거대 기술 기업은 사용자 선택을 무시하고 "쿠키 거부"를 클릭해도 아무 작업도 수행되지 않을 수 있습니다.

캘리포니아에 본사를 둔 독립 감사 기관의 새로운 보고서에 따르면 지난 몇 년 동안 웹사이트에 나타나 사용자가 광고 추적 여부를 "선택"할 수 있다고 주장하는 쿠키 동의 팝업은 실제로 많은 경우 쓸모가 없습니다. 사용자가 명시적으로 "거부"를 클릭하더라도 Google, Microsoft 및 Meta를 포함한 대규모 광고 기술 회사는 여전히 평소처럼 추적 쿠키를 설치하고 "저비용" 옵션으로 수십억 달러에 달하는 벌금을 지불할 것입니다.

감사 기관인 webXray가 발표한 2026년 3월 감사 보고서에서는 캘리포니아 사용자가 웹사이트를 방문할 때 기술 대기업이 일반적으로 사용자의 쿠키 거부 신호를 무시하고 크로스 사이트 쿠키를 통해 사용자 행동을 계속 추적한다는 점을 지적했습니다. Google, Microsoft 및 Meta는 모두 이 결론에 대해 이의를 제기합니다. 이러한 쿠키 팝업은 웹사이트가 광고를 제공하거나 쿠키를 추적하기 전에 사용자로부터 명시적인 동의를 얻도록 요구하는 유럽 개인정보 보호 규정에 따라 만들어졌습니다.

수년간 사용자들이 "모호한 콘텐츠와 클릭 유도" 및 "사람들은 기본적으로 직접 읽지 않는다"고 불평한 후, 유럽 규제 당국은 최근 쿠키 규칙을 단순화하도록 추진했지만 webXray의 최근 감사에서는 실제 상황이 여전히 낙관적이지 않은 것으로 나타났습니다. 캘리포니아 사용자를 대상으로 한 샘플 테스트에서는 사용자가 "거부"를 클릭한 후에도 웹사이트의 55%가 여전히 쿠키를 설정했으며, 쿠키 동의 팝업 중 78%는 사용자의 선택을 기술적으로 구현하지 않고 단지 장식에 불과했습니다. webXray는 현재의 규칙을 엄격하게 준수할 경우 이러한 광고 기술 회사가 약 58억 달러의 벌금을 지불해야 할 수도 있지만 "먼저 추적한 다음 벌금으로 비용을 계산"하는 것을 선호하는 것으로 추정합니다.

감사 결과에 따르면 Google 또는 Microsoft 광고 네트워크를 사용하는 웹 사이트에서는 시스템이 사용자 거부 신호를 명시적으로 수신하더라도 광고 기술 구성 요소가 사용자 장치에 쿠키를 배치하라는 지침을 계속 발행하는 것으로 나타났습니다. webXray는 이러한 행위를 공공망 트래픽 기록을 통해 추적하였고, 관련 업체들이 이를 거의 숨기지 않는다고 믿었으나 계속해서 공개적으로 추적해 왔습니다. 구체적인 데이터 측면에서 마이크로소프트의 광고 네트워크는 '거부' 신호의 약 절반을 무시하고 고객 웹사이트의 35%에서 사용자를 계속 추적해 약 3억9천만 달러의 벌금을 부과했다.

Google의 상황은 훨씬 더 심각합니다. 감사에 따르면 Google은 거부 요청의 86%를 무시했으며 웹사이트의 77%에서 사용자 행동을 계속 기록했으며 이는 잠재적으로 23억 1천만 달러의 벌금에 해당합니다. 동시에 Meta의 구현은 "거부 신호를 전혀 확인하지 않는다"는 이유로 비판을 받았습니다. Meta의 추적 코드는 기술적으로 사용자의 통합된 거부 지침을 전혀 확인하지 않는 것 같습니다. 종료 신호를 감지한 사이트 중 69%는 여전히 이를 무시하고 21%는 계속 추적합니다. webXray는 Meta가 이에 대해 최대 93억 달러의 벌금을 지불했을 것으로 추정합니다.

webXray의 창립자이자 CEO인 Timothy Libert는 이전에 Google에서 개인 정보 보호 엔지니어로 근무했습니다. 그는 404 미디어와의 인터뷰에서 재임 기간 동안 회사 임원들이 '세금'과 '벌금'을 명확하게 구분하지 않는 경우가 많았다고 말했습니다. 이는 일부 비즈니스 결정에서 벌금이 피해야 하는 규정 준수 위험이 아니라 예측 가능하고 수용 가능한 운영 비용으로 간주되었음을 의미합니다.

감사 결론에 직면한 3대 기업은 모두 보고서가 자신들의 기술이 어떻게 구현되었는지 '오해'했다고 반박했다. Microsoft는 일부 쿠키가 웹사이트 기능에 매우 중요하며 단순히 광고 추적 도구로 간주될 수 없다고 밝혔습니다. Meta는 특정 기술 구성 하에서 웹사이트 자체가 통합 종료 신호를 무시하거나 수정할 수 있다는 점을 강조했습니다. 이는 책임의 일부가 플랫폼 코드 자체가 아닌 웹사이트 운영자에게 있음을 암시합니다. 그러나 webXray의 관점에서는 현재의 실제 구현 결과와 감독의 원래 의도 사이에는 분명한 차이가 있으며, 이는 사용자가 인내심을 갖고 팝업 창을 읽고 "거부"를 선택하더라도 여전히 개인 정보 보호 권리를 진정으로 보호하기 어렵다는 것을 의미합니다.