Privacy Sandbox — 쿠키 종료 이후 브라우저단 광고 타깃팅, 마케터가 알아야 할 5가지

“쿠키 종료가 또 미뤄졌으니 잊고 살자”는 마케터가 가장 후회할 말입니다. 일정은 흔들려도 방향은 바뀌지 않았고, Chrome·Edge·Safari 모두 광고 식별을 브라우저 안으로 옮기는 길로 가고 있습니다. Privacy Sandbox는 그 흐름의 가장 큰 시도입니다. 마케터가 사라지는 도구를 따라가지 말고 새로 들어오는 도구의 좌표를 익혀야 할 때입니다. Topics·Protected Audience·Attribution Reporting 3축의 의미와, 캠페인·KPI를 어떻게 다시 설계해야 하는지 정리합니다.

1. 왜 지금 다시 보고 있나 — 2024-2026 흐름

서드파티 쿠키 종료 일정은 한 차례 더 미뤄졌지만, 흐름의 방향은 명확합니다.

• 2024년 Q1 — Chrome 1% 트래픽에서 서드파티 쿠키 차단 시작 (Privacy Sandbox 일반 가용성)
• 2024년 7월 — 구글이 “기본 차단” 일정을 무기한 미루고 사용자 선택권 모델로 전환 발표
• 2025년 — Chrome의 Privacy Sandbox API 모두 GA. 사용자가 켜면 즉시 작동
• 2025-2026년 — Safari·Firefox는 이미 차단, Edge는 Tracking Prevention 강화. 마케터 운영 상 서드파티 쿠키는 사실상 절반 이상 사라진 상태

기본 차단이 미뤄졌다고 해서 광고 식별 환경이 그대로 유지되는 게 아닙니다. 실제 마케팅 데이터에서 서드파티 쿠키 매칭률은 이미 모바일·iOS·Safari·Firefox 합쳐 절반에 못 미치는 게 일반적입니다. Chrome 차단이 풀려도 그 절반은 돌아오지 않습니다.

2. 발상의 전환 — “광고주가 알던 것”에서 “브라우저가 처리하는 것”으로

지금까지의 광고 타깃팅은 한 줄로 요약됩니다.

서드파티 쿠키로 유저를 추적해, 광고주·DSP가 모은 ID 그래프 위에서 타깃팅과 전환 측정을 한다.

Privacy Sandbox의 핵심은 이 한 줄을 다음으로 바꿉니다.

유저의 행동·관심사·전환은 브라우저 안에서 처리되고, 광고 시스템은 결과만 받는다 — 그것도 익명화·노이즈가 섞인 형태로.

이 한 문장이 마케터의 일을 어떻게 바꾸는지가 이 글의 본질입니다. 광고주 서버에 차곡차곡 쌓인 유저 ID·관심사·여정은 더 이상 신뢰할 수 없는 경우가 많습니다. 대신 브라우저가 던져주는 신호 — 익명화된 관심사 토픽, k-익명성을 만족하는 리마케팅 그룹, 노이즈가 섞인 전환 보고 — 를 받아 운영해야 합니다.

광고 식별이 광고주 서버에서 브라우저 안으로 옮겨졌다는 한 문장만 잡으면, 3축이 각각 무엇에 대응하는지 자연스럽게 정리됩니다.

3. Topics API — 관심사 타깃팅의 새 좌표

3-1. 무엇을 하는가

Topics API는 사용자의 최근 3주 브라우징 이력을 바탕으로 브라우저가 직접 5개 정도의 관심사 토픽을 골라줍니다. 광고 시스템이 사이트에 도달했을 때 호출하면 토픽 1~3개가 응답으로 옵니다 — “스포츠/축구”, “여행/유럽”, “패션/스니커즈” 같은 형태입니다.

핵심 차별점은 다음과 같습니다.

• 토픽은 표준화된 분류 트리(현재 약 469개 토픽). 광고주마다 정의가 다른 게 아님
• 매주 갱신, 3주만 유지. 오래된 관심사는 자연 소멸
• 사용자가 언제든 끌 수 있음. 일부 토픽만 차단도 가능
• 광고주는 유저 ID를 받지 않음 — 토픽만 받음

3-2. 마케터가 KPI를 어떻게 다시 짜야 하나

기존 관심사 타깃팅은 광고주·DSP가 가진 ID 그래프 위에서 정의되었습니다(“축구 관련 사이트 5개 이상 방문한 유저”). Topics API는 그 정의를 브라우저가 한다는 점이 다릅니다. 마케터가 잃는 것은 정밀한 사용자 여정 추적이고, 얻는 것은 쿠키 차단 환경에서도 작동하는 타깃팅 신호입니다.

• 유사 타깃 정확도: 기존 ID 매칭만큼 정밀하지 않음. CPA가 단기적으로 악화될 수 있음
• 도달: 쿠키 차단 환경에서도 절반 이상 도달 가능 — 같은 예산으로 더 많은 임프레션 노출
• KPI 설계: 같은 토픽 안의 CTR·CVR이 매주 흔들린다는 전제를 깔고, 토픽 단위 A/B를 늘리는 쪽이 안전

4. Protected Audience — 리마케팅의 브라우저 내부 입찰

4-1. 무엇을 하는가

전 FLEDGE에서 이름이 바뀐 Protected Audience는 리마케팅·룩어라이크의 새 그릇입니다. 핵심은 광고 입찰의 일부를 브라우저 안에서 돌린다는 점입니다.

흐름을 거칠게 풀면 이렇습니다.

1. 광고주 사이트가 사용자를 “장바구니 이탈” 같은 인터레스트 그룹에 등록
2. 그 사용자가 다른 사이트에 방문하면, 그 사이트의 광고 슬롯이 브라우저에게 입찰 요청
3. 브라우저는 등록된 인터레스트 그룹을 보고, 각 광고주의 입찰 로직(JavaScript)을 브라우저 안에서 실행
4. 가장 높은 입찰을 낸 광고가 노출됨 — 광고주는 누가 봤는지 모름

4-2. k-익명성 — 보고서가 흔들리는 이유

Protected Audience는 k-익명성을 강제합니다. 같은 인터레스트 그룹의 사용자가 일정 수 이상이어야 광고가 노출되고, 보고서도 그 단위로 묶입니다. 마케터에게 의미하는 바는 다음과 같습니다.

• 좁은 리마케팅 풀(예: 특정 SKU만 본 유저 10명)은 노출이 안 됨
• 보고서의 작은 셀은 노이즈가 섞이거나 묶여서 나옴 — “장바구니 이탈 유저 12건 노출”이 정확한 12건이 아닐 수 있음
• 캠페인 평가는 주 단위·집계 단위에서 봐야 함. 일별·소세그먼트 평가는 노이즈가 너무 큼

5. Attribution Reporting — 전환을 노이즈와 함께 받는 법

5-1. 두 종류의 보고서

전환 측정은 Attribution Reporting API로 옮겨집니다. 두 종류의 보고가 있습니다.

• Event-level report — 개별 클릭·노출 단위. 1~3비트의 매우 적은 정보만 담음(예: 전환 3가지 종류 중 어느 것)
• Aggregatable report — 집계 단위. 광고주가 정의한 다차원 키(캠페인·소재·지역 등)별 합계를, 노이즈가 섞인 형태로 받음

5-2. 노이즈가 섞인 채 받는 게 새 노멀

Attribution Reporting의 핵심은 차분 프라이버시(differential privacy)로 노이즈를 의도적으로 섞는다는 점입니다. 이 노이즈는 작은 셀일수록 비율적으로 큽니다. 마케터가 익숙해져야 할 점은 다음과 같습니다.

• 작은 셀 보고서는 절대값보다 비율·트렌드로 봐야 함
• 일 단위 노이즈가 큰 캠페인은 주 단위로 묶어 평가
• 같은 전환을 두 번 세는 듯한 비대칭이 발생 가능 — Attribution Reporting과 GA4·MMP 보고서가 ±10% 정도 차이날 수 있음

6. CDP·서버사이드 솔루션과 무엇이 다른가

마케터가 종종 헷갈리는 지점입니다. Privacy Sandbox는 CDP·서버사이드 추적의 대체재인가요? 답은 “보완재”입니다.

구분	CDP·서버사이드 (예: Conversions API)	Privacy Sandbox
식별 위치	광고주 서버·CDP	사용자 브라우저
데이터 출처	1st party 로그인·이메일 해시	브라우저 행동 신호
식별 단위	사용자 단위 (1:1)	익명·집계 단위
강점	로그인 유저의 풀 cycle 추적	비로그인 유저·신규 방문자
약점	비로그인 유저 사각	1:1 정밀도 부족

운영 패턴은 둘을 결합합니다.

• 로그인 유저 — CDP·1st party 데이터로 정밀 타깃팅과 전환 측정
• 비로그인 유저·신규 방문 — Privacy Sandbox 토픽·Protected Audience로 도달 확보
• 전환 측정의 종합 — Attribution Reporting + 1st party 서버 측정 + MMM의 결합

huny.log의 CDP 시대의 ID 그래프 글이 다룬 광고주 측 식별 전략과, 이 글의 브라우저 측 API가 함께 가는 그림을 잡으면 좋습니다.

7. 마케터가 지금 해야 할 5가지

7-1. 1st party 데이터의 정의를 다시 한다

쿠키 매칭률이 떨어진 만큼 1st party 데이터의 가치가 두 배 됩니다. 이메일·전화·로그인 ID의 수집 동선을 다시 점검하고, 회원 가입의 인센티브를 재설계하는 작업이 1순위입니다.

7-2. 캠페인 평가 단위를 주·월로 끌어올린다

Attribution Reporting·Protected Audience 모두 작은 셀이 노이즈를 탑니다. 일 단위 평가는 운영자만 보고, 의사결정·KPI 보고서는 주·월 단위로 통일하세요.

7-3. 1:1 어트리뷰션 + MMM의 결합을 시작한다

쿠키 기반 1:1 어트리뷰션은 점점 부분적이 됩니다. 채널 단위 incrementality는 MMM·Geo-lift 같은 도구로 보완해야 합니다. 한 번에 갈아엎지 말고 한 채널부터 병행 운영하세요.

7-4. Topics API·Protected Audience를 1개 캠페인으로 시범 운영한다

GA로 시범 캠페인을 1개 잡고, 기존 ID 매칭 캠페인과 KPI 비교 데이터를 모으세요. 정확도·도달·CPA가 어떻게 다른지 자체 데이터로 잡아두는 게 다음 분기 의사결정의 토대가 됩니다.

7-5. 보고서 차이를 사전에 설명할 준비를 한다

Attribution Reporting과 GA4·MMP 보고서가 ±10% 정도 어긋나는 건 일상이 됩니다. 보고서를 받는 의사결정자에게 “이런 차이가 정상이고, 어디까지 신뢰해야 하는가”의 가이드를 미리 만들어 두세요. 이게 안 되어 있으면 캠페인의 진짜 효과보다 보고서 차이로 시간을 더 씁니다.

8. 마치며 — “사라지는 도구”보다 “들어오는 도구”

Privacy Sandbox 관련 뉴스는 일정 연기·정책 변경으로 정신없이 흔들립니다. 그 일정을 따라가는 마케터의 시간은 대부분 낭비됩니다. 정작 필요한 건 두 가지입니다 — 사라지는 도구의 의존도를 낮추고, 들어오는 도구의 좌표를 익히는 것.

이 글의 5축(Topics·Protected Audience·Attribution Reporting·CDP·MMM)이 그 좌표 지도입니다. 일정이 또 미뤄져도 방향은 바뀌지 않습니다. 사용자 식별이 광고주 서버에서 브라우저 안으로 옮겨가는 흐름은 흔들리지 않고, 1:1 어트리뷰션의 비중이 줄어드는 흐름도 그대로입니다.

다음이자 마지막 글에서는 이 흐름의 실험·측정 도구로, 1편의 DiD와 기존 Geo-lift 글을 결합한 Synthetic DiD를 다룹니다. 시간축·공간축을 같이 쓰는 도구로 채널 incrementality 보정의 마지막 퍼즐을 맞춥니다.

참고

• Google Privacy Sandbox 공식 문서 — Topics·Protected Audience·Attribution Reporting의 표준 레퍼런스
• Topics API explainer (GitHub) — 토픽 분류·갱신 주기·옵트아웃 모델
• Protected Audience API explainer — 전 FLEDGE의 표준 문서
• Attribution Reporting API explainer — event-level·aggregatable 보고서 구조
• IAB Tech Lab — Privacy Sandbox Fit Gap Analysis — 광고 산업 측 적합성 평가
• huny.log 내부 글: CDP 시대의 ID 그래프, MMM 입문, Geo-lift 실험으로 인과추론 — 결합 운영의 보완 도구