first-party cookie vs third-party cookie

구글이 크롬 브라우저에서 third party cookie를 2년 안에 차단하겠다는 계획을 발표했다는 소식을 들었다. 광고로 먹고사는 구글이, 더군다나 웹 광고에서 핵심 역할을 하는 쿠키를 차단하겠다고? 설마 하는 마음으로 크롬 블로그에서 원문을 찾아 보았다. 

일단 몇 가지 기본적인 개념을 좀 잡아보자.

1. 우리가 chosun.com 사이트에 접속했을 때, chosun.com 에 남기는 쿠키가 first-party cookie이고, chosun.com 이외.. 예를 들어, facebook.com, criteo.com, google.com 같은 곳에 남기는 쿠키는 third-party cookie이다.
2. first-party cookie는 사이트에서의 로그인 유지, 쇼핑몰에서 최근에 본 상품 등 필수적인(혹은 기본적인) 브라우징 기능을 위해 필요하다. 그렇기 때문에 쿠키를 완전히 없애는 것은 현실적으로 불가능하고, first-party cookie 까지는 딱히 프라이버시 침해로 시비를 걸진 않는다. (그럴 거면 그냥 인터넷을 안 쓰는 것이..)
3. 반면, 옥션에서 본 청바지 상품을 조선일보에서 광고로 노출하기 위해서는, 두 사이트를 방문한 사용자가 동일 사용자인지 트래킹을 할 수 있어야 한다. 예컨대 옥션과 조선일보에서 criteo.com 와 같은 외부 도메인에 사용자를 추적하는 쿠키(third-party cookie) 남기고 읽을 수 있어야 한다. 그런데 이렇게 되면, 크리테오 스크립트가 설치된 사이트를 사용자들이 방문하면 크리테오에서 모든 사용자들이 어떤 사이트를 방문하는지 알 수 있기 때문에 문제가 될 여지가 있고, 개인정보 보호를 위해 이걸 못하게 막겠다는 것.
4. first-party vs third-party 개념이 좀 애매할 수 있는데, 사용자의 명시적인 클릭 없이 JavaScript 등으로 동일한 도메인이 아닌 외부 도메인으로 쿠키를 남기는 것을 막겠다는 의미인 것 같다. (현재 사파리 브라우저가 이렇게 third-party 쿠키를 막는 것으로 알고 있음) 그러나 사용자가 한 번 이상 광고를 클릭한다면, 광고 플랫폼의 도메인으로 이동했다가 광고주의 사이트로 이동하기 때문에, 리다이렉트 되는 순간에는 thrid-party cookie (이때는 동일 도메인이니, third-party가 아니게 되니)를 남길 수 있다.

원문을 다시 읽어봐도, 쿠키를 완전히 차단하겠다는 이야기는 없다. (이건 애초에 말이 안 되는 이야기이고) 구글도 광고가 웹 생태계에서 차지하는 역할을 잘 인지하고 있고, 그중에서 쿠키의 중요성을 누구보다 잘 안다. 그래서 다른 브라우저들처럼 일단 3rd party cookie를 막고 보자. 이렇게 접근하지는 않는다고.

다만, 2020년 2월부터는 HTTPS로 전송되지 않는 third-party cookie를 차단해서 보안성을 높이고, 사용자를 은밀하게 추적하는 방법을 막는 기술들을 개발하고 있다고 한다. 크롬 브라우저에서 3rd party cookie를 막는 옵션을 기본 제공한다는 이야기는 아직 없는 듯한데, 조금 더 지켜봐야 할 것 같다.