2021 Martech 데이터 분석 트렌드 1

CMP, PII, Data Clean Room에 대한 간단한 소개

작년 Commercial 데이터 분석 트렌드에 대해 글을 썼었다. 지인들이 보는 글이다 보니 내가 영국에서 무엇을 하고 있는지, 일에 대한 간단한 소회를 곁들이다 보니 글이 산으로 가버리더라. '다시 정리해서 글을 써야겠다...' 하고 눈을 떴는데 해가 바뀌었다. 미룰 때 이렇게 될 줄 알았다. 

아 후련하다

다행히 작년에 썼던 Privacy와 관련한 트렌드는 2021년도에도 지속되고 있다. 정확히 말하면 강화되었다. 작년까지 Privacy가 중요해지면서 기존에 데이터 분석과 활용에 있어 불가능해진 것들이 대두되었다면, 올해부터는 그렇게 불가능해진 일들에 대한 솔루션들이 대거 등장했다. 여기에 Advanced analytics, Digital Maturity 등 머신러닝과 전략적인 측면에 있어서도 흥미로운 흐름들이 만들어지고 있다. 

Privacy by Design

2018년 도입된 유럽의 GDPR (General Data Protection Regulation)은 Privacy 강화라는 큰 흐름에 마중물을 놓았다. 웹사이트나 모바일앱 사용 시 사용자의 동의 없이 데이터를 수집, 처리, 활용하는 것이 원칙적으로 금지된 것이다. 이는 페이스북, 구글 등 다양한 광고 플랫폼들에서 3rd party cookie를 통해 수집하던 것 외에도 1st party인 해당 웹사이트, 모바일앱이 데이터 분석/활용을 위해 수집하는 것 역시 금지된 것이다. 이를 어길 시 £17.5m (약 270억 원) 또는 연간 revenue의 4%에 해당하는 금액을 벌금으로 부과한다. 실제로 작년 영국항공에 40만 이상의 사용자 정보를 보호하지 못한 것에 대한 벌금으로 £20m (약 300억 원)을 부과되기도 했다. 

GDPR fine tracker @ www.coreview.com

GDPR이 무서운 점은 영국/유럽 웹서비스뿐만 아니라 영국/유럽 사용자들이 접속할 수 있는 해외 서비스에도 적용이 된다는 점이다. 즉, 영국/유럽 사용자를 대상으로 사업을 하는 한국 서비스에도 적용이 되기 때문에 옆집 불구경하듯이 생각하면 안 된다. 더군다나, GDPR는 CCPA (California Consumer Privacy Act)와 같이 다른 국가의 개인정보보호법에도 영향을 끼쳤다. 한국에서도 GDPR의 방향을 따라갈 가능성이 농후하다.

이것이 데이터 분석을 하는 입장에서 중요한 점은 GDPR을 위반하여 수집한 데이터는 사용이 불가능해질 것이라는 점이다. 즉, GDPR을 위반하여 그동안 수집한 과거 데이터는 처리/활용할 수 없기에 지금부터 데이터 수집 시 이를 염두에 두는 것이 필요하다. 따라서 제품 기획-디자인-개발-데이터 분석 등 제품과 관련된 모든 과정에 Privacy를 고려하는 Privacy by Design 개념은 이제 디지털 서비스가 존재하는 모든 곳에서 고려되어야 한다. 이번 글에는 이러한 Privacy by Design에  도움이 될 세 가지를 소개한다. 

1. Consent Management Platform (사용자 동의를 관리하는 플랫폼)

GDPR이 소개되면서 가장 먼저 시장에 등장한 것이 웹사이트/모바일앱에서 사용자의 동의를 관리하는 플랫폼이다. 가장 일반적으로 사용자의 동의를 받는 방법은 배너이다. 따라서 이러한 CMP는 1) 사용자의 명백한(explicit) 동의를 받는 배너 제공 2) 쿠키 활용 스캔/정리 3) 다양한 context에 따른 consent banner interaction 및 cookie management를 기본으로 제공한다. 가장 대표적인 사업자로는 OneTrust, CookieBot, Quantcast 등이 있다. 

기술적인 관점에서는 각 플랫폼이 하는 일이 비슷하다. 

OneTrust의 대표적인 consent banner

consent 정보가 없는 사용자가 방문 시 배너를 띄운다. 

사용자의 consent response를 1st party cookie에 저장한다. 

consent response에 따라 사전에 정의된 cookie group을 컨트롤한다. 

Tag management를 위해 브라우저 window에 dataLayer  event를 넣는다. 

기술적으로 구현이 어렵지 않기 때문에 한국에서도 조만간 다양한 CMP 사업자들이 등장하리라 생각한다. 아마 여기와 마찬가지로 Pricing이나 analytics, A/B testing와 같은 integration, optimisation 관점에서 차이가 있지 않을까 싶다. 참고로 이러한 방향은 웹에만 적용되지 않고 앱에도 동일하다. 최근 이슈가 되고 있는 애플의 ATT (App Tracking Transparency) 도 IDFA를 deprecation 한 뒤 이제 각 앱이 따로 사용자에게 tracking과 관해 동의를 받도록 할 예정이다. 

간단하게 한국의 몇 주요 웹사이트들을 살펴보니 대부분은 내 방문 이력이 동의 없이 수집되고 있었다. GDPR은 이를 불법이라 정의하고 과금한다. 그 방문 이력에 PII (개인을 식별할 수 있는 정보, Personally Identifiable Information)를 담고 있지 않아도 마찬가지이다. 동의 없는 내 방문 이력은 어디에 어떻게 저장하나 불법이다. 그래서 내가 한국 회사의 데이터 분석 책임자, Product owner, 데이터 좀 보는 마케터라면 지금부터 아래의 action item을 챙길 것 같다. 

---

+ GDPR을 준수하거나 이에 준하는 Consent banner 도입

+ Consent banner를 통해 명백하고 자발적인 동의를 얻은 사용자의 정보만 수집/처리/활용

+ 수집된 정보는 철저하게 우리 서비스 광고/개선에만 활용

+ 수집된 정보의 3자 제공 중단

+ 수집된 정보는 1st party storage에만 저장

---

2.  No more PII 

GDPR은 개인정보를 수집하는 Data Collector와 이를 활용할 수 있는 Data Processor의 개념을 분리한다. Data Collector는 Data Processor에게 사용자인 Data Subject의 데이터를 함부로 전달할 수 없다. 특히 한 사람을 특정할 수 있는 PII는 심지어 사용자의 동의가 있어도 함부로 Data Processor에게 전달할 수 없다. Data Processor의 대표적인 예로는 Google Analytics와 같은 분석툴이 있다. 따라서 구글은 이미 자신의 Terms of Service를 통해 PII를 자신들이 어떻게 해석하는지와 이런 PII가 Google Analytics 및 GMP Products에 저장되는 것을 강력하게 금지하고 있다. 적발 시엔 Terms of Service 위반으로 간주하고 종료, 즉 데이터 강제 삭제 등을 할 수 있음을 경고하고 있다.

구글이 보는 대표적인 PII의 예는 아래와 같다.

email addresses (이메일 주소)

mailing addresses (우편 주소)

phone numbers (전화번호)

precise locations (정확한 위치 - Google은 1 square mile 이하 면적을 지칭하는 정보를 PII라 본다)

full names or usernames (이름, ID)

예를 들면, 사용자들로부터 서비스 가입이나 뉴스레터 신청 시에 받는 이메일 주소를 Google Analytics를 저장하는 건 불가하다. 심지어 사용자의 동의가 있어도 말이다. 이에 GA, Adobe analytics를 쓰는 회사의 담당자라면 다음을 추천한다. 

---

+ Page level report에 가서 '@'로 필터링해보시길 바란다. 대부분의 PII는 URL의 querystring parameter를 통해 수집된다. 가끔 답 없이 page path에 그냥 수집하는 곳들도 있다. 허허.

+ GTM을 쓴다면 variable들 중에 PII에 해당되는 이름을 가진 것들이 있는지 확인해 보길. 예를 들어 variable 이름이 회원 이메일, 회원 이름, 회원 생년월일 등이 있다면 100%. 

+ GA를 쓴다면 reporting view로 가서 어떤 필터를 썼는지 확인해보라. '나는 이럴 줄 알고 view setting과 필터로 열심히 관리해왔지'라고 생각한다면 미안하지만 당신은 틀렸다. view setting과 필터는 구글 서버에 데이터가 가는 걸 막지 못한다. 즉, PII는 고스란히 구글 서버에 있는 것이므로 여전히 위반이다.

---

3. Data Clean Room

Death of cookies. 위에서 그리듯 구글, 페이스북, 마이크로소프트 등 디지털 광고 플랫폼에서 targeting과 tracking에 쿠키를 많이 써왔다. 내가 어떤 웹사이트에 방문했는지에 대한 정보를 구글이 아는 것은 그 웹사이트에 심긴 구글의 광고 코드(script)가 있기 때문이다. 이 광고 코드는 나의 브라우저에 Cookie라는 공간에 자신만이 알 수 있는 일정한 ID 값을 부여한다. 그 후로 나는 그 ID로 구글에게 정의되고 파악되어서, 구글의 광고 플랫폼을 쓰는 다른 광고주들에게 타깃으로 삼고 싶은 audience 정보 (i.e. 최근에 부동산 사이트를 다수 방문했음)로 제공된다. 정확하게는 나의 브라우저가 말이다.

ITP와 Chromium 80은 이런 브라우저, Cookie 기반의 ads tracking 시대의 종말을 알리는 서막이다. ITP는 Apple의 Safari 브라우저의 엔진인 Webkit이 사용자의 Privacy 보호를 위한 솔루션이다. 2018년에 발표한 2.0은 3rd party cookie를 사용한 attribution을 어렵게 했다면... 2019년 2월 발표한 2.1은 심지어 1st party cookie도 7일 안에 사용자가 해당 웹사이트를 다시 방문하지 않으면 지워버리는 무시무시한 내용을 담고 있다. 바로 이어서 발표한 2.2는 심지어 그 7일의 기간도 1일로 줄이겠다고 하고... 문제는 Chrome이나 Firefox 역시 이 방향으로 가고 있다는 점이다.

실제로 Chrome은 2020년 2월, Chromium 80을 통해 3rd party cookie와 1st party cookie의 안전성을 강화하겠다고 선언했다. Cookie가 “SameSite=None” 및 “Secure” attribute를 포함하지 않는 경우 다른 웹사이트에 의해 접근이 되지 않도록 한 것이다. cross-domain tracking을 하는 경우를 제외하고 1st party cookie는 크게 문제가 되지 않으나 많은 광고 플랫폼에서 사용하는 3rd party cookie의 경우에는 이 새로운 보안의 법칙에 영향을 받게 되었다. 이처럼 Cookie를 통한 광고 성과의 측정은 점점 신뢰도와 효과를 잃어갈 것이다라는 것이 업계의 전망이다.

The New Possibilities of an ID-Redacted World @mightyhive.com

이에 2020년 중순부터 등장하기 시작한 개념이 Data Clean Room이다. MightyHive 마케팅 부문 이사인 Myles Younger는 Data Clean Room은 데이터의 '스위스'라 설명한다. 데이터 A와 B 사이의 중립국, 안전지대라는 의미이다. 기존의 광고 플랫폼들이 쿠키에 저장한 ID값으로 사용자를 특정했다면, Data Clean Room은 위처럼 광고 플랫폼이 가지고 있는 데이터와 서비스에 수집된 데이터 사이의 교집합으로 특정하는 방식이다. 이 경우 쿠키를 사용할 필요가 없고, 두 Data Collector 모두 상호 간의 사용자를 식별할 수 있는 정보에 직접적으로 접근하지 않으며, 이 모든 것이 암호화되어 안전한 Data Clean Room에서 진행되기 때문에 Privacy 문제에 있어 안전하다. 

그렇다면 어떻게 실제에서 사용할 수 있을까? 현재로서는 각 광고 플랫폼들이 Data Clean Room에서 오는 데이터를 targeting에 공개적으로 허용하지는 않고 있다. 따라서 주로 measurement와 analysis 관점에서 사용된다. 예를 들어 Conversion campaign과 Awareness campaign에 모두 노출된 고객의 conversion rate이 어떻게 다른 지 등이다. 이러한 데이터들이 쌓이면 본격적으로 retargeting이나 likelyhood에 기초한 audience targeting을 선보일 것인데 이미 베타를 진행하고 있는 플랫폼도 있기 때문에 그리 멀지 않은 것으로 보인다. 우리 웹서비스를 방문한 사용자 중 conversion rate이 높을 것으로 예상되는 그룹을 retargeting 하는 것이 privacy-safe 하게 가능해진다는 말이다. 내가 한국 회사의 글로벌 마케팅 담당자라면 다음의 action을 취하겠다.

---

+ 당신의 디지털 캠페인이 쿠키에 기반한 것인지 확인해보라. 사실 이건 답정너다. 99% 그럴 것이고, 이는 당신의 캠페인이 이제 측정 가능하지 않고, 측정되더라도 부정확한 데이터에 기반할 위험에 빠져 있다는 의미다. 조직에 이러한 내용을 공유하라.

+ 구글의 ADH, 페이스북의 enterprise data-sharing service에 대해 찾아보고 공부한다.

+ Data Clean Room은 Taxonomy (데이터의 naming convention, categorisation을 일컫는 말)가 매우 중요하므로 현재의 taxonomy를 리뷰하고 개선한다. 

---

* 이 글은 개인적인 의견을 적은 글로 MightyHive의 공식적인 입장과 다를 수 있습니다.