웹의 개인 정보 보호를 개선하기 위한 노력의 일환으로 Chrome팀은 사용자의 크로스 사이트 추적을 방지하기 위해 적극적으로 노력하고 있습니다. Google은 올해 안에 '이탈 추적'이라는 특정 기술의 추적을 제한하는 완화 조치를 시작할 계획입니다.
이러한 변경으로 인해 추적되지 않는 사이트가 많지 않을 것으로 예상되지만 Google에서는 개발자 여러분께 기능 플래그를 사용하여 이 새로운 기능을 테스트하고 의견을 제공해 주시기 바랍니다.
이탈 추적이란 무엇인가요?
이탈 추적은 서드 파티 쿠키가 차단된 경우에도 서드 파티 사이트에서 쿠키를 저장할 수 있는 기술입니다. 페이지에 포함된 제3자 추적 코드는 쿠키를 설정할 수 있는 추적기의 사이트로 사용자를 리디렉션한 다음 원래 페이지로 다시 리디렉션하는 데 사용할 수 있습니다. 이러한 리디렉션은 사용자가 알아차리지 못할 정도로 빠르게 발생하는 경우가 많습니다.
이탈 추적은 '바운스 백' 또는 '이탈'로 실행할 수 있습니다.
두 경우 모두 사용자는 자신이 tracker.example
에 방문했다는 사실을 모를 수 있습니다. site1.example
만 방문했다고 생각하거나 site2.example
사이트로 이동하려고 시도했을 수 있습니다.
Chrome에서 어떤 부분을 변경할 계획인가요?
Chrome은 이러한 추적 사이트의 상태를 주기적으로 삭제하여 사용자를 이탈 추적으로부터 보호합니다. 프로세스는 다음과 같이 진행됩니다.
- Chrome은 탐색을 모니터링하고 '스테이트풀(Stateful) 이탈'에 해당하는 사이트를 내부적으로 신고합니다. 즉, 탐색이 사이트를 통해 리디렉션되었으며 사이트가 리디렉션 중 상태에 액세스했음을 의미합니다. 여기에는 서버에서 시작된 리디렉션과 JavaScript가 프로그래매틱 방식으로 탐색을 트리거하는 클라이언트 측 리디렉션이 모두 포함됩니다. 상태 액세스에는 쿠키 및 기타 유형의 저장소(예: localstorage, IndexingDB 등)가 모두 포함됩니다.
- Chrome은 신고된 사이트 목록을 주기적으로 검토하고 사용자가 지난 45일 동안 사이트와 상호작용하여 사이트를 적극적으로 사용했는지 확인합니다. 이 상호작용은 이탈이 감지되기 이전, 도중 또는 이후에 발생할 수 있습니다.
- 사이트에 사용자 상호작용이 없고 서드 파티 쿠키가 차단된 경우 사이트의 상태가 삭제됩니다.
Google은 2023년 3분기 초에 서드 파티 쿠키 차단을 선택한 사용자를 대상으로 이러한 변경사항을 적용할 계획입니다.
이로 인해 다른 리디렉션 흐름이 중단되나요?
사용자 상호작용 확인은 리디렉션 흐름을 사용하는 경우 추적하지 않는 사이트가 삭제되지 않도록 하기 위한 것입니다. 예를 들어 SSO, 제휴 인증, 결제 흐름에서는 보통 이러한 종류의 상호작용을 수행합니다. 따라서 SSO, 제휴 인증 또는 결제 흐름에는 영향이 없을 것으로 예상됩니다. 예를 들어 ID 공급업체에 로그인하는 행위는 사용자 상호작용으로 간주되며 삭제를 방지합니다.
내 사이트가 영향을 받는지 어떻게 알 수 있나요?
이탈 추적 완화는 Chrome 버전 115 (현재 최신 Canary)의 기능 플래그로 테스트할 수 있습니다.
- 새 Chrome 프로필을 만듭니다. 웹 개발에 사용한 기존 프로필의 경우 일반적인 웹사이트 사용자는 경험하지 못할 수 있는 상호작용이 반송 사이트에 기록될 수 있습니다.
chrome://flags/#bounce-tracking-mitigations
에서 플래그를 '삭제와 함께 사용 설정됨'로 설정합니다.- '서드 파티 쿠키 차단'을 선택하여
chrome://settings/cookies
에서 서드 파티 쿠키 차단을 사용 설정하세요. - 리디렉션과 관련된 워크플로를 수행합니다.
- Chrome DevTools의 문제 탭을 열고 'Chrome에서 최근 탐색 체인에 있는 중간 웹사이트의 상태를 곧 삭제할 수 있습니다'라는 제목의 메시지를 찾습니다.
- DevTools Application 패널로 이동하여 Background Services 아래의 bounce Tracking Mitigations를 클릭한 다음 Force Run을 눌러 반송 추적 삭제 확인을 강제로 실행합니다. 또는 삭제가 적용되기까지 최대 2시간을 기다릴 수도 있습니다.
- 사이트의 상태가 이탈할 것으로 예상되는 워크플로를 수행합니다.
예를 들어 (4)단계에서 이 데모 페이지를 방문하여 'bounce me' 링크를 선택하면 DevTools 문제가 발생할 수 있습니다.
그런 다음 6단계에서 DevTools Application 패널을 사용하여 즉시 강제로 삭제되도록 할 수 있습니다.
그런 다음 데모를 다시 방문하여 반송을 수행하면 상태가 삭제되어 생성된 새 식별자가 표시됩니다.
엔터프라이즈 사용 사례
일부 기업에서는 사용자를 자동으로 SSO 사이트에 로그인시키는 방식으로 관리 기기를 사용합니다. 사용자가 SSO 사이트와 상호작용하지 않기 때문에 이로 인해 Chrome에서 사이트를 이탈 추적기로 처리할 수 있습니다.
이 문제를 완화하기 위해 기업에서는 쿠키 정책을 사용하여 SSO 사이트에 서드 파티 쿠키를 사용 설정할 수 있습니다. 이렇게 하면 해당 사이트에 이탈 추적 감소가 적용되지 않습니다.
의견
'Privacy>NavTracking' 구성요소를 사용하여 Chromium 버그 추적기에서 의견을 제공할 수 있습니다. 의견은 W3C PrivacyCG 탐색 기반 추적 완화 문제로도 남겨둘 수 있습니다.