최근 개인 정보 보호에 대한 인식이 높아지면서 Google, Apple과 같은 매체에서 다양한 조치가 이루어지고 있습니다. 대표적으로 Apple은 2021년 4월, iOS 14부터 ATT(App Tracking Transparency) 정책을 적용하며 퍼블리셔의 IDFA 활용에 대한 사용자 동의를 Opt-in으로 변경한 사건이 있었습니다. 이로 인해 광고 성과 저하 및 CRM의 부각 등 광고 업계 전반에 많은 영향을 미치고 있는데요. Google도 이런 변화에 발 맞춰 2023년에 향상된 개인 정보 보호를 목적으로 한 Privacy Sandbox를 웹과 안드로이드에 적용하겠다고 발표하였습니다.
이 문서에서는 앱 설치 광고의 성과를 분석하는 기여 분석
에 잠재되어 있는 개인정보 침해 가능성을 Apple과 Google이 어떻게 방지하는지 확인합니다. 이를 위해서 먼저 기여 분석이 어떤 식으로 동작하는지 살펴보겠습니다.
김마켓은 카카오톡을 사용하던 중에 중고 의류 거래 플랫폼에서 게재한 광고 AD_1을 보게 되었다. 별 관심이 없던 김마켓은 광고를 무시하고 지나갔지만 같은 서비스의 다른 광고 AD_2를 보게 되자 옷을 구경하고 싶어서 광고를 클릭해 본다. 그러자 중고 의류 거래 플랫폼의 앱을 설치하는 앱스토어로 이동하게 되고, 앱에서 보여주는 다양한 의류들을 구경하던 중 마음에 드는 옷을 발견하고는 회원가입 → 카트 담기 → 구매하기에 이른다.
김마켓이 위 상황을 겪는 동안 어떤 이벤트들이 발생했을까요? 순서대로 적어보면 다음과 같습니다.
초록색 영역과 파란색 영역에 주목해 주세요. 색은 각 이벤트를 수집하는 주체가 다르다는 것을 나타냅니다. 광고 성과에 대한 이벤트인 초록색 영역은 Google 애즈, 메타 등 매체에서 수집하고, 인앱 이벤트인 파란색 영역은 보통 AppsFlyer나 Airbridge와 같은 MMP(모바일 측정 파트너, Mobile Measurement Partner)에서 집계합니다.
초록색: (광고 성과) Google 애즈, 메타 등 광고 매체에서 집계
파란색: (설치 및 전환 등 인앱 이벤트) 앱스플라이어, 에어브릿지 등 MMP의 SDK로 집계
광고주는 따로 떨어져 있는 광고 성과 데이터와 인앱 이벤트를 합쳐서 더 멋진 인사이트를 얻을 수 있습니다. 예를 들면 이벤트 1, 이벤트 6을 합쳐서 광고 AD_2를 통해서 10$의 매출 발생
이라는 귀중한 정보를 얻을 수 있죠. AppsFlyer, Airbridge와 같은 MMP가 제공하는 인사이트는 이러한 과정으로 생성됩니다.
정보) IDFA(광고주 식별자)는 Apple에서 iOS 기기마다 고유하게 부여하는 식별자 입니다.
하지만 문제는 여기에서 발생합니다. 서로 다른 곳에서 집계된 데이터를 합치기 위해서 유저를 특정하는 빨간색 영역인 IDFA라는 민감한 정보를 활용해야 하는데, 이것이 개인정보 침해로 이어질 수 있다는 점입니다. 그래서 Apple과 Google은 광고 성과 분석 과정에서 발생하는 개인정보 침해 가능성을 제거하기 위해 각각 SKAdNetwork, Attribution Reporting이라는 솔루션을 제안합니다.
The ad network API helps advertisers measure the success of ad campaigns while maintaining user privacy. - Apple
출처: https://www.dataseat.com/blog/the-evolution-of-skadnetwork
Store-Kit Ad Network(SKAN)은 Apple에서 개인 정보를 보호하면서 앱 설치 광고 성과를 측정할 수 있도록 도와주는 프레임워크 입니다. 2018년에 버전 1.0이 출시된 이후로 현재는 버전 4.0까지 출시된 상태인데요. 이 문서에서는 SKAN의 주요 동작 방식을 가장 잘 담고 있는 버전 2.2를 기준으로 설명합니다. SKAN 4.0 버전이 궁금하신 분은 이 문서를 참고해 주세요.
SKAN은 광고 노출 시점부터 시작하여 광고 성과에 대한 데이터를 특정 엔드포인트에 전송하는 postback을 전송하기까지 아래의 과정을 수행합니다.
SKAN의 포스트백이 전송되기까지 모든 과정은 사용자의 기기에서만 진행됩니다. 광고주가 받게 되는 postback에는 개인을 특정하는 IDFA 정보가 포함되지 않기 때문에 결과적으로 개인 정보 보안이 향상됩니다.
SKAN의 마지막 단계에서 전송되는 postback은 실제로 아래와 같은 JSON 형태로 전송됩니다.
{
"version" : "2.2",
"ad-network-id" : "com.example",
"campaign-id" : 2, // AD_2
"transaction-id" : "6aafb7a5-0170-41b5-bbe4-fe71dedf1e28",
"app-id" : 525463029, // 중고거래 앱 ID
"attribution-signature" : "MEYCIQDTuQ1Z4Tpy9D3aEKbxLl5J5iKiTumcqZikuY/AOD2U7QIhAJAaiAv89AoquHXJffcieEQXdWHpcV8ZgbKN0EwV9/sY",
"redownload": false,
"source-app-id": 1234567891, // 카카오톡 앱 ID
"fidelity-type": 1, //
"conversion-value": 3 // 구매 conversion value
}
version
: SKAdNetwork 버전입니다.
ad-network-id
: Apple에서 기여 측정 대상으로 포함하는 ad network들 중 하나의 id 입니다.
app-id
: 설치한 광고주 앱의 App ID 입니다.
transaction-id
: postback의 ID를 나타냅니다. 만약 같은 transaction-id의 postback이 전송된다면 중복된 요청이라는 의미이므로 중복 처리가 필요합니다.
redownload
: 앱이 재설치 되었는지의 여부를 나타냅니다.
source-app-id
: 기여한 앱의 id를 나타냅니다.
attribution-signature
: Apple이 전송한 postback임을 검증할 수 있는 signature 입니다.
Privacy Sandbox는 온라인 개인 정보를 보호하고 기업과 개발자의 성공적인 디지털 비즈니스 구축을 위한 도구를 제공하는 기술 개발을 목표로 합니다. Privacy Sandbox는 온라인 콘텐츠와 서비스를 모든 사용자에게 무료로 제공하도록 지원하면서 크로스 사이트 추적과 크로스 앱 추적은 줄여줍니다. - Google
Apple에서 IDFA 사용을 Opt-in으로 변경한 것과 마찬가지로 Google은 2023년 후반에 크롬에서 서드 파티 쿠키를 제한할 예정이라고 합니다. 동시에 기존의 광고주 경험을 해치지 않도록 하는 여러 가지 제안을 담은 Google의 Privacy Sandbox가 진행 중인데 그 중 하나가 바로 Attribution Reporting 입니다.
Attribution Reporting은 SKAN과 마찬가지로 앱 설치 광고 성과 분석 과정에서 개인 정보가 침해되는 상황을 방지되기 위한 솔루션 입니다. Attribution Reporting은 크게 2가지 방식의 광고 성과 리포팅을 제공합니다.
Event-level Reporting은 Apple의 SKAN과 유사하게 동작합니다. 다만 Apple이 SKAN을 모바일 앱 설치 전환에 한정한 것과 비교했을 때, Google은 브라우저에서 일어나는 전환을 측정하는 것에 초점을 두고 있습니다.
전송된 보고서는 개인 정보 보안을 더 향상하기 위해 아래와 같은 전략을 사용합니다.
Google은 SKAN에는 없는 Aggregatable Reporting이라는 새로운 전송 방식을 제안합니다.
Event-level Reporting은 개인 특정의 위험을 피하기 위해서 전환값을 최대 3비트만 사용할 수 있다는 제약이 있는데요. Aggregatable Reporting은 해당 제약을 제거하는 대신, 광고주가 직접 그 전환값을 확인할 수 없도록 보고서를 암호화 합니다. 그리고 보고서들을 신뢰된 집계 서비스에서 집계하여 개인 정보를 보안하고, 결과적으로 광고주가 최종 보고서를 받을 수 있도록 합니다.
한 매체에 따르면 국내 아이폰 사용자의 37%가 앱 개인정보 추적에 동의했다고 합니다. 적은 숫자는 아니지만 광고 성과를 분석하기에 충분한 규모는 아니지 않을까 예측합니다. 이에 따라 SKAN과 Attribution Reporting은 앞으로 더 성공적인 앱 설치 광고 성과를 분석하기 위한 필수 데이터로 자리 잡을 것 같습니다. AppsFleyer, Airbirdge 등 대부분의 MMP가 이러한 움직임에 대응하고 있습니다.
구글도 2023년부터 본격적으로 Privacy Sandbox를 출시할 계획을 가지고 있습니다. 개인적으로 광고주, 매체, 대행사 등 광고업의 다양한 이해관계자들 모두에게 많은 영향을 줄 수 있는 지각 변동이 될 것이라고 생각합니다. 개인정보 보안과 관련해 어떤 변경사항이 발생할지에 대해 인지하고 적절한 방식으로 대응할 수 있다면 이러한 변화를 새로운 기회로 삼을 수 있을 것 같습니다. 😊