5 Min. Read

프로드와 싸울 때 폐쇄형 소스 SDK가 필수인 까닭은?

Michel Hayet Michel Hayet Aug 27, 2019

미국의 유명 코미디언 크리스 록(Chris Rock)은 한 코미디 쇼에서 “치료는 돈이 안되고 약은 돈이 된다”라고 말했습니다. 이를 통해 대형 제약회사들이 질병을 근본적으로 치료하기 보다는 일시적으로 증상을 없애는 약을 개발하는 데 더 관심이 있음을 지적했습니다. 크리스 록은 제약회사들이 고객을 치료하기보다 고객을 유지하려 한다며 비판했습니다.

제약회사의 수익 구조를 잘 알지 못하지만 이익을 추구하는 일이 경제적으로는 타당하긴 합니다. 하지만 제약회사나 의약품 제조업체만큼은 이익만 추구해선 안됩니다.  

오늘날의 수십억 달러 규모가 되는 경제를 진단하기 위해 상장 회사는 영업이익과 성장률을 공개할 의무가 있습니다. 이들 중 많은 회사가 현대 생활의 “문제”와 “질병”에 대한 해결책과 서비스를 제공합니다.

특정 업계를 제쳐두고, 온라인 광고업계와 이를 괴롭히는 “질병”인 프로드(fraud)에도 이런 논리를 적용할 수밖에 없습니다. 최근 몇 년간 프로드의 규모가 커지고 프로드를 저지르기 쉬워졌을 뿐만 아니라, 프로드 자체에 대한 인식과 프로드가 광고주와 퍼블리셔에게 미치는 영향에 대한 경각심도 높아졌습니다. 기본적인 경제 개념을 생각해봅시다. 일반적으로 수요가 증가하면 공급도 증가합니다. 프로드에 대한 인식이 높아지면서, 신생 회사들은 이를 기회로 삼아 프로드에 대처하기 위한 솔루션을 제공하기 시작했습니다.

프로드 솔루션 회사들도 이익을 추구합니다. 이들이 제공하는 서비스의 가격, 메시징, 인식, 솔루션 유형 모두 다양합니다. 그러나 이들 모두에게 같은 질문을 물을 수 있습니다. 회사가 주요 수입원을 없애기 위해 최선을 다할 수 있을까요? 프로드가 없는 세계에서 프로드 방지 솔루션의 수요가 있을까요?

위의 질문에 답하기 위해선 프로드 방지에 관한 끝없이 쫓고 쫓기는 톰과 제리 게임을 생각해봐야 합니다. 이 게임이 지속되도록 하는 장치를 찾아보세요. 눈에 잘 띄지 않을 수도 있지만, 허점이 분명 존재합니다. 이는 제품에 관심이 있는 광고주와 파트너 양측 모두에게 유료 서비스를 제공하는 일과 비슷합니다. 허점이 있는 프로드 솔루션은 프로드를 근절하기 위해 필요한 공정성이 보장되지 않습니다.

예를 들어, 프로드 솔루션 제공업체가 특정 기업에 의존하여 그 기업과의 관계에 영향을 끼칠 수 있는 프로드 케이스가 발생하면 프로드로 적발하지 않을수도 있습니다. 

프로드 솔루션 제공업체가 편향되지 않았더라도, 이 업체가 광고 게재 사슬의 어디에 위치하고 있는지 고려해야 합니다. 

더 위험한 것은 프로드 방지 제품이 오픈 소스 SDK 에 의존하는 일입니다.

 

오픈 소스가 왜 위험할까요? 

몇몇 프로드 솔루션 제공업체는 프로드 방지 설정의 일환으로 오픈 소스 기술을 사용하는 데 자부심을 갖습니다. 실제로 많은 온라인 툴이 오픈 소스 코드를 사용하여 더 나은 솔루션을 제공합니다. 오픈 소스 코드가 솔루션의 비전과 운영에 적합하기 때문입니다. 위키피디아, 구글, 어도비 등 많은 유명 회사들이 오픈 소스를 사용합니다. 함께 제품을 개선하고 더 나은 제품을 개발하려는 커뮤니티의 이점을 누릴 수 있기 때문입니다.  

오픈 소스 솔루션은 정말 굉장한 개념입니다. 하지만 프로드 보안 및 보호와 관련해서는, 이점도 많지만 결점도 두드러집니다. 

오픈 소스 솔루션은 리뷰와 개선 사항을 투명하게 보여줍니다. 그러나 소프트웨어 작동원리를 역추적하는 리버스 엔지니어링과 보안에는 매우 취약합니다. 이는 최첨단 보안 시스템으로 집을 보호하면서 현관문을 잠그지 않는 일과 마찬가지입니다. 

여러가지 보안 문제가 발생할 수 있습니다. 오픈 소스 SDK에 의존하는 어트리뷰션 솔루션은 SDK 스푸핑이라는 새로운 유형의 프로드를 야기했습니다.

SDK 스푸핑은 실제로는 앱 설치가 일어나지 않았지만, 앱 설치가 발생한 것처럼 보이게 하는 허위 인스톨 프로드입니다. 이로 인해 광고 예산이 낭비되고 타겟팅 데이터가 잘못될 수 있습니다. 향후 활동과 예산 분배에도 장기적인 영향을 미칩니다.

사기꾼은 어트리뷰션 비용을 가로채기 위해 승인받은 사용자인 것처럼 SDK에 접근해 데이터를 조작합니다. 이들은 코드를 보고 리버스 엔지니어링을 약간만 해도 액세스 권한을 받을 수 있습니다. 이제 사기꾼들도 발전해서 HTTP 메시징 논리를 간파했습니다. 각 필드 값이 어떻게 수집되는지 확인한 다음, HTTP 요청을 사용하여 수익을 얻을 수 있습니다.

SDK 스푸핑은 주로 MITM(Man in the Middle, 끼어들기: 두 시스템 간 통신 사이에 불법적으로 끼어들어 메세지를 가로채는 공격) 또는 유효한 메세지를 복사하여 나중에 재전송함으로써 정당한 사용자로 가장하는 재전송 공격과 같은 네트워크 공격 형태로 발생합니다. 그러나 네트워크 공격은  SDK 스푸핑의 한 가지 형태에 불과합니다. 네트워크를 통해 데이터가 전송되기 전에도 침입자가 데이터를 수집하고 조작하는 것이 가능합니다. 침입자들은 여러가지 동적 분석 툴을 활용해서 응용 프로그램 데이터가 백엔드로 전송되기 전, 응용 프로그램 런타임 동안 데이터를 모니터링하고 조작할 수 있습니다. 

툴을 제대로 사용하면 네트워크 보안 메커니즘을 건드리지 않고 모든 데이터를 조작할 수 있습니다. 이때 백엔드 데이터는 합법적이고 인증된 상태로 표시됩니다. 오픈 소스든 아니든 상관 없이 모든 소프트웨어가 리버스 엔지니어링될 수 있다는 점을 유념해야 합니다. 이와 다른 주장을 하는 소프트웨어 제공업체는 위험을 인식하지 못하거나, 순진하거나 또는 둘 다입니다.

리버스 엔지니어링 가능성을 배제하고 어떻게 보안을 제대로 할 수 있을까요?

 

오픈 소스, 왜 프로드에 취약한가

  • 오픈 소스는 해킹을 더 빠르고 용이하게 만듭니다. 해커는 데이터가 SDK 내에서 어떻게 수집되고 패키징되는지 정확히 파악할 수 있습니다. 따라서 데이터를 쉽게 조작할 수 있는 지점을 발견하고 “고품질 프로드”를 만들어냅니다.
  • 오픈 소스 보안 솔루션은 침입자들이 찾기 쉽고 쉽게 우회할 수 있습니다. 그러나 SDK 로직을 비공개로 하면 해커들이 리버스 엔지니어링을 하기 어렵습니다. 
  • 오픈 소스 솔루션의 경우, 코드에 구현된 암호화 메커니즘이 노출되어 있습니다. 그래서 이를 연구하거나 리버스 엔지니어링을 하기 쉽습니다.
  • 오픈 소스를 이용하면, 소프트웨어 보안에 대한 책임은 주로 고객이 지게 됩니다. 고객이 소스 코드를 보호하기 위해 필요한 모든 단계를 수행하지 않으면 이를 파악하고, 뒤바꾸고, 조작하는 일은 더 쉬워집니다. 

MITM에 대비한 보호 장치를 제대로 구현하면, 원격 네트워크로 인한 개인 정보 도난을 방지할 수 있습니다.  해커가 네트워크를 통해 원격 위치에서 전송된 개인 정보를 훔치려고 시도하는 경우 방어할 수 있습니다. 

그러나 네트워크 해킹이 아니라 오픈소스 보안 솔루션을 역추적하여 허위 데이터를 만들어내는 프로드는 해결 방법이 다릅니다. 해커는 합법적으로 보이는 트래픽을 생성하려고 합니다. 따라서 SDK가 제대로 작동하도록 서버에서 트래픽을 인증하는 방법이 매우 중요합니다. 해커는 적절한 툴을 갖고 애플리케이션에 접근하여 OS 레벨에서도 애플리케이션 코드를 수정하여 허위 트래픽을 만들어 낼 수 있습니다.

이 때 MITM 방어는 전혀 의미가 없습니다.

네트워크 해킹이든 데이터 조작이든 프로드는 발견만 하면 앱 회사가 기존 업데이트 일정에 상관없이 신속히 SDK를 업데이트하여 해결할 수 있습니다.  프로드가 발생하고 해결하기 위해 SDK를 업데이트하는 작업을 반복하다보면 앱 회사는 번거롭고 비용과 시간이 많이 드는 악순환에 빠지게 됩니다. 추가적인 엔지니어링 리소스를 투자해야 하기 때문입니다. 그러나 SDK는 여전히 공개되어 있어 프로드는 계속해서 발생할 수 있습니다. 이렇게 악순환이 계속됩니다.

 

핵심 요점

프로드는 결코 가벼운 문제가 아닙니다. 

프로드가 발생하면 막대한 광고 예산 손실을 입습니다. 허점이나 보안 취약점을 찾기 위한 모든 불법 소스가 계속 늘어나고 있습니다. 책임 있는 마케터라면 지금 사용 중인 프로드 방지 솔루션이 무엇이든, 보다 신중하게 손실 예상액을 평가해야 합니다. 단순히 솔루션 제공업체에 가입하고, 보호를 받고 있다고 믿어서는 문제가 해결되지 않습니다.

프로드에 대한 어떤 해결책도 완벽하지 않습니다. 프로드를 근절하는 작업은 오래 걸리고 어렵습니다. 더 많은 회사가 선의의 싸움에 참여할수록 더 좋습니다. 하지만 그 전에 잠시 멈춰서 올바른 목적과 대비책을 갖추고 있는지 생각해보세요.

앱스플라이어는 어트리뷰션 하이재킹부터 봇이 생성한 가짜 유저까지 매우 효율적으로 방지합니다.

앱스플라이어 SDK는 비공개 독점 코드로 외부인의 리버스 엔지니어링이 불가합니다.  앱스플라이어의 프로드 방지 솔루션 프로텍트360최첨단 모바일 광고 사기 방지 솔루션입니다. 폐쇄형 소스 코드를 난독화 및 암호화하여 빈틈없이 견고하게 만들었습니다.

 

 

지금 바로 Protect360 데모를 예약하세요