개요

2018년 BuzzFeed News는 부정 광고 해킹 스킴이 수백만 명의 Android 사용자 데이터에 영향을 끼치고 있음을 보도했습니다. SDK 스푸핑과 봇 해킹을 교묘하게 결합한 이 광고 해킹 스킴은 광고주와 네트워크로부터 수백만 달러를 탈취해 갔습니다. 그러나 이는 빙산의 일각에 불과합니다. 광고 해킹은 최근 모바일 광고 분야에서 심각성이 급격히 높아진 문제입니다.

Adjust는 모바일 광고 해킹 분석 가이드에서 모바일 광고 해킹이 모바일 광고 업계에 어떠한 타격을 주는지 보고한 바 있습니다. 다행히 데이터 세트를 왜곡하는 광고 해킹은 사전 차단을 통해 예방할 수 있는 문제입니다.

모바일 광고 해킹이란?

모바일 광고 해킹에는 다양한 유형이 있으며, 계속해서 진화하고 있습니다. 광고 해킹은 모든 유형의 앱을 공격하여 큰 손실을 야기합니다. 따라서, 광고 해킹 예방 및 차단 솔루션을 제공하고, 업데이트하는 모바일 측정 파트너와의 협업이 필수적입니다.

1장: 클릭 해킹

모바일 클릭 해킹의 유형

모바일 광고 해킹은 총 4가지 유형(클릭 스팸, 클릭 인젝션, SDK 스푸핑, 허위 설치)으로 분류됩니다. 아래에서 각 광고 해킹 유형에 대해 상세히 살펴보도록 하겠습니다.

클릭 스패밍

클릭 스팸은 실제로는 사용자가 클릭을 하지 않았으나 마치 클릭을 한 것처럼 보이게 하여, 무작위 설치에 대한 크레딧을 탈취하는 광고 해킹 유형입니다.

클릭 스팸은 사용자가 모바일 웹 페이지에 랜딩하거나, 가짜 클릭에 악용되는 SDK가 내장된 앱을 실행할 때 시작되며, 다양한 방식으로 이루어 집니다.

클릭 스패밍 방식:

  • 모바일 웹 페이지가 사용자가 인지하지 못하는 사이 광고를 통해 백그라운드 상태에서 클릭 스패밍을 시작.
  • 사용자의 앱 사용 시 백그라운드에서 허위 클릭을 발생 시켜, 광고에 반응한 것처럼 보이게 함.
  • 백그라운드에서 24시간 내내 작동하는 시작 프로그램, 메모리 정리 앱, 배터리 절약 앱 등에 잠복하여 언제든지 클릭 생성 가능.
  • 노출을 클릭으로 가장하여 전송함으로써 사용자가 광고에 참여한 것처럼 보이게 함.
  • 허위 또는 수집된 기기 ID를 통해 트래킹 업체에 클릭을 전송.

모든 클릭 스팸은 허위 인게이지먼트 생성을 목적으로 합니다.

클릭 스패밍의 영향

클릭 스팸은 오가닉 트래픽뿐만 아니라 정당한 소스에서 발생한 트래픽도 교묘하게 탈취합니다. 따라서 적절한 예방 시스템이 없다면 부정 유료 채널의 트래커에 부당하게 어트리뷰션되어, 클릭 스팸이 해당 설치에 대한 크레딧을 편취할 것입니다. 또한, 초기에 클릭 스팸을 발견하지 못하면 앱 전체의 어트리뷰션을 심각하게 왜곡하여, 광고주가 이미 획득한 오가닉 사용자나 기타 채널을 통해 획득된 사용자를 트래킹하는데 상당한 시간을 허비하게 만들 수 있습니다.

클릭 스팸은 광고주에게 큰 손실을 입힙니다. 가장 큰 문제는 광고주가 클릭 스팸을 파악하지 못한 경우 오가닉 설치에도 비용을 지불하게 되어, 예산이 낭비된다는 것입니다. 이 외에도 클릭 스팸으로 인한 피해에는 다음과 같은 것들이 있습니다.

  • 오가닉 설치 수 왜곡

    클릭 스패밍은 오가닉 사용자를 탈취하기 때문에 앱의 전체 오가닉 사용자 수를 정확하게 측정할 수 없게 되어 내부 코호트 분석에 악영향을 줍니다. 또한, 브랜딩이나 언론 보도와 같은 마케팅 채널이 유치한 오가닉 사용자를 왜곡하여 채널 기여도가 낮게 평가될 것입니다.

  • 잘못된 데이터에 기반한 UA 전략

    오가닉 사용자에 대한 잘못된 데이터는 UA 전략 및 의사결정에도 부정적인 영향을 미칩니다. 광고 네트워크가 앱 내에서 좋은 성과를 보인 오가닉 사용자를 클레임하면, 광고주는 같은 유형의 사용자를 더 많이 확보하기 위해 해당 채널에 대한 투자를 확대할 것입니다. 결국, 오가닉 사용자 또는 마케팅 채널에서 유입된 사용자에 대한 비용을 잘못된 소스에 지불하는 악순환이 반복됩니다.

  • 실효성 높은 채널 간과

    클릭 스패밍을 감지하지 못한다면, 오가닉 트래픽을 탈취한 부정 광고 캠페인이 정상 캠페인보다 성과가 더 높게 나타날 것입니다. 광고주는 계속해서 잘못된 채널에 예산을 할당하고, 실효성 높은 캠페인을 통해 얻을 수 있는 ROI를 놓치게 될 것입니다.

클릭 인젝션

클릭 인젝션은 클릭 스팸이 정교하게 진화된 형태로, Android 기기에 특화된 방식입니다. 해킹 주체는 사용자 기기에 앱을 심어두고 다른 앱이 다운로드 되는 시점을 감지하여, 새 앱의 설치가 완료되기 전(앱이 실행되기 전)에 인게이지먼트를 주입하여 설치 크레딧을 편취합니다. 이러한 방식으로 오가닉 설치 및 정상 소스에서의 광고로 발생한 설치까지도 가로챌 수 있습니다.

즉, 클릭 인젝션은 설치당 비용(CPI)이나 획득당 비용(CPA)을 탈취하기 위해 CPI를 클레임할 수 있는 정확한 시점에 앱을 통해 인게이지먼트를 주입합니다. 이에 따라 마케터들이 참고하는 데이터가 오염되고, 예산 낭비를 초래합니다.

SDK 스푸핑

SDK 스푸핑(트래픽 스푸핑 또는 리플레이 공격이라고 불리기도 함)은 실제 기기 데이터를 사용하여 마치 진짜처럼 보이는 설치와 클릭을 만드는 기법입니다.

SDK 스푸핑은 트래킹 SDK와 백엔드 서버 간의 통신을 SSL 암호화하는 기능에 침입합니다. 이를 통해 특정 앱 행동을 나타내는 URL 콜을 해독하고, 광고 클릭, 설치 및 기타 유형의 인앱 인게이지먼트 크레딧을 얻을 때까지 클레임을 시도합니다. SDK 스푸핑 주체는 허위 인게이지먼트를 무한대로 생성할 수 있습니다.

허위 설치

가짜 앱 설치, 전환 이벤트 및 기타 유형의 인게이지먼트를 생성하는 광고 해킹 방식입니다.

  • 공장형 디바이스 팜

    공장에서 수많은 근로자가 수십여 개의 스마트폰으로 직접 허위 설치를 생성하는 방식입니다. 이 방식은 기술의 발전에 따라 점차 사용이 줄고 있으며 아래의 두 방식으로 대체되고 있습니다.

  • 인텔리전스 디바이스 팜

    사전 프로그래밍된 인텔리전스 디바이스 팜은 허위 설치와 기타 인앱 사용자 행동을 자동으로 주입할 수 있습니다.

  • 디바이스 에뮬레이션

디바이스 에뮬레이션은 컴퓨터가 다른 디바이스(일반적으로 모바일 디바이스)처럼 행동하게 하는 프로그램 또는 디바이스를 의미합니다. 디바이스 에뮬레이션은 허위 설치와 인앱 활동을 생성하여 마케터의 광고 비용을 탈취하는데 활용됩니다.

디바이스 팜은 다음과 같은 방식으로 위장합니다.

  • 여러 유형의 기기를 사용하여 제한된 광고 트래킹을 가능하게 함
  • 매 설치시 기기 ID를 리셋함
  • 익명화된 IP 주소 뒤에 숨어 부정 활동을 은닉함

허위 설치에 의해 발생한 활동은 마치 실제 사용자에 의한 활동과 구별이 어려워 감지하지 못하는 경우 광고 예산에 막대한 손실을 야기할 수 있습니다.

2장: 모바일 광고 해킹 예방

모바일 광고 해킹 예방이란?

모바일 광고 해킹은 다양한 형태로 존재합니다. 광고 해킹으로 인한 피해를 예방하려면, 여러 기술과 리포트를 활용한 모바일 광고 해킹 감지 솔루션을 사용하여 광고 해킹을 적발하고, 발생 이전 미리 차단해야 합니다.

모바일 광고 해킹 예방의 핵심은 각각의 광고의 해킹 유형을 구분하는 것입니다. 클릭 인젝션, 저빈도/고빈도 클릭 스팸 간의 차이, 허위 설치와 SDK 스푸핑 간의 차이를 이해한다면 각 수법을 구분해 내기가 훨씬 수월해집니다.

각기 다른 유형의 광고 해킹을 차단하는 방법을 아래에서 확인해 보시기 바랍니다.

클릭 스패밍을 적발하는 방법

광고주들은 간단한 패턴을 찾아 클릭 스팸을 감지할 수 있습니다. Adjust는 실제 광고 클릭은 이후 설치와 시의적 상관관계가 있다는 점에서 클릭 스팸으로 인한 허위 클릭과 차이가 발생한다는 것을 발견하였습니다.

실제 트래픽 소스의 경우, 클릭 어트리뷰션이 정상적인 분포를 보입니다. 물론 트래픽 소스마다 정확한 분포 형태와 규모가 달라지지만, 정상 소스에서는 클릭 발생 후 첫 1시간 동안 다수의 설치가 발생한 뒤 퍼포먼스가 급격히 감소하는 패턴을 확인할 수 있습니다.

반면, 클릭 스팸은 허위 클릭 생성만 가능하고 설치까지는 실행할 수 없기 때문에 소스로부터의 전환 시간이 균등하게 분포되며, 전환 시간이 무작위적인 패턴을 보입니다.

즉, 상대적으로 평평한 클릭-설치 시간 분포를 보이는 트래픽 소스로부터의 설치에 어트리뷰션을 할당하지 않는다면, 어트리뷰션 발생 이전에 클릭 스팸을 걸러내는 것이 가능합니다. 이러한 방법으로 광고주는 클릭 스팸에 대응할 수 있습니다.

클릭 인젝션 예방법

클릭 인젝션은 클릭이 어트리뷰션된 설치와 불가능한 수준으로 가까이 있는 경우를 통해 찾아낼 수 있습니다. 클릭 인젝션은 CTIT 시각화 차트에서 크게 돌출된 형태로 나타나 데이터 세트에 '어트리뷰션 스푸핑'이 있을 가능성을 알려줍니다.

업계 일부에서는 유형 감지에 필터를 생성하고 '불가능한 수준의' CTIT를 적발하는 방법을 개발하여, 클릭 후 단 몇 초안에 발생한 설치의 어트리뷰션을 모두 거부했습니다. 하지만 이 간단한 방안은 모든 문제를 해결하지는 못했습니다.

Adjust는 이 문제를 더욱 깊게 파고들어 더욱 포괄적인 필터링 시스템을 개발하기 위해 노력했습니다.

2017년 말 출시 이후 Fraud Prevention Suite에서 이용이 가능한 클릭 인젝션 필터는 결정론적 타임스탬프를 사용하여 허위 인게이지먼트에 어트리뷰션이 할당되는 것을 방지합니다. Adjust의 필터링 과정은 설치 발생한 지점에 따라 다르게 적용됩니다. Adjust 클릭 인젝션 필터에 관한 자세한 내용은 본 헬프센터 페이지에서 확인하실 수 있습니다. 클릭 스팸과 클릭 인젝션을 감지하기 위한 CTIT 모니터링에 대한 자세한 내용은 Adjust의 모바일 광고 해킹에 대한 실질적 접근법 웨비나를 참조하시기 바랍니다.

Adjust가 SDK 스푸핑을 적발하는 방법

위에서 설명한 바와 같이 SDK 스푸핑은 해커가 앱 퍼블리셔 (또는 어트리뷰션 회사) 서버에 앱에 대한 허위 요청을 전송할 때 일어납니다. Adjust는 SDK 커뮤니케이션 패키지를 암호화 서명할 수 있는 고유한 시스템을 개발하여, 설치 수신 시 설치의 유효성을 검증합니다. 이 기능은 Adjust의 모든 패키지에 포함되어 있습니다.

허위 설치 감지 방법

디바이스 팜으로부터의 허위 설치와 에뮬레이션을 실제로 앱이 획득하고자 하는 사용자의 "진짜" 설치와 어떻게 분간할 수 있을까요?

많은 광고 해킹 예방 시스템은 사용자가 실제로 유지되지 않고, 아무것도 구매하지 않는 경우, 이를 디바이스 팜 사기로 간주합니다. 그러나 문제는 대부분의 실제 사용자 또한 유지가 힘들고, 구매를 전혀 안 할 가능성이 있다는 것입니다. 실제로 대부분의 앱 카테고리의 1일차 유지율은 30%를 넘기기 힘듭니다. 따라서 허위 설치 데이터가 실제 트래픽과 혼재된 경우 명확한 구분이 어렵습니다.

Adjust는 이러한 방법 대신 허위 설치 전송에 사용되는 IP 주소를 활용합니다. 허위 설치 트래픽은 설치 소스를 은닉하기 위해 프록시나 VPN을 통해 라우팅되며, 미국과 같이 수익성이 보다 높은 시장으로 이동합니다. 이때 IP 주소가 익명화 서비스나 데이터 센터에 등록 되어 흔적이 남게 됩니다. 이러한 IP는 어트리뷰션 거부에 사용되는 리스트(상업적으로 이용 가능)에서 종종 발견할 수 있습니다. Adjust는 블랙리스트 대신, IP 주소를 포함한 메타데이터를 매일 업데이트하는 공식 IP 데이터베이스를 활용합니다. Adjust는 모든 설치의 IP 주소를 해당 데이터베이스와 교차 확인하여, IP 주소가 익명화 서비스나 데이터 센터와 관련된 경우 해당 설치를 고객의 데이터 세트와 분리합니다.

3장: 모바일 광고 해킹 예방의 혜택

광고 해킹 예방의 5가지 혜택

광고 해킹 예방이 중요한 5가지 이유에 대해 알아보겠습니다.

  1. 예산 절약

    광고 해킹 예방은 허위 트래픽에 마케팅 광고 예산이 낭비되는 것을 막아줍니다. 광고 캠페인에는 수천, 수백만 달러가 소요되기 때문에 예산을 보호하는 것이 매우 중요합니다. 광고 해킹 예방 솔루션은 이러한 예산을 효율적으로 활용하기 위한 보안 체계입니다.

  2. 왜곡 없는 데이터

    다음의 시나리오를 예로 들어보겠습니다. 네트워크 A는 네트워크 B보다 전환율과 유지율이 높을 때, 일반적으로 네트워크 A에 대한 투자가 확대됩니다. 그러나 광고 해킹 예방 솔루션을 갖추지 않은 경우, 네트워크 A가 허위 트래픽으로 오염되어 있는지 전혀 알 수 없습니다.
    왜곡 없는 데이터와 KPI는 올바른 마케팅 전략 수립의 핵심입니다.
    광고 해킹은 마케팅 의사 결정을 방해하고, 잘못된 소스에 예산이 투입되는 악순환을 야기합니다. 광고 해킹 예방솔루션을 통한 정확한 트래픽 소스 파악으로 이러한 리스크를 낮출 수 있습니다.

  3. 양질의 파트너
    광고 해킹 예방은 광고 해킹을 필터링할 뿐만 아니라, 부정한 트래픽 소스도 파악하여 앱에 가장 유익한 파트너가 어느 곳인지 알 수 있도록 해줍니다. 이를 통해 성공에 실제로 도움이 되는 파트너를 찾을 수 있습니다. 마케터들은 MMP와 협력하여 새로운 유형의 광고 해킹을 차단하기 위해 주의를 기울여야 합니다.

  4. 브랜드 이미지 보호
    2019년 세계 핀테크 보고서가 은행과 핀테크 회사를 대상으로 금융 서비스가 직면한 가장 큰 문제에 대해 설문조사를 실시한 결과, 응답자 대다수가 보안을 가장 큰 문제로 손꼽았습니다. CCPA와 GDPR 도입 이후 브랜드들은 사용자 데이터에 대해 각별한 주의를 기울이게 되었습니다. 이제 취약한 보안은 곧 브랜드의 이미지 실추를 의미합니다. 브랜드 이미지와 사용자 데이터를 보호하려면 반드시 모든 유형의 광고 해킹에 대응이 가능해야 합니다.

  5. 경쟁 우위 선점

    광고 해킹 예방 솔루션의 혜택은 모든 앱에 적용됩니다. 광고 해킹 솔루션을 먼저 갖춘 경쟁사는 더욱 많은 양질의 사용자를 획득하게 될 것입니다.
    광고 해킹을 필터링하는 앱은 실제 미디어 노출 점유율을 높여줄 사용자에게 다가갈 수 있기 때문에 UA 및 예산효율이 높아질 것입니다.
    경쟁사들은 이미 광고 해킹에 따른 리스크를 완화하기 위해 발 빠르게 대응하고 있습니다. 이제는 고객님께서도 광고 해킹 예방 솔루션을 도입할 때입니다.

4장: 광고 해킹 예방 솔루션

어트리뷰션 제공자가 모바일 광고 해킹을 차단해야 하는 이유

모바일 측정 제공자(MMP)는 네트워크와 앱 회사 사이에 반드시 필요한 중개자입니다 (자세한 내용은 여기 참조). 광고 해킹 예방에서도 이와 마찬가지로 중개자가 필요합니다. 광고 해킹 예방을 Adjust와 같은 MMP가 해야 하는 주요 이유는 다음과 같습니다.

우선 몇몇 네트워크가 앱 경제에서 가짜 트래픽을 판매하는 것이 알려지면 전체의 이미지를 훼손하게 됩니다. 많은 파트너가 광고 해킹 근절 솔루션에 적극적으로 동참하고 있으나, 모든 네트워크가 트래픽을 철저히 감시하거나 광고 해킹 차단 기술에 주력하지는 않습니다. 따라서 시스템에 유입되는 트래픽을 분석하고, 가짜 인게이지먼트와 설치의 유효성을 간파하는 것은 MMP의 역할이 되었습니다.

또한 네트워크는 MMP가 액세스할 수 있는 데이터를 확인할 수 없으며, 새로운 유형의 광고 해킹이 유입되었을 때 대응 준비가 잘 되어있지 않습니다. 예를 들어, SDK 스푸핑은 실제같이 보이는 설치를 발생 시켜 네트워크의 감지를 피해가는데 오직 MMP만이 자체 데이터를 통해 정확히 SPK 스푸핑을 간파할 수 있습니다.

MMP는 중개인으로서 네트워크와 광고주 간의 신뢰를 쌓는 데 도움을 줄 수 있습니다. 광고 해킹은 퍼스트파티 데이터에 영향을 주기 때문에 MMP가 광고 해킹으로부터 얻을 수 있는 것이 전혀 없으며, 오히려 광고 해킹을 제대로 파악하지 못하면 MMP의 명성에 부정적인 영향을 줄 것입니다. 따라서 모든 MMP는 포지션상 광고 해킹 차단을 목표로 할 것입니다.

모바일 측정 업계 외에도 '광고 해킹 감지 업체'로 불리는 광고 해킹 예방 솔루션이 물론 존재합니다. Adjust의 네트워크 파트너인 CrossInstall(Twitter 합병)는 광고 해킹 감지 업체와 MMP가 제공하는 가치를 상세 비교한 바 있습니다.

Adjust의 광고 해킹 예방이 남다른 이유

Adjust 솔루션의 가장 큰 차별점은 바로 실시간 예방을 제공한다는 것입니다.

광고 해킹을 차단할 수 있는 유일한 방법은 실시간 차단뿐입니다. 여러 회사에서는 광고 해킹이 발생한 이후에 이를 감지하여 알리는 "사후 감지" 솔루션을 제공하고 있으며, 고객사가 직접 네트워크에 허위 트래픽에 대한 이의를 제기해야 합니다. 이러한 절차는 이해 충돌 요소가 많을 뿐만 아니라, 사용자 획득에 지나치게 많은 시간이 허비됩니다. Playstudios의 전 시니어 사용자 획득 매니저인 Cyrus Lee는 블로그 포스트에서 이러한 과정이 "막대한 시간을 낭비하게 한다"며, "광고 해킹이 늘수록 매달 말에 차지백(보상 환불) 제기를 더 많이 해야 한다"고 문제를 지적한 바 있습니다.

실시간 솔루션을 제공하지 못하는 업체는 진짜 트래픽을 허위로 감별하는 오류를 범할 수 있습니다. '블랙박스' 기술의 한계로 인해 각 설치를 정확히 검증하는 것이 불가능하기 때문입니다. Adjust는 감지와 예방, 좋은 광고 해킹 예방 솔루션에 필요한 요소라는 글을 통해 모바일 광고 해킹 예방에 필수 요소에 대해 정리한 바 있습니다.

Adjust는 남들과는 다른 접근법으로 광고 해킹을 분석합니다. Adjust는 광고 해킹 예방을 가장 중심에 놓고, 설립 초부터 모든 의사 결정에 이를 반영해왔으며, 실시간 예방으로 데이터 정확도를 보장합니다.

Adjust 공동 설립자의 광고 해킹 예방 블로그 시리즈

Adjust의 공동 설립자이자 전 CTO인 폴 뮬러(Paul Müller)의 광고 해킹 예방에 관한 블로그 시리즈는 여기에서 확인하실 수 있습니다. 광고 해킹 근절은 어트리뷰션 제공자가 책임지고 수행해야 하며, Adjust는 굳은 사명감을 갖고 이에 임하고 있습니다.

Adjust의 공동 설립자인 폴 뮬러가 언급하였듯이, "Adjust는 모든 광고 해킹을 근절하기 위해 Adjust 시스템에 의해 차단되는 모든 어트리뷰션에 대한 책임을 지고, 파트너를 지키려는 의지를 갖고 있습니다. Adust는 언제나 정확하게 광고 해킹을 차단해야 한다는 사명감을 갖고 있습니다."

"광고 해킹 예방은 단순한 마케팅 전략이 아니며, 사안을 더욱 복잡하게 만들어서는 안 됩니다. 광고 해킹 예방은 중대한 책임입니다. 광고 해킹 근절 솔루션이 제대로 된 역할을 한다면 전체 모바일 광고 생태계의 발전에 도움이 될 것입니다. 그러나 문제 핵심을 해결하지 못하고 광고 해킹을 제대로 차단하지 못하는 솔루션은 업계에 혼란만을 야기할 것입니다."

광고 해킹 근절 솔루션을 개발하고자 하는 의지는 항상 Adjust의 미션의 중심에 있습니다. Adjust의 광고 해킹 예방 솔루션에 대한 자세한 내용은 모바일 광고 해킹 가이드에서 확인하실 수 있습니다. 또한 최첨단 광고 해킹 예방을 제공하는 모바일 애널리틱스 플랫폼을 사용할 준비가 되셨다면 Adjust에 연락주시기 바랍니다.

월간 발행되는 Adjust 뉴스레터를 구독하고 최신 인사이트를 확인해 보세요.