅과 정기적으로 동등하거나 이를 능가합니다.

동의의 우위

컨텍스트 타겟팅은 개인 데이터를 처리하지 않기 때문에 대부분의 개인정보 보호 규정에서 사용자 동의를 필요로 하지 않습니다. 동의율이 낮거나 EU 및 캘리포니아 트래픽이 많은 퍼블리셔에게 컨텍스트 수익은 종종 스택에서 마진이 가장 높은 부분입니다.

2026년에 실제로 작동하는 동의 구성

2026년 쿠키리스 준비가 된 동의 스택에는 불과 2년 전만 해도 드물었을 몇 가지 요소가 있습니다.

• CMP가 Google Consent Mode v2를 통해 Privacy Sandbox API에 동의 신호를 보내 Topics 및 Protected Audience 호출이 사용자 선택을 존중하도록 함
• UID2, RampID, 퍼블리셔 고유 ID 등 아이덴티티 신호에 대한 명시적 동의 게이팅을 관할권이 요구하는 경우 일반 광고 동의와 분리
• 벤더 목록 정리 — 쿠키리스 수익에 기여하지 않고 규정 준수 표면만 추가하는 레거시 쿠키 의존 벤더 제거
• CMP 처리 목적 등록부에 SDA 세그먼트 선언, 개인정보 처리방침에 명확한 언어 포함
• 동의가 거부될 때 깔끔하게 실행되는 컨텍스트 전용 폴백 경로로, 거부 시 광고 없음이 아닌 컨텍스트 광고가 표시되도록 함

수익 기대치와 현실

쿠키리스 전환에 관한 초기 연구들은 퍼블리셔 수익의 재앙적 손실을 예측했습니다. 2026년의 현실은 더 미묘합니다. 스택을 적응시킨 퍼블리셔들 — 강력한 퍼스트파티 아이덴티티, SDA 채택, 동의를 인식한 Privacy Sandbox 통합, 그리고 컨텍스트를 바닥으로 — 은 쿠키 시대 대비 대략 동일한 수익을 보고하고 있으며, 동의된 로그인 트래픽에서는 때로 더 높습니다. 아무것도 하지 않고 전환을 헤쳐나가길 바랐던 퍼블리셔들은 Chrome 트래픽의 프로그래매틱 CPM에서 20~40% 하락을 보고 있으며, 쿠키 가용성이 계속 줄어들면서 악화되고 있습니다.

수익 격차

적응한 퍼블리셔와 적응하지 못한 퍼블리셔 간의 수익 격차는 이제 2026년 프로그래매틱 분산의 가장 큰 단일 원인입니다. 이를 좁히는 것은 단일 통합의 문제가 아닙니다 — 서로를 강화하는 CMP, 아이덴티티, SDA, 컨텍스트 결정의 순서입니다.

90일 실행 계획

• 1-2주 — 감사. 트래픽의 브라우저 구성, 현재 동의율, 로그인율, 그리고 여전히 서드파티 쿠키에 의존하는 수익 비율 파악
• 3-4주 — CMP 현대화. Google Consent Mode v2, Privacy Sandbox 신호 전달, 퍼스트파티 아이덴티티를 위한 커스텀 목적을 지원하는 CMP로 업그레이드
• 5-8주 — 아이덴티티 통합. 해시된 이메일 아이덴티티 공급자를 헤더 비딩 래퍼에 연결하고 동의 게이팅이 엔드투엔드로 작동하는지 확인
• 9-10주 — SDA 롤아웃. 셀러 정의 세그먼트의 초기 집합을 정의하고 입찰 요청에 신호를 보내되, 개인정보 처리방침 언어도 함께 준비
• 11-12주 — 컨텍스트 폴백. 동의 없음 및 아이덴티티 없음 경로를 위한 컨텍스트 벤더와 계약하고, 수익 보고가 컨텍스트를 어드레서블 인벤토리와 분리하여 보고하는지 확인

전망

전환이 완료되면 서드파티 쿠키는 그리워지지 않을 것입니다. 성숙한 쿠키리스 스택 — 동의를 인식하고, 퍼스트파티 아이덴티티가 풍부하며, 셀러 정의되고, 컨텍스트적으로 지능적인 — 은 사용자에게도, 브랜드에게도, 그리고 투자하는 퍼블리셔에게도 수익 측면에서 더 낫다고 할 수 있습니다. 2026년에 승리하는 퍼블리셔는 쿠키 폐기를 규정 준수 위협으로 취급하는 것을 멈추고 어드레서빌리티 재구축으로 취급하기 시작한 사람들입니다. 쿠키 시대가 끝나고 있습니다. 그 자리를 대체하는 수익화 시대는 쿠키리스가 아니라 동의 주도입니다.