다중 사이트 GDPR 및 CIPA 감사: 10개 이벤트 웹사이트 전반의 준수 문제 해결

Source: Dev.to

개요

대부분의 팀은 동의 배너가 보이기 때문에 준수하고 있다고 가정합니다.
이 사례 연구는 특히 공유 추적 인프라를 가진 여러 도메인을 관리할 때 그 가정이 얼마나 위험할 수 있는지를 보여줍니다.

프랑스에 기반을 둔 이벤트 회사가 트래픽이 높은 10개의 웹사이트를 운영하고 있었으며, GDPR‑FR, GDPR, CCPA, 그리고 CIPA 알림을 반복적으로 받은 후 연락을 취했습니다.

• CMP가 있었습니다.
• Google Tag Manager가 있었습니다.
• 자신들이 커버되고 있다고 생각했습니다.
• 실제로는 그렇지 않았습니다.

실제로 잘못된 점

10개 사이트 모두에서 동일한 문제가 발견되었습니다:

• 동의 이전에 트래커가 작동
  • Tag Manager 스크립트가 CMP 초기화보다 먼저 로드됨
  • 지역 기반 동의 규칙이 전혀 적용되지 않음
  • 미국 트래픽에 대해 세션 재생 도구가 활성화됨
  • 복제된 페이지가 깨진 추적 로직을 물려받음

브라우저 관점에서 보면, 동의는 전혀 존재하지 않았습니다.

CMP가 실패한 이유 (개발자 관점)

• CMP UI는 정상적으로 보였지만 순서가 깨졌습니다.
• 스크립트가 CMP 라이프사이클이 시작되기 몇 밀리초 전에 삽입됨.
• GTM의 커스텀 HTML 태그가 동의 검사를 완전히 우회함.
• 모바일 사용자는 자동으로 동의된 것으로 처리됨.
• 대시보드에는 “준수”라고 표시되었지만, 네트워크 탭은 그렇지 않음.

아무것도 깨뜨리지 않고 10개 사이트를 감사한 방법

페이지를 스캔하는 대신 런타임 동작에 집중했습니다:

• 페이지 로드 시 HAR 로그 캡처
• 스크립트 실행 순서 추적
• 동의 이전 페이로드 식별
• 도메인 간 동기화 호출 매핑
• 법적 위험에 따른 트래커 분류

이 접근법이 효과적인 이유는 브라우저는 거짓말을 하지 않기 때문입니다.

분석을 중단하지 않고 준수성 확보

목표는 추적을 제거하는 것이 아니라 제어하는 것이었습니다.

우리는 다음을 수행했습니다:

• CMP가 먼저 로드되도록 강제
• 모든 벤더를 기본적으로 차단
• GTM 발동 규칙 재구성
• EU와 US 트래픽을 구분
• 레거시 스크립트 제거

결과: 깨끗한 동의 집행과 정상적인 분석.

결과 (4주 내)

• 동의 이전 추적 100 % 제거
• 18 +개의 숨겨진 벤더 식별
• GDPR‑FR 및 CIPA 완전 준수
• 복구 후 새로운 알림 없음

더 중요한 것은 팀이 이제 자신들의 스택이 무엇을 하고 있는지 가시성을 확보했다는 점입니다.

교훈

준수 실패는 악의에서 비롯되는 경우가 드뭅니다.
보이지 않는 행동에서 비롯됩니다.

여러 사이트를 관리한다면 대시보드를 믿지 말고 네트워크 탭을 믿으세요.

전체 사례 연구: