SDK Spoofing 광고사기와 피해
모바일 광고의 규모가 매년 성장하면서 부정한 방법으로 이익을 취하려는 시도 또한 점점 더 고도화되고 있습니다. 모바일 앱 광고 생태계 안에서 발생하는 광고 사기(Ad Fraud) 중 가장 악질적인 유형은 SDK Spoofing 입니다. SDK Spoofing은 광고주 앱에 연동된 SDK가 서버와 주고받는 프로토콜 규약(SSL)을 해킹한 다음, 가짜 이벤트를 만들어 광고 성과로 인정받고 수익을 얻어갑니다. 다시 말해, 실제로는 존재하지 않는 회원가입, 레벨달성, 구매 등과 같은 '가짜 이벤트'를 발생시켜 광고성과로 속인 다음 수익을 정산받는 것입니다.
SDK Spoofing이 악질적인 이유는 광고주가 알아채지 못하도록 실제 유저의 앱 사용 패턴과 유사한 가짜 이벤트를 만들어 내기 때문에 광고사기 발견이 매우 어렵다는 점에 있습니다. 광고주는 SDK Spoofing 때문에 실제로 발생하지도 않은 성과에 비용을 지불하게 됩니다. 또한, 허위 이벤트 때문에 정확한 의사결정을 위한 분석을 할 수 없게 되어 더욱 치명적입니다.
애드브릭스의 SDK Spoofing 방어
애드브릭스는 SDK Spoofing을 방지하기 위해 "Dynamic Secret Key" 방식과 "Server to Server 이벤트 유효성 검증" 방식을 적용하고 있습니다.
Dynamic Secret Key 방식
Dynamic Secret Key 방식은 애드브릭스 SDK와 서버가 통신할 때 사용되는 비밀키를 유동적으로 변경하여 가짜 이벤트가 계속해서 실패하게 만드는 방법입니다. 비밀키 보안 규칙에 맞지 않는 이벤트는 광고 사기로 간주하여 리포트하고, 설정된 옵션에 따라 어트리뷰션 반영 혹은 포스트백 발송 여부를 결정할 수 있습니다. 애드브릭스의 비밀키가 변경된 것을 모르고 SDK Spoofing을 시도하면, 해당 트래픽은 여지없이 광고사기로 판단됩니다. "Dynamic Secret Key" 방식은 애드브릭스 최신 SDK를 탑재하고 있다면 별도 설정 없이 자동으로 적용됩니다.
Server to Server 이벤트 유효성 검증
애드브릭스가 SDK Spoofing을 통한 가짜 이벤트를 방어하는 두번째 방법이자 무엇보다 확실한 방법은, 애드브릭스 SDK가 측정한 이벤트의 진위여부를 고객사로부터 직접 검증받는 것입니다. 고객사는 자사 서버와 애드브릭스 서버만 알 수 있는 비밀키를 회원가입, 구매, 등과 같은 주요 이벤트에 설정함으로써 애드브릭스가 가짜 이벤트를 탐지할 수 있도록 합니다.
만약 고객사 서버에서 특정 이벤트 발생 결과를 유효하지 않다고 판단하면 애드브릭스는 이를 SDK Spoofing으로 간주하고 Fraud Kill-Chain 대시보드에 리포트합니다.
애드브릭스의 Fraud Kill-Chain
SDK Spoofing을 방어하기 위한 "Dynamic Secret Key" 방식은 애드브릭스 최신 SDK를 탑재하고 있다면 별도 설정 없이 자동으로 적용됩니다. "Server to Server 이벤트 유효성 검증"은 총 5가지 광고사기 유형에 대한 12가지 방어 기능을 제공하는 애드브릭스의 Fraud Kill-Chain 패키지를 함께 사용할 때 활성화 됩니다.