brunch

You can make anything
by writing

C.S.Lewis

by junbro May 08. 2020

광고 사기 2편:간과하기 쉬운 앱 광고사기 유형 뽀개기

'그 매체'의  광고 성과가 좋다고 생각하십니까.

세 줄 요약

성과가 좋은 ‘그 매체’의 광고, 실제로는?  

 놓치기 쉬운 대표적인 5가지 프러드 유형  

 올바른 광고 파트너를 찾는 4가지 방법  



어디를 보시는 거죠? 그건 진짜가 아니라 잔상(가짜 인스톨)입니다만.  (Source: Riot Games)


 캠페인 성과가 좋아지면 오가닉도 줄어, 혹시 무슨 일이 일어나고 있는 걸까?


 오늘도 앱 마케팅 담당자는 앱 다운로드와 ROAS를 달성하기 위해 대시보드를 보며 골머리를 앓는다. 앱 시장이 치열할수록 한정된 예산에 더 낮은 가격에 유저를 획득(UA, User Acquisition)해야 하니 다운로드 수는 여전히 중요한 지표 중 하나이고, 때문에 CPI(Cost Per Install, 앱 설치 당 과금)이라는 과금은 앱 마케팅의 매력적인 가격 모델이 됐다.

(이 글은 지난 그 앱의 인스톨, 사실 가짜였어요. 에서 다룬 모바일 앱 광고에서 발생하는 프러드(Ad Fraud, 광고 사기)에서 이어진다.)  


1. 광고 사기, 그거 진짜 있어요?

오픈 플랫폼 특성상 안드로이드에서 모바일 광고 사기 점유율이 높다.


한국 내 앱 구매 이벤트 관련 사기 비중이 4위다. 특히 커머스가 심각할 것이다.


신흥 시장의 앱 설치 사기 빈도가 높고, 한국은 이미 초고위험군이다.  (Source: 모두 Appsflyer, State of Fraud Report 2019)


 진짜 있다. 2020년 예산이 380조 원(source: emarketer)에 달하는 글로벌 디지털 광고 시장에서, 광고 사기는 눈이 빠지게 분석과 모니터링을 하는 마케터의 눈마저 속여 일어나는 범죄다. 우리가 지금까지 알고 있던 ‘좋은 매체가’ 정말 좋았는지, 나아가 마케팅 담당자가 간과하기 쉬운 사례를 통해 성과와 전략에 집중할 수 있는 환경을 만들어야 한다. (그래야 모두가 제때 퇴근한다.)

그렇다면 광고 사기꾼들은 실제로 어떻게 한 방을 노릴까? (필자가 직접 들은 이야기이다. 이는 모든 광고 매체의 폄하가 아닌 잘못을 저지르는 곳을 말하는 것이다.)  

    특정 광고 네트워크에 매체로 등록한다. 또는 직접 영업한 광고주에게 다양한 캠페인의 트래킹 링크를 받고, 오가닉 인스톨을 납치할 준비를 한다.  

    여러 앱의 광고 트래킹 링크를 다시 제휴 매체(Sub-Publisher라고도 한다)를 통해 가능한 수많은 유저의 가짜 클릭을 만들어 트래킹 링크 중 하나에 걸리게끔 한다. 즉, 많은 광고를 수주한 뒤에, 하나라도 걸리기를 기다린다. (이게 바로 요즘 유명한 아무 주식 사고 기도하는 메타인가)  

    유저가 위의 제휴 매체(실제로는 멀웨어로 오염되었거나, 의도적으로 사기를 치는 앱)를 설치하고 오픈하면, 사용자가 알지 못하게 위에서 수집한 광고주의 트래킹 링크로 클릭을 발생시킨다. 따라서 실제로 유저가 해당 앱에서 보는 광고와 전혀 다를 수 있다. (실제 광고는 게임 A인데, 실제로는 커머스 앱의 트래킹 링크가 클릭되는 신호를 보내는 경우)  

    모바일 광고에서 라스트 클릭 애트리뷰션 모델(마지막 클릭에 앱 설치를 기여했다는 기여 인정)에 따라 사기꾼은 해당 인스톨에 대한 기여도를 인정받아 비용을 지급받는다. 럭키!



대부분의 광고 사기는 Adjust에서 정의한 4가지 케이스로 설명할 수 있다.

사기꾼들은 유저 또는 광고가 진짜라면 우리 덕분이라 우기고, 혹은 유저 또는 광고가 가짜여도 진짜라고 우긴다.  (Source: Adjust)

2. 프러드 케이스 스터디: 앞으로 이만큼 알면, 눈뜨고 코베이는 일은 없다.  


첫 번째 유형:  Install Hijacking(인스톨 납치), 위 케이스 중 II에 해당한다. 즉, 진짜 유저의 앱 설치의 기여를 가짜 광고가 훔쳐가는 행위이다. 유저가 앱을 직접 검색하여 설치했을 때, 주로 악성코드(멀웨어(Malware))가 있는 앱에서 즉시 가짜 클릭을 발생시켜 특정 매체에 설치가 발생했다고 기여받는 행위다. 즉, 해당 매체는 적절한 광고 노출을 하지 않았음에도 1건의 인스톨을 얻는다. CPI(앱 설치 당 인스톨) 당 3달러를 지불하는 캠페인이라면 이 매체는 몇 번의 가짜 클릭을 만들어 3달러를 벌었다. 이거 완전 꿀알바 아니냐 이러한 비정상적인 수익을 얻기 위해 사기꾼들은 MMP의 촘촘한 검역망을 피해 여러 변형된 기법을 시도한다.

    1) Click Flooding: Click Spamming, 또는 사기 매체에서는 그럴싸한 용어로 Big Click이라고도 한다. 고전적이면서 많이 발생하고 계속 고도화되는 사기 기법이다. Click Flooding은 수많은 가짜 클릭으로 이뤄진 것이다. 클릭을 만드는 봇(bot)이 가능한 많은 디바이스 ID를 삽입한 클릭을 반복적으로 만들어낸다. 사기꾼은 아마 1주일에 200억 개의 클릭을 만들어내겠다-라고 설정했을 것이고, 그동안 디바이스 ID “ABC12”를 가진 유저가 앱을 설치하고 실행했다면, 그간 무작위 하게 발생한 클릭 중 하나가 이 기여도를 라스트 클릭으로 가져갈 것이다. 심지어 동영상 광고를 시청하는 것만으로도 소리 없이 클릭을 보내는 경우도 있다. 마지막으로는 실제 광고가 ‘노출’만 되었음에도 클릭으로 둔갑하는 사례도 있다. 광고에 대한 반응이라 볼 수 없는 단순 노출을 클릭으로 위장하는 것은 가장 명백한 사기 행태이다. 만약 운영하는 3개의 매체 중, 매체 A의 광고를 유저가 진짜 클릭했다고 가정하자. 사기 매체 B는 설치 직전(심지어 설치 후에도 발생. 아니 요리를 안 했는데 달걀 프라이가 있어?!) 가짜 클릭이 발생하는 데 성공했다면, 로또에 당첨된 거다! 사기 매체 B가 매체 A의 기여도를 훔쳐 달아난 것이다. 매체 A는 이 덕에 성과가 저조해 보일 것이고, 순진한 누군가는 매체 A 종료 이메일을 쓰고 있을 것이다.

위처럼 프러드는 오가닉과 Paid-media 모두에게서 발생한다.  (Source: Kochava)


    2) Click Injection: 특정 앱에서 다양한 디바이스 정보에 접근 권한을 요청하는 경우가 있다. 예를 들어 앱 클리너의 기능을 사용하려면 설치한 앱이나 파일을 조회해야 하는데, 이를 통해 새로운 앱의 설치 여부를 쉽게 파악하고 기여도를 훔쳐가기 위한 준비도 손쉽게 가능하다. 다시 말하자면 앱을 설치하는 정확한 순간에 클릭을 주입(Inject)하는 것이다. 이는 평범한 광고와 더불어 높은 성과를 내는 것처럼 보이기 위해 특정 앱, 매체에서 이루어지고 있다. (2019년 구글에서는 이러한 앱들이 대거 퇴출되었다.) 최근에는 불필요한 권한 획득이 불가능하도록 안드로이드와 iOS 앱스토어에서도 선행 검수가 도입되었다.


첫 번째 유형, 어떻게 발견하고 대응할까?

    1) 높은 CTR, 낮은 CVR을 주목하자.
 즉, 클릭이 물밀듯이 밀려오거나 전환율(CVR, Conversion Rate) 운영 중인 채널(예를 들면 구글, 페이스북) 보다 현저히 낮다면 의심하자. 필자는 심지어 앱 다운로드 캠페인에서 0.001%라는 소수점 3자리의 전환율을 본 적이 있다. 처음에는 소재나 앱스토어 내 이미지가 별로인가-라는 생각까지 해봤다.


     2) 높은 노출 수, 낮은 CTR을 확인하자. 아래의 코차바 리포트를 보면 CVR대신 Click-to-install(CTR) 즉 인스톨 당 클릭수(클릭수/인스톨수)를 비교해 직관적으로 이해할 수 있다. 예를 들어 NETWORK A는 설치의 상당량을 차지하지만, 인스톨이 1개 발생하기까지 9,400여 개의 클릭이 발생한 것을 알 수 있다. CVR로 따지만 0.01%이다. 1개의 인스톨이 발생하기 위해 적절한 수의 클릭은 어느 정도 일까? 적어도 9,400개는 아닐 것이다. 마케팅 팀이 애써 매력적인 광고 소재를 만들고, 유저가 이를 클릭하여 앱스토어를 방문해 앱을 설치하기까지 기대하는 CTI는 적어도 수천 개가 아닌 1과 10 사이의 어딘가 일 것이다. 코차바에 따르면 평균 CTI는 2.5라고 한다. 즉, 유저가 2.5번 내외로 광고를 클릭하여 앱을 설치한다. CTI는 카테고리마다 다르므로 실제 수치는 스스로의 경험을 믿자.

꺼림칙했지만 성과가 좋았던 매체가 떠오른다면, 그거다. (Source: Kochava)



물론, 극소수의 앱이 보노보노 PPT 같은 경우도 있다. 세상의 모든 앱 개발자들 존경합니다. (Source: Google)


    2) Click-to-Install Time(CTIT)을 살펴보자.
 CTIT는 광고를 클릭한 후 앱 설치가 완료(정확히는 앱 오픈)된 시간을 의미한다.(“앱 첫 오픈 시간”-”광고 클릭 시간”으로 계산할 수 있다.) 광고를 누르고, 링크가 이동하고, 앱스토어에서 다운로드 버튼을 눌러 설치가 완료되고 앱을 여는 과정과 시간을 상상해보자. “과거 캠페인의 데이터에 비해” CTIT가 비정상적으로 짧거나 긴 인스톨 분포가 많은지 대조해보자. 구글은 플레이 스토어에서 다운로드 버튼을 누른 시간, 즉 Google play referrer times를 제공하며 이러한 사기꾼이 끼어들 간극을 없애었다. “진짜 광고 클릭 >>가짜 클릭>> 인스톨” 의 과정에서 “진짜 광고 클릭 >> 구글 플레이 인스톨 시작 >> 인스톨” 의 타임라인이 추가되면서, 구글 플레이 인스톨 버튼을 누른 이후 가짜 클릭이 만들어졌다면 이는 문제 있는 트래픽이라고 할 수 있다.)

또는 Impression level의 트래킹을 제공하는 매체라면 ITI(Impression to Install)까지 관찰하여 투명성을 확보할 수 있다. 아래 그래프를 통해 쉽게 알 수 있다.


건강한 캠페인의 CTIT라면 짧은 시간 내(수초~수분) 많은 분포를 보이고 떨어지는 경향을 보인다. (Source: interceptd.com)


대부분의 설치가 하루 내 일어나는 경우와 달리, Click Spamming은 며칠이 지나도 여전히 설치가 많은 분포가 나타난다. (Source: Scalarr)


붉은 그래프는 광고를 본 이후 긴 시간이 지나고 설치가 증가한다는 것이고, 보라색 그래프는 특정 구간에 인스톨이 증가한다.(Source: interceptd.com)


Click Injection이 발생하면 (클릭을 주입해야 하므로) CTIT는 매우 짧은 간격에 해당 매체의 인스톨 중 대다수가 분포한다. (Source: interceptd.com


두 번째 유형: Pixel Stuffing, Ad Stacking이라고도 불리고, 1x1의 픽셀 프레임(트래킹 링크가 호출되는 픽셀) 안에 하나 이상의 광고를 송출하는 방식이다. 이는 사람이 볼 수 없어 클릭조차 할 수 없음에도 기여한 광고 노출 또는 클릭에 비용을 지불해야 한다. 예를 들자면 게임 A 광고에 클릭이 발생했을 때, 유사한 게임 B, C, D... Z의 광고를 묻어두면 영리한 사기꾼들은 언젠간 유저가 설치할지 모르는 유사한 장르의 앱 설치에 대해 성과를 보상받을 수 있다. Click Spamming의 변형된 방식이며, 이는 매체에서 직접 조작하는 Publisher Fraud라고 할 수 있다.  노출을 클릭으로 속이는 경우는 1) 마케터를 속이거나(와, 클릭이 많네) 2) 네트워크를 속인다. (일어나지도 않은 가짜 노출 신호 보내기) 즉,  광고의 노출 확인기준(Viewability)을 속인 행위이다. 각각의 퍼블리셔에서 너무 많은 클릭이 발생했다면, 특정 시간에 동시에 발생한 많은 클릭이 있는지 살펴보자.

당신은 양아치입니까? (Source: Kochava)


세 번째 유형: Domain Spoofing, 앱의 스토어 내 식별 값(패키지 네임)이라고 할 수 있는 bundle ID를 속이는 방식이다. (예를 들어 특정 메신저 앱이라면 ‘com.coffeebean.messenger’로 명명할 것이다.) 이는 유저와 광고 노출도 진짜이지만 존재하지 않는 앱, 또는 전혀 다른 앱이 가짜 Bundle ID로 매체 데이터를 제공하는 것이다. 이를 통해 프리미엄 앱 인척 위장을 하거나, 저품질의 광고 지면을 제공하면서 비싼 값을 받아갈 수도 있다.  


네 번째 유형: Display Impression Fraud, 기기에서 발생한 광고 노출을 여러 IP를 통해 부풀리는 경우  


다섯 번째 유형: Masked IP, High Risk IP, 인터넷 공급자(ISP)가 제공하는 IP 데이터와 일치하지 않거나, 광고 클릭과 설치에서 발생한 IP가 일치하지 않는 경우, 또는 수상한 도메인의 IP에서 광고 클릭을 송출하는 경우


두 번째~다섯 번째 유형, 어떻게 발견하고 대응할까?

    1) Impression 단위의 투명성을 확보하자. 수상한 매체의 99%는 클릭은커녕 노출이 어디에서 발생했는지 공개하지 않는, 아니할 수 없을 것이다. 광고 사기를 감추는 가장 쉬운 방법이기 때문이다. (아마 내부 보안 핑계를 댈 것이다.)

2) 특히 2-5번 프러드는 마케터가 하나하나 잡기엔 너무 많은 자원이 낭비된다. 따라서 인스톨, 인앱 이벤트, 인앱 구매 대해 최적화를 자동 제공하는 매체를 사용한다면 마케터는 전략 자체에 집중할 수 있다. 즉, 사람이 손수 데이터를 보아가며 해야 할 일이 아니라는 의미이다.



결론: 마케터와 데이터 애널리스트는 무엇을 해야 할까?

 페이스북, 구글, 애플과 같은 제한된 또는 닫힌 플랫폼(Walled Garden)만을 운영할 수는 없다. 빅 미디어 바깥에 있는 대다수의 모바일 유저에게 충분히 도달하면서 스케일과 성과를 제공할 수 있는 매체와 협업해야 한다. 이를 통해 다양한 광고 콘텐츠 실험을 하면서 모바일 공간을 장악할 수 있다. 따라서 프러드는 사람이 잡아내기보다는, 올바른 기술을 제공하는 파트너와 협업해야 한다.


1. 광고 과금 방식을 재고하자: 정직한 방식으로 광고를 집행하는 매체가 대다수다. 다만 CPI, CPA로 캠페인을 운영할 때 일부 매체에는 저렴한 트래픽으로 오가닉을 갉아먹거나 의미 없는 결과를 만들어낼 기회를 제공하는 것이다. 나아가, 모든 유저가 동일한 가치(설치 당, 액션당)를 지닌다는 사실을 믿을 수 있는가? 세계에서 제일 많은 데이터를 보유한 구글, 페이스북조차 변동 CPM 방식으로 유저에 따라 매번 가격으로 입찰(bidding)을 한다는 것을 생각해보자.  


2. 투명성을 요구하자: 어떠한 이유로든 CPI, CPA와 같은 과금 방식을 선택한다면 투명성을 충분히 제공하는 파트너를 선택해야 한다. 매체 입장에서 광고 지면의 데이터를 제공하지 않을 이유가 없다. 광고주가 직접 성과 좋은 매체와 거래하지 않겠냐고? 그 말이야말로 소의 똥이다. 전 세계에 출시된 앱만 600만 개가 넘는다. 프로그래머틱 기반 매체가 제공하는 것은 수십만 개의 광고 지면이 아닌 유저의 행태를 실시간으로 분석하고 광고 노출 여부를 결정하는 ‘기술’이다.   


3. 이따금 딥 다이브를 해보자: 대부분의 경우 안 좋은 성과는 그냥 안 좋은 성과다. 미안하다 다만 여러 이유로 수많은 매체를 집행하는 경우, MMP를 통해 문제가 없는지 살펴보고 수상한 시그널이 없는지 주기적으로 확인해야 한다. 또한 유저를 확률적으로 추정하는 핑거 프린팅 기여를 끄거나, 기여 기간을 짧게 설정할 것을 권한다.   


4. 올바른 파트너를 찾자: 기생충은 어디든 나타날 수 있다. 때문에 인앱 액션과 ROAS 기반으로 최적화를 할 수 있고, 허가/비허가(화이트, 블랙리스트라는 단어를 이제 안 쓴다고 하더라)된 광고 지면 조절이 가능하면서 투명한 데이터를 공개하는 파트너사와 협업해야 한다. 개인적으로 앱 퍼포먼스 마케팅에서 구글, 페이스북 그리고 한 두 개의 웹&앱 지면 프로그래머 틱 매체를 선택하여 테스트한다면(따로 구매해야 하는 N사, K사 정도) 모바일 유저의 행동반경을 대부분 확보할 수 있다고 생각한다. 이와 함께 잘 알려진 MMP 중 비즈니스 모델에 맞는 곳을 사용해야 한다.

노출부터 관찰할 수 있는 여러 접점을 놓치지 말자. (Source: Applift)


프러드는 모바일 마케팅이 탄생했을 때부터 수많은 콘퍼런스와 세미나의 주제였다. 이러한 이슈로 마케터와 매체 담당자 모두가 힘들게 일하지 않도록 모두가 지속적인 대화를 이어갈 필요가 있다. 디지털에서는 썩은 물을 애써 걸러마실 필요가 없다. 비즈니스의 용도에 맞는 좋은 수원(트래픽)을 보유한 매체를 찾아 사용하면 된다. 프러드를 찾아 광고비를 깎는 ‘디덕션' 매니저가 우리의 직업은 아니지 않은가?


 나는 캠페인을 관리하는 Account Manager로 커리어를 시작했기 때문에 이런 스트레스를 주는 사기꾼을 찾아 항상 박멸하고 싶었다. 이를 통해 고객사는 마케팅 전략에 집중하고, 정직한 매체는 데이터와 기술 기반의 경쟁을 통해 함께 성장해나갈 때 기분이 좋다.


 그래서 프러드, 지나간 이야기 아니냐고? 불과 지난주에도 잡았다 요놈 발견한 도둑들이 여전히 있고, 심지어 신흥국에서는 이에 대한 인지조차 없는 미래형이다. 게다가 최근에는 UA 외의 캠페인에도 자주 등장한다고 하니- 돈 있는 곳에는 항상 건강하지 못한 욕심이 있다.


남은 이야기: 앱 마케팅을 전개하는 기업이라면 이미 아래 언급할 MMP(Mobile Measurement Partner) 중 하나는 사용하고 있을 것이다. 이들은 수많은 유저 트래픽을 잘 분석하며 수년간 프러드와 싸워왔고, 각자의 기술에 기반해 훌륭한 프러드 탐지, 예방 도구를 마련해두었다.


MMP's Ad Fraud Prevention (ABC 순)

Adbrix: Fraud Kill Chain: YouTube 영상(Link)

Adjust: CAAF & Fraud Prevention Suite

Airbridge: Timelag Report

Appsflyer: Protect360

Branch: CPP(Certified partner program)

Kochava: Mobile Ad Fraud Detection and Prevention

Singular - Fraud Prevention Solution


광고 사기 마지막 이야기: 새로운 광고 사기 영역과 광고 측정의 미래


Source

Branch, How to Prevent Mobile Ad Fraud(Link)

Branch, 5 Keys to Fighting Mobile Ad Fraud(Link)

Applift, Fraud ebook 2017(Link)

Pocketmath, Deep dive into mobile ad fraud(Link)

Appsflyer, State of Fraud Reprot 2019(Link)

Kochava, Detecting Fraud by Counting Clicks(Link)

Kochava, Devices With High Click Volumes and Fraudulent Traffic

Kochava, The Fraud Behind App Install Metrics

Kochava, Ad Stacking

Kochava, The Kochava Global Fraud Blacklist

Disclaimer : 본 콘텐츠는 저자가 소속된 회사의 입장과는 무관합니다.


브런치 댓글이나 LinkedIn DM으로 언제든 피드백 주세요. 이야기 나누고 싶습니다. - Junbro

작가의 이전글 광고 사기 1편:그 앱의 인스톨, 사실 가짜였어요.
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari