iOS 14.5부터 실행되는 App Tracking Transparency (ATT)에 대해 알아보자

iOS 14.5가 정식으로 배포되었다.

대부분의 일반 사용자들은 애플워치를 착용하고 있으면 마스크를 쓴 상태에서도 페이스ID를 쓸 수 있다는 점이나 이모지가 추가 된 점들에 대해 더 관심이 있겠지만 앱 개발자/개발사, 앱 운영자들에게는 App Tracking Transparency (ATT)에 대한 관심도가 더 높을 것이다.

사실 ATT 자체는 작년부터 애플이 쭉 실행한다고 해 왔고, 원래는 작년 중에 실행 될 예정이었으나, 많은 앱 개발사들이 준비 할 시간이 필요하다고 항의(?)를 하는 바람에 연기가 되어서 이번 iOS 14.5부터 정식으로 실행되게 된 것이다.

이번 포스트에서는 ATT가 무엇인지, 일반 사용자들에게 어떤 의미가 있는지에 대해서 알아본다.


#IDFA

ATT를 정말 간단하게 말하면 iOS 앱들이 "IDFA를 사용해도 되는지 안되는지 사용자의 명시적인 동의를 요구해야 한다" 로 요약 할 수 있다. 지금까진 아이폰 사용자가 IDFA를 "사용하지 마세요" 라고 명시적으로 표현 (opt-out) 하지 않았다면, 암묵적으로 사용해도 된다고 동의 한 것으로 간주하여 앱들이 IDFA를 사용할 수 있었다. ATT 실행 이후에는 사용자가 IDFA를 "사용해도 됩니다" 라고 명시적으로 표현 (opt-in) 하지 않았다면 앱들이 IDFA에 접근 할 수 없게 되었다. 지금까지 IDFA를 사용 해 왔던 앱들은, iOS 14.5부터는 애플에서 정해 놓은 팝업 메세지를 띄우고 사용자의 동의를 구해야만 IDFA를 사용 할 수 있게 된다.

그럼 애시당초 IDFA가 뭐길래 이 난리인가? IDFA는 Identifier For Advertisers의 약자로, 말 그대로 광고주를 위한 식별자 라는 뜻이다. 유사품(?)으로는 안드로이드의 ADID가 있으며, IDFA와 ADID는 Resettable Device ID (RDID)의 범주에 속하게 된다.

이러한 RDID를 사용 할 수 있으면 앱 사용자들이 굳이 해당 앱에 회원 가입을 하지 않고 사용하더라도, 해당 사용자가 자신의 기기에 설치되어 있는 여러가지 앱에서 무엇을 했는지와 같은 활동내역을 짜집기 하여 프로필을 만들 수가 있다. 일부 앱이 웹사이트도 운영하고 있다면, 웹 사이트 상에서의 활동내역과도 짜집기 하는 것이 가능하다.

예를 들면 App A, App B, Website A를 이용하는 사람이 있다고 가정해보자.

App A의 데이터 테이블

IDFA, email, watched_video
1234, abc@efg.com, 귀여운 강아지 동영상

App B의 데이터 테이블

IDFA, purchased_item
1234, 고양이 간식

Website A의 데이터 테이블

email, search_query
abc@efg.com, 샌드위치 만드는 법

이런 식으로 사용자의 활동내역이 개별로 따로 저장이 되어 있다고 해도, IDFA와 email을 공통 된 key로 사용하여 활동내역을 이어 붙일 수 있다는 것이다. IDFA 자체에는 아무런 개인정보가 내제화 되어 있지 않지만, IDFA라는 식별자를 활용하면 이미 알고 있는 다른 개인정보와 결합함으로서 특정 개인과 그 개인이 각종 앱에서 무엇을 하고 있는지에 대한 데이터를 축적 할 수 있는 것이다. 위 예제로는 해당 사용자가 강아지 동영상을 보고 고양이 간식을 샀으며 샌드위치 만드는 법을 검색했더라 라는 데이터를 구축 할 수 있다. 여기에 이름 성별 나이 주소 등도 얼마든지 이어 붙여서 개인정보를 완성 시킬 수 있다는 말이다.

그럼 누가 이러한 데이터를 축적하고 활용하고 있느냐? 구글이나 페이스북과 같은 광고 네트워크 운영자, 네이버나 카카오 같은 거대 플렛폼 운영자, Data Management Platform (DMP) 사업자 같은 데이터 브로커 등이 이러한 개인의 웹과 앱의 활동 내역을 수집하고 짜집고 분석하여 활용하고 있다.

이러한 내용을 애플에서도 "A Day in the Life of Your Data" 라는 내용으로 예제를 공개하였다. 틀린 말이 하나도 없어서 아마 기존 데이터 사업자들은 반박하기가 불가능 한 내용으로 되어있다.


#어떤 식으로 활용되고 있는가

사실 스마트폰이 나오기 전 부터 사용자들의 웹 상에서의 활동내역을 수집하고 짜집고 분석하고 활용은 하고 있었다. (물론 현재 진행형이다) 웹에서는 제 3자 쿠키 (Third Party Cookie)를 이용하여 브라우저를 식별 할 수 있는 ID를 부여하고 그 ID를 key로 하여 사용자들의 웹 상에서의 활동내역을 수집하였다. 이러한 제 3자 쿠키의 활용도 이미 애플에서는 3년전 쯤 부터 ITP (Intelligent Tracking Prevention) 이라는 기술을 발표하여 사파리에서는 제 3자 쿠키를 차단하는 움직임을 보였다. 이러한 움직임은 파이어폭스와 같은 다른 브라우저에도 도입이 되었고, 구글의 크롬도 내년부터는 제 3자 쿠키를 차단하는 방식으로 변경 될 예정이다.

스마트폰이 세상에 나오고, 많은 사람들이 일상 속의 많은 것들을 스마트 폰으로 해결 함으로써, 수집 할 수 있는 데이터의 양이 비약적으로 늘어났다. 예를 들면 한 개인이 어디에서 무엇을 하고 있는지와 같은 위치 데이터도 축적하는 것이 가능해졌다. 여러 개인들의 활동내역에 관한 데이터들이 쌓이면, 그것을 토대로 사용자들의 성향, 취향, 행동들을 예측하는 것이 가능해진다. 방대한 데이터들을 머신러닝으로 분석하여 사용자가 다음에 무슨 행동을 취할지를 정교하게 예측하는 것이 가능해진다는 것이다.

이러한 예측을 토대로 사용자가 좋아 할 거 같은 게시물, 동영상, 물건 등을 개인 맞춤형으로 보여줄 수 있기도 하고, 같은 예측을 토대로 사용자가 반응을 할 것 같은 광고를 보여 줄 수도 있는 것이다. 이렇게 각각의 개인에게 맞춰진 서비스를 제공 할 수 있다는 순기능은 물론 존재한다. 하지만 모든 기술이 그렇듯 악용 할 수 있는 경우도 많다. 예를 들면 정치 성향, 성적 취향, 금융 정보와 같은 민감한 부분에 관해서도 예측/확측을 할 수 있으며, 그러한 예측을 악의적으로 사용 할 수도 있는 것이다.

분석하는 이론과 방법 자체는 오래전부터 존재했지만 예전에는 수집할 수 있는 데이터의 양이 지금보다 적었다는 점과, 슈퍼컴퓨터가 아닌 하드웨어로 어마어마한 연산을 하는 것이 매우 어려웠다. 하지만 기술이 진보하면서 수집 할 수 있는 데이터의 양도 늘어났고 클라우드라는 하드웨어 치트키가 등장하면서 더욱 더 정교한 분석이 가능해진 것이다. (물론 테라바이트 페타바이트 단위의 데이터를 분석할 만큼의 클라우드 리소스에 필요한 돈은 대기업이 아니면 감당하기 힘들다) 덕분에 알고리즘이 나보다 나를 더 잘 알 수도 있는 시대에 살게 된 것이다.


#어떨 때 IDFA 사용여부를 동의 받아야 하나

어떨 때 IDFA 이용에 관한 동의를 사용자로 부터 명시적으로 받아야 하는 지에 관해서는 애플 측에서 가이드라인을 제시 해 놓았다. 요약하자면

  1. 다른 앱이나 웹사이트 활동내역을 활용한 타게팅 광고를 앱 안에 삽입 할 때
  2. 데이터 브로커와 위치정보 혹은 이메일 리스트를 공유 할 때
  3. 이메일 리스트, 광고 ID와 같은 식별자를 광고 네트워크와 공유 할 때
  4. 앱에 사용하고 있는 SDK가 다른 앱들과 정보를 합치는 기능을 가지고 있을 때

정도가 될 수 있다. 이 중에서 1,3,4는 IDFA를 활용하는 케이스라서 팝업을 띄우겠지만, 2에 관해서는 IDFA를 활용하는 케이스가 아니라서, 실제로 해당 앱이 공유를 하고 있더라도 팝업을 안 띄울 가능성이 있다. 어차피 애플이 잡아 내기 힘든 케이스다.

4번은 자신의 앱을 사용자들이 어떻게 사용하고 있는지 분석하는 툴을 사용하고 있을 경우와 Single Sign On (SSO) 기능이 해당 될 수 있다.

자신의 앱의 사용내역을 분석하는데에만 필요하고 다른 업체들과 그 정보를 공유하지 않을 거라면 굳이 IDFA를 쓰지 않아도 분석 툴이 활용 할 수 있는 방법은 있다. 그 하나의 예로는 Instance ID (인스턴스 아이디)를 쓰는 것으로, 해당 앱 안에서만 사용 가능한 식별자를 생성하여 사용 내역을 기록하는 방법이다. 이러한 방식을 사용하고 있는 SDK로 바꾸면 굳이 팝업을 띄울 필요는 없다.

SSO는 "카카오로 로그인", "네이버로 로그인", "페이스북으로 로그인" 과 같은 서비스를 말한다. 이러한 서비스들을 각 플렛폼들이 괜히 제공하는 것이 아니다. 이러한 서비스를 제공하면서 그 대가로 서비스를 도입한 앱 사용자들의 활동내역을 가져가고 있다. 아마 곧 있으면 각 플렛폼들은 활동내역을 가져가지 않는 버전의 Limited SSO SDK를 내 놓을 것으로 예상된다.

대부분의 앱들이 "제 3자 개인정보 제공"을 약관에서 명시하고 있지만, 대부분 약관을 읽어봐도 누구와 공유하고 누구에게 판매하고 어떻게 활용되는지와 같은 것에 대한 정보는 나와있지 않다. 그런 상황에서 동의하지 않으면 앱을 사용하지 못하게 하는 경우도 있다. 하지만 이번 애플의 정책에서는 IDFA 이용에 동의 하지 않는다고 해서 사용자가 앱을 사용하지 못하게 하면 안된다는 것을 명시하고 있다. 이를 어길 시에는 앱스토어에서 퇴출 될 수 있다. 이는 사용자에게는 좋은 점이다.


#광고에서 IDFA의 역할

앞서 기술 한 바와 같이 IDFA를 이용하면 특정 사용자에 대한 프로필을 구축 할 수 있고, 성향/취향 등을 예측 할 수 있다. 광고 네트워크들은 IDFA 별로 자신들이 정의 해 놓은 성향/취향 등의 예측 데이터가 있으니, 광고주들은 특정 사용자에게 "이러한 광고를 보여줘!" 라고 광고 네트워크에 타게팅 요청을 할 수 있다. 애초에 디지털 광고가 기존 전통 광고 (티비, 잡지, 전단지) 등 보다 우위에 있는 점은 정교한 타게팅이 가능하다는 점과 광고의 효과를 더욱 정교하고 정확하게 측정 할 수 있는 부분에 있다. IDFA를 이용하면 말 그대로 "이 사람에게 이 광고를 보여줘!", "이런 취향/성향을 가진 사람에게 이 광고를 보여줘!", "과거에 이런 행동을 한 사람에겐 이 광고를 보여줘!" 라는 식의 맞춤형 광고를 가능하게 만들고, 그 사람이 광고를 보고 어떠한 반응을 했는지도 측정 하는 것을 가능하게 만든다. 이러한 측정 데이터를 분석함으로서 광고 효율을 올리거나, 더 효율 좋은 광고를 제작하는 것이 가능하게 된다.

광고의 반응은 광고의 목적에 따라 다르지만 전환 (Conversion)을 했나 안했나를 주로 측정한다. 예를 들어 광고의 목적이 광고주의 앱에서 신발을 구매하게 만드는 것이라면, 광고를 본 사용자가 광고주의 앱에서의 신발 구매여부가 전환이 되는 것이다. 이를 측정하는 방법은 두가지가 있는데, 하나는 View Through Conversion (VTC) 이고 다른 하나는 Click Through Conversion (CTC) 이다.

VTC는 말 그대로 광고를 보긴 했지만 클릭은 하지 않은 경우. 하지만 나중에 그 광고를 봤던 사람이 해당 앱을 열고 신발을 구매했기 때문에 광고가 효과 있었다고 측정하는 케이스다.

CTC는 광고를 보고 바로 그 광고를 클릭하고 신발을 구매한 것을 측정하는 케이스다.

IDFA를 사용하지 못하면 광고에 바로 반응 하지 않은 광고 시청자, 즉 VTC에 해당되는 시청자의 측정이 불가능해진다. 그 사용자가 어느 앱에서 해당 광고를 봤다는 걸 식별 할 방법이 없어지기 때문이다.


#페이스북은 왜 난리인가

IT업계에 관심이 있다면 뉴스에서 한번쯤은 페이스북이 애플이 내놓은 이번 정책에 대한 불만이 많고 소상공인들이 희생 당한 다는 식의 주장을 펼치고 있다는 걸 접했을 것이다. 페이스북은 왜 난리인가?

페이스북은 Facebook Audience Network (FAN) 이라고 하는 앱 광고 네트워크를 보유하고 있다. 앱 개발자들이 자신의 앱에 광고를 붙이고 수익을 올릴 수 있게 해주는 광고 네트워크다. 구글이 운영하고 있는 Ad Mob과 유사한 서비스라고 보면 된다.

현존하고 있는 많은 앱들이 페이스북의 SDK를 도입하고 있다. 그 이유가 광고를 붙이기 위해서든 SSO를 사용하기 위해서든 어쨌든 페이스북의 SDK를 도입한 앱들이 무수하게 많다. 페이스북은 지금까지 이러한 앱들에서 각종 사용내역에 관한 데이터를 수집하고 축적하였고, 이미 자신들이 가지고 있는 플렛폼들에서 얻을 수 있는 데이터들과 결합하여 더욱 정교한 타게팅이 가능한 광고 네트워크를 구축 할 수 있었다.

정교한 타게팅이 가능하다는 것은 곧 광고주들에게 더욱 더 세심한 타게팅 옵션을 제공 할 수 있다는 것, 그리고 전환 가능성이 높을 것 같은 사람에게 광고를 보여주는 것과 같은 행위를 가능하게 만든다. 광고는 입찰 방식으로 진행되기 때문에, 같은 사용자 혹은 사용자군을 타게팅 하고 싶은 광고주들이 많을 경우, 광고 단가는 올라가게 된다. 광고 단가가 올라가면 해당 광고를 게재하고 있는 앱 운영자의 수익도 올라가지만, 페이스북의 수익도 덩달아 올라가게 된다.

ATT의 도입으로 사용자의 동의를 명시적으로 받아야 하게 되면, 대부분의 사용자들은 사용을 허락하지 않을 것으로 예상된다. 자신이 어떤 앱에서 무엇을 하는지 추적 당하는 걸 허용하는 사람은 그렇게 많지 않을 것이기 때문이다. 그렇게 되면 대부분의 iOS 사용자에 대해서는 IDFA를 사용 할 수 없게 되고, IDFA를 사용 할 수 없다는 것은 그만큼 정교한 타게팅과 광고효과 측정이 어려워진다는 것이 된다. 그러면 자연스럽게 광고 효과가 예전에 비해 떨어지게 되고, 광고 단가의 하락으로 이어진다. 광고 단가의 하락은 곧 페이스북 매출의 하락으로 이어진다.

페이스북의 매출은 대부분 광고 수입에서 나온다. 사실 IDFA를 못 쓴다고 해서 페이스북이 자체적으로 소유하고 있는 플렛폼들 (페이스북, 인스타그램, 메신저, 왓츠앱)에 게제되는 광고들이 영향을 크게 받는 것은 아닐 것이다. 이미 자체 플렛폼들에서 수집할 수 있는 데이터로 자체 플렛폼들에 게제하는 광고는 정교하게 타게팅 하는 것이 얼마든지 가능하다고 생각한다. 페이스북의 서비스들 자체가 이미 사용자들이 자발적으로 개인정보를 올리는 용도로 사용되고 있지 않은가.

필자가 생각하는 소상공인은 동네에서 장사하는 자영업자인데, 그런 사람들은 페이스북 광고를 사용하더라도 페이스북 자체 플렛폼에 광고를 게재하지 FAN에 게재하지는 않을거라는 인상이 있다. 그렇기 때문에 개인적으로는 소상공인들이 타격을 입는다는 말은 공감하기가 어렵다. 오히려 앱 서비스 제공자들의 매출이 타격을 입을 수 있고, 그렇게 되면 무료로 제공되던 서비스가 유료로 전환 될 수 있으며, 그 비용은 고스란히 해당 앱 사용자들에게 전가 될 수 있다고 했다면 좀 더 설득력이 있지 않았을까 싶다.

페이스북은 자체플렛폼의 광고 매출과 FAN에서 나오는 광고 매출을 따로 게시하고 있지 않기 때문에 FAN의 비율이 어느정도 되는지 알 수가 없다. 만약 FAN의 비율이 높다면 단기적으로 페이스북의 매출에 타격을 줄 수는 있다. 2020년도 기준으로 매출의 약 44% 정도가 미국에서 발생하고 있고, 미국은 대략 50% 정도가 아이폰 사용자이기 때문에 FAN의 매출 비율에 따라서는 iOS 앱들에 대한 광고 단가의 하락이 영향을 크게 받을 수도 있다.


#아이폰은 개인정보 보호가 된다?

이번 ATT 정책은 개인정보 보호에 도움이 되는 것은 사실이다. 하지만 IDFA를 사용하지 못한다고 해서 아이폰 사용자 개개인의 앱 활동내역을 완전히 추적하지 못하는 것은 아닐 것이다. 애플이 ITP를 도입하여 웹 상에서 제 3자 쿠키를 원천금지 했을 때에도 업계에서는 여러가지 대응안으로 다른 방식의 추적 법을 (예를 들면 Fingerprinting) 도입하는 사례가 나오기도 했다. 그 때마다 애플은 그러한 방식에 대한 추가 대응안을 내놓기도 하였다. 앱의 세계에서도 여러 업체들이 여러가지 다른 시도를 할 것으로 예상된다.

안타까운 것은 그러한 대응 추적 방안을 내놓는 업체들이 핵심을 놓치고 있다는 점이다. ITP든 ATT든 핵심은 사용자가 동의하지 않았으면 그 내역을 멋대로 수집하고 공유하고 짜집기 하지 말라는 것이다. 애플이 막으면 우린 그걸 우회 할 방법을 찾거나 만들어서 계속 추적하면 된다가 아니다. 그렇다고 사용자들의 자신의 앱을 어떻게 사용하는지에 관한 데이터를 수집하지 말라고 한 것도 아니다. 서비스를 개선/개량 하기 위해선 그러한 데이터가 필요하고 애플도 자체적으로 내놓는 앱들에 관한 이용 내역등은 수집하고 있을 것이다. 단지 그것들을 사용자들의 명시적인 동의 없이 다른 업체들이랑 공유하지 말라는게 핵심이다.

모바일OS 양대 산맥인 안드로이드를 소유하고 있는 구글은 다행히도 애플의 주장에 대한 핵심을 이해하고 동의를 하고 있는 것으로 보이며, 앞으로 안드로이드도 비슷한 정책을 수립 할 것인지가 기대되는 부분이기도 하다. 매출의 대부분을 광고에서 올리고 있는 구글이 프라이버시를 침해하지 않으면서 광고 효율도 지금과 비슷한 수준을 유지 할 수 있는 기술을 개발 할 수 있는지도 주목해 볼 만한 부분이다. (실제로 이미 시도는 하고 있다)


대부분의 사람들은 자신이 웹/앱에서 남긴 흔적들이 어떤식으로 누구와 공유되고 짜집기 당하고 있는지, 그러한 데이터들이 어떻게 활용되고 있는지, 때로는 어디의 누구에게 팔려나가고 있는지 알지 못한다.

데이터를 수집하고 분석하는 것 자체가 나쁘다는 말은 아니다. 다양하고 방대한 데이터를 수집하였기 때문에 더욱 정교한 분석이 가능해졌고, 그러한 분석이 가능해졌기 때문에 고도화 된 개인 맞춤형 서비스를 제공 할 수 있게 되는 것이다. 분명한 순기능이 있고 서비스 이용자에게 이득이 되는 부분도 많다. 단지 그러한 행위를 한다면 어떤 데이터를 수집하는 것인지, 그것이 어떻게 활용이 되는 것인지, 누구와 공유하는 것인지 좀 더 명확하고 이해하기 쉽게 설명해야 할 의무에 대해서도 생각 해 볼 필요가 있는 것이다.

개인정보 보호는 이미 전세계적인 트렌드이다. 이번 애플의 새 정책을 계기로, 앱 개발사/운영사들, 특히 대기업들이 앞장 서서 전체적인 생태계를 더욱 개인정보 보호 친화적인 건전한 방향으로 이끌어 나갈 수 있도록 의식을 전환 해주었으면 하는 바람이다.