광고컬럼

안녕하세요. 플레이디 모바일플랫폼팀 팀장 윤언호입니다. 

 

수요자와 공급자를 연결하는 광고는 모든 산업 군에서 필수적인 요소인데요. 성장 산업에서의 공급자 간 경쟁은 곧 마케팅 경쟁으로 연결되어 많은 재화가 효과적인 마케팅 방법을 찾는 데에 사용됩니다. 

곧 특정 산업 군의 성장은 효과적인 마케팅 커뮤니케이션 방법을 찾아내는 광고시장의 성장을 촉진하는 원동력이라 할 수 있죠. 수요가 몰리는 성장 시장에서는 공급자 간의 경쟁이 과열되고, 보다 쉽고 빠른 방식으로 우위를 선점하고자 하는 고민으로 이어지기 마련인데요. 이러한 고민과 개선의 노력에 테크(Tech)가 함께 할 때, 바램이 현실로 실현될 가능성은 높아집니다. 그것이 좋은 방향으로든, 반대의 방향으로든 말이죠. 

 

2016년부터 본격적으로 앱 퍼포먼스 마케팅에 범용화되기 시작한, Non-Incent CPI 상품은 폭발적으로 성장하는 앱 광고주들의 수요에 상응하는 양과 질의 인스톨 볼륨을 공급하면서 2017년까지 급격히 성장했습니다. 

 

광고 상품을 수요하는 광고주들의 니즈, 광고 상품을 공급하는 플레이어/플랫폼들 간의 경쟁, 그리고 애드테크가 기민하게 결합된 모바일 앱 퍼포먼스 광고. 그 과정에서 필연적으로 탄생한 Fraud(광고 사기)는 더 많은 광고비를 더 쉽게 소진하기 위한 일부 플레이어들의 삐뚤어진 결과물이었죠.

 

Fraudster(광고 사기를 일삼는 공급자)와 Tracker(수요자인 광고주를 대신하여 앱 퍼포먼스의 전환 성과를 트래킹하는 주체) 간의 흡사 창과 방패 싸움이 지속되고 있는 2018년의 앱 퍼포먼스 시장의 중심에서 <모바일 퍼포먼스 광고와 Fraud – 네 번째 이야기>를 시작해보려 합니다. 앞서 모바일 퍼포먼스 광고와 Fraud에 대한 이야기를 세 편으로 나누어 소개해드렸는데요.  

 

  · 모바일 퍼포먼스 광고와 Fraud (1부)

  · 모바일 퍼포먼스 광고와 Fraud (2부)

  · 모바일 퍼포먼스 광고와 Fraud (3부)

 

통신 기술의 진화와 모바일 디바이스의 발전은 인류 역사상 가장 개인화된 기기로서 스마트폰을 혁신시켰고, 정보 콘텐츠의 생산과 소비에서 유저의 의존도를 볼 때 모바일은 이미 데스크톱을 뛰어 넘었습니다.(글로벌 기준으로는 약 16년 10월경, 대한민국 기준으로는 약 18년 1월경부터 모바일의 점유율이 데스크톱을 넘어섰죠)

 

<차트 이미지 출처: statcounter>

 

개인들의 콘텐츠 소비 및 생산 패턴, 검색 키워드 및 관심을 표한 배너/비디오 광고, 선호하는 상품/서비스 및 브랜드 등 개개인의 미래 소비활동을 예측할 수 있는 다양한 형태의 데이터가 누적되고 있습니다. 빅데이터와 알고리즘 기반의 고도화된 광고 플랫폼들이 제공하는 타겟팅 기법과 개인 밀착화된 모바일 디바이스를 통해, 개개인의 미래 구매활동을 촉진할 수 있는 정보 및 콘텐츠 혹은 광고를 적시에 원하는 형태로 노출할 수 있게 되었죠. 

 

더군다나 근래의 모바일 디바이스는 사용자의 '생체 정보'를 인지하고, 식별하기 시작했는데요. 페이스 ID로 로그인을 하고, 음성으로 스마트 기기를 작동시키는 행위들이 일반화되고 있습니다. 구글과 페이스북은 나와 내 친구들의 얼굴을 식별할 수 있고 방대한 양의 사진이나 동영상 콘텐츠 속에서도 쉽게 찾아낼 수 있죠. 

 

머지않아 디바이스 ID나 광고 식별자 정보에 이러한 유저들의 생체 정보 역시 암호화된 방식으로 매핑될 것입니다. 광고 성과를 논함에 있어, 유저의 생체 정보(이를 테면 Face ID, Voice ID 등)의 매칭/누락 비중을 두고서 Fake 디바이스나 클릭의 Fraud 여부를 판단하는 사례를 심심찮게 접하는 시대가 열릴 것이라 상상해봅니다.(생체 정보로 인간과 Bot을 구분하기 더 쉬워지겠죠?) ​ 

 

각설하고, 미래로 나아가는 본 칼럼의 논제를 다시 현재로 되돌려봅니다. 광고주의 니즈와 광고 플랫폼의 경쟁, 애드테크가 기민하게 결합한 2018년의 모바일 퍼포먼스 시장에서, 유저를 식별하는 Tracker와 Fraudster와의 창과 방패 대결이 오늘도 지속되고 있습니다. 

 

불특정 다수를 향한 매스커뮤니케이션이 아닌, 개개인의 독립된 객체로서 유저를 인식하고 맞춤광고를 노출하며 성과를 추적하는 애드테크의 시대가 도래하였는데요. 이제 개인 정보는 그 어느 때보다 민감한 자산이기 때문에 이 개인의 정보를 유통하고 보관하고 활용하는 행위는 엄격한 규제 아래에 놓이게 되었습니다. 이를 대신하여 개인의 삶에 가장 밀착화된 모바일 디바이스 스마트폰을 ‘커뮤니케이션의 접점인 미디어 도구’이자 ‘개인을 식별하는 주체’로 활용하게 되었죠. 

 

<이미지 출처: 애드스크린>

 

개인 정보 대신, 개인을 식별하는 간접정보로 통용되는 모바일 디바이스의 식별 값은 상대적으로 자유롭게 광고시장의 다양한 유통 채널을 통해 전파되었습니다.

 

이렇게 편리한 간접 개인 정보의 유통이 활발해지면서, 이에 대한 다양한 Fraud 역시 발생하기 마련입니다. 개인을 식별하는 디바이스와 코드를 악용하여, 가상의 유저를 만들고, 가짜 성과를 덮어서 광고주의 눈을 가리는 행위가 시도되고 암암리에 전파된 것이죠. 값싼 인력들이 공장에서 벌크 클릭(Bulk Click)과 좋아요(Like it), 팔로워를 양산하고, 수십 대의 디바이스가 수천~수만 명의 유저로 둔갑하고, 현실 세계에 존재하지 않는 디바이스의 인스톨이 코드나 프로토콜의 조작으로 실존하는 성과로 위장하였습니다. 

 

희망적인 사실은 이러한 Fraud들이 ‘창’처럼 일어날 때마다 이를 막는 Tracker의 ‘방패’도 견고해졌고, 이를 기반을 둔 nCPI 매체들의 대응 역량도 강해질 수 있었다는 겁니다. 근래의 화두로 떠오른 창과 방패의 대결 키워드는 바로 ‘SDK Spoofing’입니다. 

 

SDK Spoofing은 기존의 Click Farm / Click Spam / Click Injection Fraud와 비교할 때, 기술적인 방법에서나 공격 대상에 있어 다소 적극적이고 호전적입니다. 기존의 방식을 먼저 리뷰 해보자면, Click Farm은 트래픽의 출처를 숨기기 위한(혹은 Geo 정보를 위장하기 위한) Proxy / VPN 를 통해 소수의 디바이스로 다수의 Fake User 인스톨을 발생시키는데요.(가녀린 여성분께서 심드렁한 표정으로 수백 대의 디바이스를 핸들링 하는 모습은 Non-incent CPI 업계에서 종종 회자되어온 모바일 Fraud에 대한 대표 이미지로 각인되어 있습니다.) 

 

<이미지 출처: beatrizchamussy.com>

 

Tracker는 이를 IP 블랙 리스팅으로(주요 악성 프록시 서버나 사설 VPN을 타깃) 잡아낼 수 있고, 유저의 앱 활동성(In App action) 성과 지표에 대한 모니터링 기술과 범위가 증가한 만큼, Fake 유저의 불량한 활동성과 앱에 대한 낮은 로열티는 비교적 쉽게 눈에 띄게 됩니다. 또한 Fake user로 사용되는 디바이스는 OS 상의 보안 취약점을 공략하기 때문에 최신 OS 버전을 도입하기 어렵죠. 이 때문에 낮은 버전의, 과거 버전의 OS를 사용하는 디바이스 비중이 상대적으로 높은 지면 역시 성과를 속이는 Click Farm의 두드러지는 패턴입니다. 

 

Click Spam / Click Injection은 실제 유저의 디바이스 내에 심어놓은 Malware와 안드로이드 디바이스 내에서 다른 앱 설치 현황을 파악할 수 있는 기능(Broadcast intent)을 악용하는데요. 보통 손전등 앱 혹은 알람 앱 등 유저들의 다운로드 진입장벽이 낮은 무료 서비스 앱을 배포하면서 Malware를 유포합니다. 

 

Click Spam은 Malware가 상주하는 디바이스에서 백그라운드 클릭을 지속적으로 유발하며(유저의 실제 클릭 활동이 아닙니다.) 대량의 벌크 클릭을 양산합니다. 이후 유저가 자발적인 검색 후 앱 다운로드를 발생시키는 가까운 미래에, 트래커로부터 Finger Printing을 통한 전환 Attribution을 인정(전환에 최종 기여한 지면으로 인정) 받게 되죠. 즉, 오가닉 유저(자연 유입 유저)를 Fraudster의 광고 클릭 및 앱 다운로드 설치 유저로 위장하는 행위입니다.

 

Click Injection은 Malware가 유저의 디바이스에 타겟 앱의 설치 여부와 설치되는 시점을 인지하여 적시에 백그라운드 클릭을 유발합니다. 바로 디바이스에 타겟 앱이 다운로드 된 직후 ~ 실행 직전의 사이 시간대인데요. 그때 클릭을 밀어 넣어(Injection) 트래커로부터 Last Click Attribution 성과를 획득합니다. 역시 오가닉 유저를 광고 성과로 둔갑시키거나 정상 클릭으로 유저를 모객한 타 지면의 성과를 빼앗는 행위이죠. 

 

이 두 가지 Fraud는 클릭과 앱 설치(첫 실행) 사이의 디바이스 정보를 비교하는 Tracker의 잣대가 정교해지면서 필터링 될 가능성이 높아졌습니다. 

 

또 라스트 클릭과 설치(첫 실행) 사이의 시간대(CTIT)를 측정함으로써 Fraud 가능성을 인지하는 방법론이 일반화 되었는데요. 실제 설치 시점(CTIT)와 첫 실행 시점(CTOT) 사이에서 Tracker SDK가 놓칠 수 있는 암흑의 시간 역시 Google Play Referrer API를 통해 대부분의 Tracker들의 정확히 인지할 수 있게 되면서 광고주에게 검증된 인스톨 성과를 제공할 가능성은 나날이 높아지고 있습니다.

 


<이미지 출처: 애드스크린>

 

정리하자면, Click Farm은 <Fake User>를, Click Spam과 Click Injection은 Real User의 <Fake Action>을 유발하여 성과를 취득하는 Fraud입니다.

 

이번에 새롭게 이야기하는 SDK Spoofing은 앞서 열거한 Fraud 대비 상당히 적극적이고 공격적인 방법론을 취하는데요. 바로 Tracker SDK를 직접 해킹하여 Tracker의 서버를 속이는 행위입니다. 기술적인 접근법은 본 칼럼에서 다루긴 어려우나, 개괄적으로는 아래의 방식으로 진행되는 것이 밝혀졌죠. (기술 참고: Adjust.com) 

 


<이미지 출처: 애드스크린>

 

1. 광고주 App 상의 Tracker SDK와 Tracker 서버 간 암호화된 통신(SSL)을 깨어(Break Open) 암호화된 데이터로부터 Tracker로 호출되는 URL을 취득한다. 

2. Tracker URL에 존재하는 정보를 분석하고, 파라미터를 구분하여, Tracker로부터 자사의 전환을 인정받을 수 있는 파라미터를 추출, 링크의 A/B 테스트를 위한 핑(Ping)을 반복한다. 

- 전환 액션에 대하여 Tracker로부터 실시간으로 포스트 백을 수렴하기 때문에, 링크의 A/B 테스트용 핑 작업은 단지 수십여 차례의 시행착오 만으로도 Tracker를 완벽히 속이는 방법을 도출할 수 있다. 

3. 링크에 대한 분석과 SDK에서 지정하는 App Event를 발현시키기 위한 로직 분석이 완료되면, 이후부터는 실제 인스톨을 발생시키지 않고도, SDK를 둔갑한 서버나 자사 SDK 호출만으로도 의도된 성과를 Tracker로부터 인정받고 쉽게 수익을 챙길 수 있다. 

- Fraudster가 트래픽 네트워크를 구성한 무료 서비스 앱(ex: 손전등 앱, 알람 앱 등)을 통해 앱 사용자들의 디바이스에서 SDK를 속이는 핑을 Tracker에 날릴 수 있으며, 실제 유저/실제 디바이스의 정보를 담은 핑이 SDK와 어트리뷰션 로직에 의거한 정확한 호출을 하기 때문에 Tracker는 Fake 여부를 감지하기 어렵다. 

 

그 동안의 클릭 Fraud 들이 Tracker의 허점을 노리며 클릭부터 전환까지 연결되는 과정을 차근차근 공략해 나가는 정공법이었다면, 이번 SDK Spoofing은 Tracker의 후방을 적극적으로 공격하는 느낌입니다.

 

<이미지 출처: 애드스크린>

 

Tracker에서는 현재 SDK와 Tracker Back-End 서버 간의 암호화된 프로토콜(SSL)에 인증 키를 추가하고 이를 해킹할 수 없도록 모든 전수 전환에서 유니크하게 키를 발급함으로써 Fake SDK를 발라내고 있습니다. 하지만 광고주의 앱이 최신을 SDK로 교체하는데 소요되는 시간과, Fraudster가 이를 피해가는 또 다른 해킹 로직을 찾아내는 시간이 공존하고 있다는 점에서, 본 이슈에 대한 해결과 대응은 현재 진행형이라고 할 수 있겠죠. 

 

Fraudster의 SDK Spoofing 이라는 새로운 ‘창’이 Tracker의 ‘방패’를 향하는 현 시점에서, 애드스크린 역시 유사한 이슈를 적극적으로 대응하고 있습니다. 

 

실제로 지난 3~4월에 진행된 일부 앱 퍼포먼스 캠페인의 성과가 Tracker상의 Fraud 규칙를 회피하고, 12시간 ~ 일주일에 걸친 볼륨 스파이크 패턴과 리텐션 & 인앱 액션의 성과 모니터링에서도 모두 양호하였는데요. 하지만 광고주 분들께서 체감하는 인스톨 유저의 지속률과 구매전환의 건강도에 있어서 상당히 괴리감이 발생한 사례가 발견된 것입니다. 

 

눈에 띄는 현상으로는, Tracker에서 제공한 디바이스 정보와 광고주 내부 시스템에서 집계된 인스톨 디바이스 정보 간의 일부 오차 및 미스매칭이 확인되었습니다. 또한 구매전환에 관하여 구글 플레이 상에서 집계되는 구매자의 디바이스 정보와 Tracker에서 집계된 구매자 정보가 역시 불일치하는 사례가 일부 확인되었죠. ​ 

 

즉, Tracker의 백 앤드 서버는 SDK로부터 실제 디바이스 정보와 설치, 앱 오픈, 기타 인앱 이벤트(구매전환)을 정상적으로 호출 받았고, 자체 Fraud Rules에서도 라스트 클릭과 설치정보 간의 디바이스 충돌이나 불량 IP, 국가나 언어코드 모두 이상이 없는 무결한, ‘정상 유저’ 액션으로 인지하였습니다.

 

하지만 유저 액션의 객체이자, 이를 동시에 추적할 수 있는 주체인 광고주 내부 시스템(접속 유저)과 앱마켓(인 앱 구매 유저)의 정보를 대조한 결과 일치하지 않는 일부 케이스가 적발된 것입니다. 

 

Fraudster의 SDK Spoofing으로 의심되는 사례가 광고주의 적극적인 데이터 제공과 분석의 협조 덕분에 밝혀진 사례였죠.(이 자리를 빌어 자료 제공과 데이터 분석의 정보를 지원해주신 해당 광고주께 다시 한번 감사의 말씀을 전합니다.) 

 

2018년 하반기도 다양한 Fraudster들의 ‘창’과 Tracker의 ‘방패’의 대결, 그리고 마켓과 광고주의 적극적인 데이터 지원사격으로 애드스크린을 포함한 많은 Non-Incent CPI 플레이어들이 다이내믹한 경험과 성장을 할 것으로 기대합니다.

                                         

 


 

위기를 기회로, 애드스크린!

- 2018년 6월, 플레이디 모바일플랫폼팀 팀장, 윤언호.