한국의 개발자들을 위한 Google for Developers 국문 블로그입니다.
더 프라이빗한 웹 만들기: third party 쿠키를 사용하지 않는 방법
2020년 1월 23일 목요일
<블로그 원문은
이곳
에서 확인하실 수 있으며 블로그 번역 리뷰는 조은(Web GDE)님이 참여해 주셨습니다>
게시자:
Justin Schuh(
Director of
Chrome Engineering)
지난 8월, 우리는 웹에서의 개인정보 보호 수준을 근본적으로 향상하기 위한 표준 세트를 개발하고자 (Privacy Sandbox라는) 새로운 이니셔티브를
발표했습니다
. 이 오픈 소스 이니셔티브를 통해 웹을 더 프라이빗하게 만들고 유저를 보호하며, 퍼블리셔도 지원하는 것이 목표입니다. 오늘 업데이트된 계획을 제시하고 웹 브라우징의 개인정보 보호 수준 향상을 위해 개발자 여러분에게 도움을 청하고자 합니다.
웹 커뮤니티의 다양한 구성원과 이야기를 나눈 후, 지속적인 개선과 의견 수렴 과정을 거치면서 개인정보 보존과 Privacy Sandbox 같은 오픈 스탠다드 메커니즘을 통해 third party 쿠키를 사용하지 않도록 하는 방식으로 건전하면서 광고 지원을 받는 웹을 지속시킬 수 있다는 확신을 얻었습니다.
이런 접근방식은 유저, 퍼블리셔, 광고주의 요구와 이어지며 차선책으로 이동하는 도구를 개발하여 Chrome에서 third-party 쿠키 지원을 단계적으로 중단하고자 합니다. 우리는 이 작업을 2년 내로 끝내고자 합니다. 하지만 우리만으로는 목표에 도달할 수 없으며, 생태계의 구성원 모두 이러한 제안에 적극적으로 동참해주셔야합니다. 올 해 말까지는 첫 시범 운영에 돌입할 계획으로, 전환율을 평가하여 개인이 설정하는 방식으로 진행하고자 합니다.
사용자들은 데이터 사용 방식에 대한 투명성, 선택의 자유를 포함 하여 더 강력한 개인정보 보호를 요구하고 있으며 이처럼 늘어나는 요구를 충족시키기 위해 웹 생태계가 진화해야한다는 점은 분명합니다. 일부 브라우저는 third-party 쿠키를 차단하여 이런 문제에 대응했지만 애초 의도와는 달리 사용자와 웹 생태계에 모두 부정적인 영향을 주는 결과로 귀결될 수 있다고 생각합니다. 쿠키에 단순한 접근 방식을 취하면 광고가 수익 모델인 많은 웹사이트 비즈니스 모델 기반이 악화되므로, 사용자의 개인정보 보호와 통제권을 실제로 약화시키는 디지털 지문 (쿠키를 대체하기 위해 널리 퍼진 차선책) 같은 불투명한 기술을 사용하도록 유도합니다. 우리는 커뮤니티로써 더 나은 방법으로 문제를 해결할 수 있고, 또 그래야 한다고 믿습니다.
다행히도, 우리는 W3C와 같은 포럼에서 Privacy Sandbox의 기초를 이루는 메커니즘이 주요 사용 사례를 대변하고 올바른 방향으로 가고 있다는 긍정적인 의견을 받았습니다. 이런 의견과 다른 표준 참가자로부터 받은 관련 제안을 통해, 우리는 이 공간에서의 솔루션이 효과를 발휘할 수 있으리라는 자신감을 얻습니다. 대안을 만들어
Flash
와
NPAPI를 단계적으로 지원 중단
하기 위해 표준 커뮤니티와 함께 일한 경험은 우리가 함께 힘을 합쳐 복잡한 문제를 해결할 수 있다는 사실을 입증해 주었습니다.
우리는 또한 현행 웹 기술이 더욱 안전하고 개인정보를 철저히 보호하는 기술이 되도록 하기 위한 노력을 계속해 나갈 것입니다. 이전에 발표했듯이, Chrome은 2월부터는 SameSite 라벨을 포함하지 않은 쿠키를 same-site 전용으로 취급함으로써 안전하지 않은 cross-site 추적을 제한할 예정이며, 현재 사이트용으로 라벨이 지정된 쿠키에는 HTTPS를 통해 액세스해야 하도록 조치할 것입니다. 그러면 third-party 쿠키가 더욱 안전해져 더욱 정밀한 브라우저 쿠키 제어 권한을 사용자에게 제공할 수 있을 것입니다. 그와 동시에, 우리는 이런 종류의 기만적이고 침입적인 기술을 사용하지 못하도록 하기 위한 새로운 디지털 지문 방지 대책을 실행함으로써 은밀한 추적과 우회 접근을 감지하고 저지하기 위한 기술을 개발하는 중이며, 올해 말에 이런 대책을 실행할 수 있기를 바랍니다.
우리는 브라우저, 게시자, 개발자 및 광고주가 이런 새로운 메커니즘으로 실험해보고 다양한 상황에서 효과가 있는지 테스트하고, 광고 선택 및 측정, 서비스 거부(DoS) 방지, 스팸/사기 방지, 페더레이션 인증을 포함하여 다양한 지원 구현 기술을 개발할 기회를 갖도록 생태계 전반에 걸쳐 능동적으로 일하고 있습니다.
우리는 더욱 신뢰할 만하고 지속 가능한 웹을 함께 빌드하고자 하며, 이를 위해서는 개발자 여러분의 지속적인 참여가 필요합니다. GitHub를 통해
웹 표준 커뮤니티
제안에 관한
의견
을 적극적으로 개진해 주시고 귀하의 요구에 부응하는지 확인해 주시기 바랍니다. 미흡하다고 생각하시면, GitHub를 통해 문제를 제기하거나 W3C 그룹으로
이메일
을 보내주세요. 웹에 의존해 비즈니스를 하는 분이라면, 기술 벤더가 이 프로세스에 참여하도록 하고 귀하의 이익을 대변하는 트레이드 그룹과 의견을 나누시기 바랍니다.
우리는 웹 브라우징의 개인정보 보호 수준을 높이기 위한 노력의 진척 상황을 누구나 확인할 수 있도록 계속 관련 정보를 게시하겠습니다.
개발자를 위한 새로운 SameSite=None; 보안 쿠키 설정에 대비하기
2020년 1월 14일 화요일
<블로그 원문은
이곳
에서 확인하실 수 있으며 블로그 번역 리뷰는 조은(Web GDE)님이 참여해 주셨습니다>
게시자: Barb Palser, Google
Chrome and Web Platform Partnerships
지난 5월, Chrome은 새로운 쿠키 분류 시스템(
스펙
)에서 사용할 수 있는 쿠키에 대한 안전 기본 모델(secure-by-default)을
발표
했습니다. 이 이니셔티브는 웹에서 개인정보 보호 및 보안을 개선하기 위한
우리의 노력
중 하나입니다.
Chrome은 2020년 2월에 릴리즈되는 Chrome 80 버전에 새 모델을 구현할 예정입니다. Mozilla와 Microsoft도 각자의 일정에 맞추어 Firefox와 Edge에 새 모델을 구현하겠다고 밝혔습니다. 아직 Chrome의 모델 변화까지 몇 달 남아있지만, 쿠키를 관리하는 개발자는 현재 준비 태세를 평가해보아야 합니다. 이 블로그 게시물에서는 높은 수준의 개념을 설명하며, 개발자 가이드는 web.dev의
SameSite Cookies Explained
를 참고하세요.
Cross-site, same-site 쿠키 컨텍스트 이해하기
웹사이트에서는 일반적으로 광고, 콘텐츠 추천, 서드 파티 위젯, 소셜 임베드 및 다른 기능을 위한 외부 서비스를 통합합니다. 웹을 탐색할 때 이러한 외부 서비스가 브라우저에 쿠키를 저장한 후 개인화된 환경을 제공하거나 고객 참여도를 측정하기 위해 해당 쿠키에 접근할 수 있습니다. 모든 쿠키에는 쿠키와 연결된 도메인이 있습니다. 쿠키와 연결된 도메인이 사용자 주소 표시줄에 표시된 웹 사이트가 아닌 외부 서비스와 일치하는 경우, 이 도메인은 cross-site(또는 “third party”) 컨텍스트로 다루어집니다.
덜 명확한 cross-site 사용 사례 중 하나로 여러 웹사이트를 소유한 엔티티가 같은 속성에 걸쳐 쿠키를 사용하는 상황이 있습니다. 비록 같은 엔티티가 쿠키와 웹사이트를 소유하고 있지만 쿠키의 도메인이 쿠키가 접근하는 사이트(들)와 일치하지 않을 때는 여전히 cross-site 또는 “third party" 컨텍스트로 다루어집니다.
웹 페이지 상의 외부 리소스가 사이트 도메인과 일치하지 않는 쿠키에 접근할 때, 이를 cross-site 또는 “third party" 컨텍스트라고 합니다.
반대로 same-site (또는 “first party") 컨텍스트에서 쿠키 접근은 쿠키의 도메인이 사용자 주소 표시줄에 표시된 웹사이트 도메인과 일치할 때 발생합니다. same-site 쿠키는 개별 웹사이트에 로그인한 사용자의 로그인 상태를 유지하고, 사용자의 기본 설정을 기억하거나 사이트 분석을 지원하는 데 널리 사용됩니다.
웹 페이지 상의 리소스가 유저가 접속한 사이트와 일치하는 쿠키에 접근한 경우, 이를 same-site 또는 “first-party” 컨텍스트라고 합니다.
쿠키 보안과 투명성을 위한 새로운 모델
현재, same-site 컨텍스트에서만 쿠키에 접근 가능하게 하기 위해, 개발자는 두가지 설정 중 (SameSite=Lax 또는 SameSite=Strict) 하나를 적용할 수 있습니다. 하지만 극소수의 개발자만 이 권장 사항을 따르므로 대부분의 same-site 쿠키가
cross-site 요청 위조 (CSRF)
공격 같은 위협에 불필요하게 노출됩니다.
더 많은 웹사이트와 유저들을 보호하기 위해 새로운 안전 기본 모델(secure-by-default)에서는 별도로 명시하지 않는 한 모든 쿠키를 외부 접근으로부터 보호하는 것으로 가정합니다. 개발자는 새로운 쿠키 설정인 SameSite=None 을 사용하여 cross-site 접근을 위한 쿠키를 설정해야합니다. SameSite=None 속성이 존재할 때 HTTPS 연결에서만 cross-site 쿠키를 사용하도록 추가로 Secure 속성을 사용해야합니다. 이를 통해 cross-site 접근과 관련한 위험이 완화되지는 않지만 네트워크 공격에 대한 보호 기능은 제공됩니다.
당장 눈에 보이는 보안 이점을 넘어서 cross-site 쿠키를 명시적으로 선언하면 더 나은 투명성과 유저 선택을 지원할 수 있습니다. 예를 들어 브라우저는 유저에게 여러 사이트 사이에 접근하는 쿠키와는 별개로 단일 사이트에서만 접근하는 쿠키를 관리하는 디테일한 제어 기능을 제공할 수 있습니다.
2020년 2월부터 Chrome에 적용됩니다.
Chrome에서는 2월 공개될 예정인 Chrome 80부터 SameSite 값을 선언하지 않은 쿠키를 SameSite=Lax 쿠키로 취급합니다. 보안 접속을 제공하는 경우에 SameSite=None; Secure 설정을 가진 쿠키에 접근하는 경우에만 외부 접근이 가능합니다. SameSite=None 및 Secure 에 대한 Chrome Platform Status 트래커는 최신 출시 정보에 맞추어 계속 업데이트될 것입니다.
Mozilla는 Firefox에서 cross-site 쿠키에 대한 SameSite=None; Secure
요구사항의 구현
과 새로운 쿠키 분류 모델을 지원하겠다는 의사를 밝혔습니다. Microsoft는 최근 Microsoft Edge 80에 우선 실험적으로 이 모델을 구현하기 시작하겠다는 계획을
발표
했습니다.
어떻게 준비해야하나요 - 이미 알려진 복잡한 작업들
Cross-site 쿠키를 관리하는 경우 SameSite=None; Secure 설정을 이러한 쿠키에 적용해야 합니다.
대부분의 개발자들에게는 구현이 간단하겠지만, 아래와 같은 복잡하고 특별한 케이스를 찾아내기 위해 지금 당장 테스트를 시작하는 걸 강력히 권장합니다
아직 None 값을 지원하지 않는 언어와 라이브러리가 있으므로, 쿠키 헤더에 개발자가 직접 None 값을 설정해야합니다. 이
Github 저장소
에서는 다양한 언어, 라이브러리, 프레임워크에서
SameSite=None
; Secure 구현을 위한 안내를 제공합니다.
일부 버전의 Chrome, Safari, UC Browser를 포함한 일부 브라우저에서는 None 값을 의도하지 않은 방식으로 처리할 수 있으므로 개발자가 이런 클라이언트를 위한 예외 케이스를 만들어야할 수 있습니다. 이전 버전의 Chrome을 사용하는 Android WebView가 이 케이스에 포함됩니다. 알려진
호환 불가능 클라이언트
목록을 확인해 보세요.
추후에 Android WebView에 새로운 쿠키 모델이 적용되겠지만, 앱 개발자는 HTTP(S) 헤더와 Android WebView의
CookieManager API
를 사용해 접근하는 쿠키에 대해 모두 None 값을 지원하는 Chrome 버전을 기준으로 Android WebView에 알맞는 쿠키 설정을 해야합니다.
SSO(Single Sign-On) 또는 내부 애플리케이션과 같은 일부 서비스가 2월 출시 일정에 맞춰 준비되지 않을 경우, 엔터프라이즈 IT 관리자는 Chrome 브라우저를 레거시 동작으로 임시로 되돌리기 위한
특별 정책
을 구현해야 할 수도 있습니다.
first-party 와 third-party 컨텍스트에 모두 접근하는 쿠키가 있는 경우, same-site 컨텍스트에서 SameSite=Lax의 보안 이점을 누리기 위해 별개의 쿠키를 사용하는 방법을 고려할 수도 있습니다.
SameSite Cookies Explained
에서 위와 같은 상황에 대한 구체적인 안내와 문제 제기 및 질문을 위한 채널을 제공합니다.
Chrome의 새로운 동작이 사이트 또는 쿠키에 미치는 영향을 테스트하려면 Chrome 76 이상에서 chrome://flags로 이동하여 'SameSite by default cookies' 및 'Cookies without SameSite must be secure' 실험실 기능을 사용할 수 있습니다. 또한 이런 실험실 기능은 Chrome 79 베타 사용자 중 일부에게는 자동으로 활성화됩니다. 실험실 기능이 활성화된 베타 버전의 일부 사용자는 아직 새 모델을 지원하지 않는 서비스를 사용할 때 비호환성 문제를 겪을 수도 있습니다. 그럴 때는 chrome://flags로 이동해 베타 실험실 기능을 비활성화하면 선택 해제할 수 있습니다.
Same-site 컨텍스트에서만 접근되는 쿠키(same-site 쿠키)를 관리하는 경우 개발자 측에서 필요한 조치 사항은 없습니다. SameSite 속성이 누락되었거나 아무런 값도 설정되어 있지 않더라도 Chrome이 외부 항목에서 이런 쿠키에 접근하지 못하도록 자동으로 차단할 것입니다. 하지만 모든 브라우저에서 same-site 쿠키를 기본적으로 보호하는 것은 아니므로, 알맞은 SameSite 값(
Lax
또는
Strict
)을 반드시 적용하고 브라우저의 기본 동작에 의존하지 않는 것이 좋습니다.
마지막으로, 웹사이트에 서비스를 제공하는 벤더와 다른 사업자의 준비 상태가 걱정될 경우, 필수 설정이 누락된 cross-site 쿠키가 페이지에 들어 있을 때 Chrome 77 이상에서 Developer Tools 콘솔에서 경고 를 확인할 수 있습니다.
(일부 Google 서비스를 포함한) 일부 공급자는 2월에 Chrome 80이 출시될 때까지 남은 몇 개월간 필요한 변경 사항을 구현할 것입니다. 파트너에게 연락해 그들의 준비 상황을 확인해 볼 수도 있을 것입니다.
제5회 구글플레이 인디 게임 페스티벌이 개최됩니다!
2020년 1월 9일 목요일
국내 중소 게임 개발사의 해외 진출 및 비즈니스 경쟁력 강화를 지원하는 ‘제5회 구글플레이 인디 게임 페스티벌’이 개최됩니다!
구글플레이 인디 게임 페스티벌은 무한한 가능성을 지닌 국내 인디 게임 개발사를 발굴하고 건강한 모바일 게임 생태계 활성화를 지원하기 위해 지난 2016년 세계 최초로 한국에서 개최됐는데요. 이후 미국, 유럽, 동남아시아 등으로 프로그램이 확산됐습니다. 한국에서는 4회에 걸쳐 1,000여 개발사가 구글플레이 인디 게임 페스티벌에 참가해 무려 1,200개 이상의 게임을 출품했습니다!
한편 작년 구글플레이 인디 게임 페스티벌에서 Top 3 개발사로 선정된 ‘반지하게임즈(서울 2033: 후원자)’, ‘스튜디오 냅(카툰 크래프트)’, ‘핸드메이드 게임(룸즈: 장난감 장인의 저택)’은 국내외 시장에서 인디 게임의 혁신성과 저력을 보여주며 국내 인디 게임의 위상을 높이고 있는데요.
서울 2033: 후원자는 텍스트 기반의 어드벤처 게임이라는 독특한 장르로 많은 유저들에게 사랑받으며 구글플레이가 선정한 ‘2019 올해를 빛낸 인디 게임'에 선정됐습니다. 해외 유저 비율이 약 88%에 달하는 카툰 크래프트와 총 매출 중 해외 매출 비중이 약 60%를 차지하고 있는 룸즈: 장난감 장인의 저택은 국내뿐만 아니라 미국, 일본 등 해외 시장에서도 쾌거를 이루고 있습니다.
국내외에서 흥행을 거두며 승승장구하고 있는 세 개발사에게 앞으로도 많은 관심 부탁드립니다!
구글플레이 게임 액셀러레이터 어워드(Google Play Games Accelerator Awards) 신설
이번 인디 게임 페스티벌에서는 기존 Top 3, Top 10, Top 20 이외에 구글플레이 게임 액셀러레이터 어워드가 신설돼 개발사 혜택이 더욱 확대됐는데요.
Top 20 중 2개 개발사는 구글플레이 액셀러레이터 프로그램에 참여할 수 있는 기회를 얻어 6개월 간 구글 전문가로부터 개발 지원을 받게 됩니다. 구글플레이 액셀러레이터 프로그램은 높은 잠재력을 갖고 있는 중소 게임 개발사가 안드로이드 생태계에서 성장을 가속화할 수 있도록 지원하는 프로그램입니다.
이 프로그램의 일환으로 개발사는 미국 샌프란시스코와 싱가포르에서 진행되는 부트캠프에 초대돼 각각 1주일, 3일 동안 구글 및 게임 업계 전문가의 맞춤형 멘토링을 받을 예정입니다. 부트캠프에서는 게임 개발, 디자인, 비즈니스 개발, 유저 확보 및 수익화, 게임 테스팅 워크샵, 리더십 트레이닝 등 다양한 세션이 진행됩니다.
더욱 확대된 참여 기회...50인 이하 국내 게임 개발사 누구나 지원 가능
또한 올해는 보다 많은 국내 중소 게임 개발사의 참여를 독려하기 위해 인디 게임 페스티벌 참여 기회가 확대됐습니다. 기존 직원 30인 이하 기준에서 50인 이하 국내 게임 개발사로 확대됐으며 구글플레이에 게임을 출시하지 않아도 베타 버전으로 참가 신청이 가능합니다.
게임 유저 및 업계 전문가와 직접 소통할 수 있는 결승 이벤트
구글플레이 인디 게임 페스티벌 결승 이벤트는 오는 4월 25일 서울에서 개최됩니다!
혁신성, 재미, 디자인, 기술력과 품질을 기준으로 사전심사를 거쳐 선정된 Top 20 개발사는 결승 이벤트 현장 부스에서 유저와 업계 전문가들에게 직접 게임을 선보일 예정입니다. 당일 현장에서 일반 유저 심사위원단과 전문가 심사위원단의 투표를 통해 Top 10 개발사에게 프레젠테이션 기회가 주어지며, 프레젠테이션 후 심사위원단의 의견을 종합해 Top 3 개발사가 선정됩니다.
국내 중소 게임 개발사의 비즈니스 성장 및 해외 진출 돕는 체계적⬝실질적 혜택 제공
Top 20 개발사는 결승 이벤트 참여 기회와 함께 ▲구글 플레이스토어 내 ‘플레이 인디’ 및 ‘인디 게임 페스티벌 Top 20 특집’ 코너에 게임 소개 ▲유튜브 크리에이터 영상 내 게임 소개 ▲프레젠테이션 트레이닝 등의 혜택을 받습니다.
Top 10 개발사는 Top 20 개발사 혜택에 추가로 ▲구글 플레이스토어 ‘인디 게임 페스티벌 Top 10 특집’ 코너에 게임 소개 ▲플레이 인디 코너에 인디 게임 페스티벌 Top 10 수상자 개별 인터뷰 게재 ▲구글 전문가의 그룹 컨설팅을 제공받습니다.
최우수작으로 선정되는 Top 3 개발사에게는 구글플레이 게임 홈페이지 메인 배너⋅금주의 신규 추천 게임 콜렉션 등 구글 플레이스토어 내 다양한 노출 기회가 주어집니다. 또한 Top 10 개발사 혜택에 추가로 ▲플레이 인디 코너 내 에디터 추천 게재 ▲Top 3 개발사 별 유튜브 크리에이터 게임 소개 영상 제작 및 플레이 인디 코너 내 크리에이터 추천 게재 등 게임 홍보 마케팅 지원 ▲구글 전문가의 기술 및 비즈니스 맞춤 컨설팅 ▲최신 안드로이드 기기 1대 ▲게임 개발 지원금도 제공됩니다.
제5회 구글플레이 인디 게임 페스티벌 참가를 원하는 게임 개발사는 1월 9일 오후부터 3월 2일까지
공식 웹사이트
를 통해 지원할 수 있습니다. Top 10과 Top 3 개발사는 4월 25일에 개최되는 결승 이벤트에서 선정될 예정입니다.
참가 자격과 수상 혜택 등에 대한 더 자세한 내용은 제5회 구글플레이 인디 게임 페스티벌
웹사이트
에서 확인해보세요! 올해에도 다양한 장르의 혁신적인 게임을 선보일 구글플레이 인디 게임 페스티벌에 많은 관심과 응원 부탁드립니다!
Contents
ML/Tensorflow
Android
Flutter
Web/Chrome
Cloud
Google Play
Community
Game
Firebase
검색
Tag
인디게임페스티벌
정책 세미나
창구프로그램
AdMob
AI
Android
Android 12
Android 12L
Android 13
Android 14
Android Assistant
Android Auto
Android Games
Android Jetpack
Android Machine Learning
Android Privacy
Android Studio
Android TV
Android Wear
App Bundle
bootcamp
Business
Chrome
Cloud
Community
compose
Firebase
Flutter
Foldables
Game
gdg
GDSC
google
Google Developer Student Clubs
Google Play
Google Play Games
Interview
Jetpack
Jetpack Compose
kotlin
Large Screens
Library
ma
Material Design
Material You
ML/Tensorflow
mobile games
Now in Android
PC
Play Console
Policy
priva
wa
wear
Wearables
Web
Web/Chrome
Weeklyupdates
WorkManager
Archive
2024
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2023
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2022
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2021
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2020
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2019
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2018
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2017
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2016
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2015
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2014
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2013
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2012
12월
11월
10월
9월
8월
7월
6월
5월
3월
2월
1월
2011
12월
11월
Feed