개인정보보호에 진심이 된 기업들 ATT와 SKAN, Privacy Sandbox는 무엇일까

 

 

IOS 이용자들에게 이제는 익숙한 화면이 하나 있습니다. 바로 앱 추적 허용 팝업(ATT)* 입니다. 2021년 4월 Apple은 IOS 14.5를 업데이트 하면서 개인정보보호 명목하, ATT를 추가했습니다. ATT는 기존에는 별도 설정을 해야 앱 추적을 끌 수 있는 Opt-out 방식이였지만, 이제는 사용자에게 먼저 의사룰 묻는 Opt-in 방식으로 변경했죠.

*App Tracking Transperncy

 

ATT 업데이트는 디바이스의 고유 값인 IDFA(IDentifier Advertising)의 접근을 위해 사용자에게 명시적 허가를 받도록 했습니다. 소위 광고ID인 IDFA 접근을 하려면 사용자의 동의가 먼저 필요하며, 결국 업데이트로 맞춤형 광고 진행이 어려워 졌습니다. 이를 해결하려면 앱 설치 후 단 한 번만 노출 시킬 수 있는 "IDFA 접근 다이얼로그"를 고객이 눌러주길 기도해야 합니다.

 

그리고 ATT와 함께 높아진 개인정보보호 정책은 마케팅에도 큰 영향을 줬습니다. IOS 마케팅 성과는 이제 실시간으로 볼 수 없습니다. Apple에서 제공하는 마케팅 성과 측정 프레임 SKAN(SKAdNetwork)로 데이터가 보이기 때문이죠. SAKN은 ATT와 별개의 요소입니다. 그렇기에 사용자 동의 등 회피 방법이 없습니다.

 

❓ Opt-in과 Opt-out은 무엇일까요?
Opt-in은 Option-in의 줄임말 입니다. 반대로 Opt-out은 Option-out을 의미하죠.

과거 IOS의 개인정보 제공은 Opt-out 방식이였는데, 이는 개인정보 제공을 기본적으로 진행하면서 개인정보 제공에 대해 '직접' 거부 의사를 밝힌 사용자의 데이터는 제공하지 않았습니다.
하지만 Opt-in 방식으로 변경되면서, 개인정보 제공은 기본적으로 미제공하고 직접 개인정보 제공 의사를 밝힌 사용자의 데이터만 제공하는 방식이죠.

 

SKAN 3.0이란?

 

SKAN은 개인정보를 제공하지 않고 마케팅 성과 측정을 하도록 데이터를 제공해줍니다. SAKN의 특징은 유저가 App Install 이후 첫 실행한 시점으로 24시간 동안 발생한 전환을 등록하고 윈도우가 종료 후 1회 Postback을 제공합니다. 문제는 Postback이 되는 시간은 측정 종료 이후 24시간 동안 무작위로 설정한 시간에 포스트백 전송이 진행됩니다.

Postback 전송 시간이 무작위이기에 소위 꼼수로 측정 또한 어렵습니다. SKAN Postback에는 유저를 식별할 수 있는 데이터가 철저히 가려집니다. 거기서 전송 시간도 실시간으로 제공되지 않기에 First-Party Data와의 매칭으로 측정이 불가능하죠. 사실상 개인정보를 역추적하는 것은 불가능한 상태입니다.

 

업데이트된, SKAN 4.0은 무엇이 달라졌는가?

 

Apple은 IOS 16.1 업데이트와 함께 SKAN 4.0을 추가로 업데이트 했습니다. 기존 SKAN 3.0은 Postback이 1회 발생했지만 SAKN 4.0은 3회의 Postback이 발생합니다. 0-2일 동안 간 발생한 전환에 대해서는 전환이 등록된 후 24-48시간 중 무작위 시간에 1차 Postback이 발생합니다. 그리고 3-7일 동안 전환 등록이 된 내용을 24-144시간 중 2차 Postback을 발생되고, 8-35일 동안 전환 등록된 내용을 다시 24-144시간 중에 무작위로 3차 Postback을 발생시켜주죠.

그리고 SKAN 4.0에는 잠금기간(Lock Window)가 추가됐습니다. 잠금기간은 Postback의 Window 기간. 즉, 전환 등록의 일자를 지정할 수 있습니다. 2차 Postback은 3-7일 동안의 데이터를 통해 7일차에 전환등록 후 Postback을 무작위로 발송합니다. 하지만 잠금기간을 5일 차로 설정하면 3-5일차 까지 데이터로 전환등록을 하고 5일차 이후 24-144시간 중 무작위로 Postback을 발생시키죠.

 

cc. apple developer

 

비즈니스에서 주요한 전환이 5일차 안에 발생해야한다면, 잠금기간을 통해서 어느정도 통제가 가능합니다. 잠금기간과 다음 추적 기간 동안은 공란으로 데이터가 담기지는 않습니다. 6-7일의 데이터 없이 8일-35일의 3차 Postback이 진행되는거죠.

 

 

SKAN에서 알아하는 사항. Tier는 무엇인가?

cc. adjust

 

SKAN에서는 일정 기간 데이터 수집 후 Postback이 진행되는데, Tier에 따라 제공되는 데이터가 다릅니다. Tier는 군중 익명성을 기반으로 결정됩니다. 해당 인원과 같은 그룹의 인원이 많다면 Tier가 상승해서 더 많은 정보를 얻을 수 있죠. 이 또한 개인을 특정할 수 없도록한 조치입니다.

Tier를 높이기 위해서는 App Install을 더 많이 발생시켜야하고, 많은 Install을 만들수록 Tier 상승으로 더 많은 데이터를 얻을 수 있죠. 가장 큰 문제는 App Install이 적어서 Tier 자체가 낮다면 Postback이 발생하지 않을 수도 있습니다.

 

 

이제는 구글 너마저, Google Privacy Sandbox

cc. chrome blog

 

App의 개인정보보호 이슈는 Apple에 한정됐었습니다. 그렇기에 보통 Android로 광고를 진행하고 광고 효율이 좋은 캠페인을 Apple에서도 진행했었죠. Apple의 ATT로 인한 마케팅 캠페인의 간접적 우회사항이 있었지만 앞으로는 이 또한 불가능해집니다.

Google 또한 개인정보보호를 위해서 Privacy Sandbox가 App에도 시행됩니다. Privact Sandbox는 이미 2019년 도입 예정을 안내한 후 웹에서 쿠키 수집를 통한 사용자 제한을 진행했습니다. 안드로이드에 적용될 Privacy Sandbox는 ATT와 다르게 Google의 광고 식별값 GAID를 없앱니다. ATT는 Opt-in 방식으로 IDFA 제공에 사용자의 동의를 묻지만 Privacy Sandbox는 GAID에 사용자 동의를 구하지 않습니다. 없으니까요.

그래도 다행인 점은 Google Privacy Sandbox는 SKAN과 달리 항상 광고 캠페인의 성과를 제공합니다. Apple SKAN은 개인정보보호가 된 데이터를 임의의 시간에 Postback 함으로 개인정보보호를 진행하지만 Google Privacy Sandbox는 Install 수치 제한(Tier)나 시간 설정없이 바로 데이터를 받을 수 있죠.

다만, 결과 추세를 바꾸지 않는 선에서 제공되는 데이터에 가짜 데이터를 섞어서 보냅니다. 가짜 데이터는 수학적인 성과나 추세는 유지시켜주지만 개인을 추적하는 것을 막아줍니다. Google에서는 GAID를 삭제할 예정이지만 GIR(Google Install Referrer)은 기존과 같이 제공됩니다. 그렇기에 유저가 광고를 통해 구글스토어로 넘어가면 GIR이 부여되고 해당 데이터는 제공됩니다.

 

이제는 개인정보보호에 적응할 때,

개인정보보호는 앞으로 더욱 더 심해질 겁니다. 그리고 그에 따른 마케팅 변화를 넘어 사업적 변화까지 생길 수 있죠. 저는 앱 마케팅을 해본적이 없어서 사실 ATT나 SKAN, Privacy Sandbox에 대한 내용을 이해하기가 어렵습니다. 하지만 Web 또한 Third-Party Cookie 제한이 생겼고, 앞으로는 더욱 더 심해지겠죠. 국내도 아마 외국 사이트와 같이 Cookie 수집을 Opt-in 방식으로 제공하게 될 수도 있습니다.

먼저 발생한 변화를 이해하고, 앞으로 변화할 다른 마케팅 환경에도 적응하기 위해서는 앱 마케터는 아니지만 해당 내용은 학습할 필요가 있어보입니다. 그리고 다가올 변화에 대해서 해법을 생각하고 기민하게 움직일 필요가 있죠.

 

개인정보 보호 시대에 데이터를 얻기 위한 방법들