- Ad Fraud에 관한 거의 모든 것
최근 몇 년간 디지털 광고 시장의 상승세는 그야말로 기호지세라고 할 수 있습니다. 방송광고 시장을 이미 앞질렀음은 물론 모바일 광고시장마저 방송과 대등한 규모로 성장했습니다. 하지만 산이 높으면 골이 깊듯이 급격한 성장의 이면에는 어두운 그림자들이 드리워져 있다. 특히 Ad Fraud 문제 (광고예산이 어디에 어떻게 사용되는지 알지 못하고, 허위 사이트나 과장된 클릭수에 비용이 낭비되는 문제)는 글로벌 디지털 시장에서 가장 심각한 위험 요소 중 하나로 인식되고 있습니다. 이글에서는 Ad Fraud의 해외 현황 및 종류를 확인하고, 그 심각성에 대한 문제인식과 국내 시사점에 대해 알아보도록 하겠습니다.
◇ Global Ad Fraud Overview
◎ 디지털 광고의 20%는 부정 트래픽
○ eMarketer에 의하면 2018년 글로벌 디지털 광고 시장의 규모가 한화 약 340조 (283.35 B USD)에 이른다고합니다. (Digital Ad Spending 2019 global, emarketer)
하지만 더 놀라운 것은 디지털광고시장의 약 20%가 부정 트래픽으로 발생한 Ad Fraud (광고사기)라는 것입니다. ( Ad Fraud Statistics 2019, Business of Apps (Forrester 인용))
- 조사한 700 여개의 *Global Ad Network 중에 8개의 Ad Network는 클릭의 100%가 Ad fraud로 판단되고, 35개의 Ad network는 50% 이상의 클릭이 Fraud로 분석되었습니다.
○ Ad Fraud (광고사기)란 디지털 광고시장에서 정상적인 광고 트래픽에 교묘하게 들어와 부정한 방법으로 광고 노출을 유발함으로써 광고주와 *퍼블리셔(publisher), 개발사로부터 수억 달러의 부당한 이득을 취하는 사기행위를 말합니다.
○ *Cheq의 Ad Fraud관련 보고서에 따르면 2019년 올해 전 세계 Ad Fraud를 방지하고자 하는 비용이 사상 초유의 230억 달러로 예상되며 간접적인 경제적, 사회적 비용을 포함하면 300억 달러에 이를 것이라고 합니다.
(The Economic Cost of Bad Actors on the Internet, Ad Fraud 2019 by Cheq)
○ 2019년 온라인 디지털 광고비는 3,160억 달러로 한화로 약 379조로 예상된다. 이 숫자는 말레이시아의 전체 GDP규모보다 큽니다. 디지털 시장은 규제가 적은 측면도 Ad Fraud 확산에 영향이 있을 것이지만, 단일 시장 규모면에서 광고사기를 일으키는 사람들에게는 매우 매력적입니다.
- *WFA (World Federation of Advertisers)는 집행되는 디지털 광고가 최대 3!0%까지 소비자에게 보여 지지 않고 노출될 것으로 추산하고 있습니다. (‘글로벌 Ad Fraud 비용이 최대 300억 달러에 달해’, the drum, www.thedrum.com/news/2019/06/06/cost-global-ad-fraud-could-top-30bn)
◎ 디지털 광고시장 성장의 또 다른 그늘, Ad Fraud
○ Ad Fraud에 대해 광고주들이 지불할 직접 비용은 디지털 광고시장이 증가함에 따라 2020년에 260억 달러, 2021년에 290억 달러, 2022년에는 320억 달러에 이를 것이라고 Cheq는 전망했습니다.
○ 대기업처럼 관련 비용을 부담하기에 어려운 중소기업들에게는 더욱 심각한 문제를 야기하고 있습니다. 관련 업계는 잘 알려지고 평판이 높은 대기업들의 광고는 Ad Fraud율이 5%까지 떨어질 수 있지만, 규모가 적은 중소기업의 광고 는 Ad Fraud율이 훨씬 높아 50%에 육박할 것이라고 합니다. (“Marc Pritchard says P&G will soon have slashed 'wasted' digital media spend by 50%” -The Drum https://www.thedrum.com/news/2018/03/06/marc-pritchard-says-pg-will-soon-have-slashed-wasted-digital-media-spend-50)
- 대기업인 프록터앤갬블(P&G)이 Fraud 예방 및 검증 비용을 투자하는 가운데 디지털 예산의 비용 효율성을 10%이상 개선할 수 있었다는 보고는 뒤집어보면 예방 및 검증 비용이 없는 중소기업의 경우 얼마나 Ad Fraud에 취약한지 유추할 수 있다.
◇ 피해갈 수 없이 만연한 Ad Fraud 현실
◎ 버즈피드 뉴스, 정교하고 치밀한 대규모 Ad Fraud 보도 (Apps Installed On Millions Of Android Phones Tracked User Behavior To Execute A Multimillion-Dollar Ad Fraud Scheme – buzzfeednews.com https://www.buzzfeednews.com/article/craigsilverman/how-a-massive-ad-fraud-scheme-exploited-android-phones-to)
버즈피드 뉴스 조사결과, 125개 이상의 앱과 웹사이트가 포함된 대규모의 Ad Fraud사기극이 확인되었습니다. 광고 사기꾼들은 개발 과정에 있는 앱을 구매하고 모아 키프로스, 몰타, 버진 아일랜드, 크로아티아 등에 위치한 네트워크와 연결하였고, 실제 인간 대신에 봇(Bot)이 광고를 클릭하게 조작해서 수 억 달러를 가로챘죠.
앱과 웹사이트를 분석하는 사이버 보안 및 사기 탐지 회사인 프로텍티드미디어(Protected Media)의 분석에 따르면 이들은 앱을 사용하는 인간의 행동을 일일이 포착하고 그것을 흉내 내기 위해 방대한 수의 *봇(Bot)네트워크를 프로그래밍하여 대규모 사기극을 연출했다고 합니다. 봇네트워크에 의해 앱을 다운로드한 수백만 명의 폰 소유자들이 앱 내부를 스크롤하고 클릭하는 행동들이 몰래 추적되었으며, 이를 통해 봇들은 사용자들의 행동을 복사하여 부정행위 탐지 시스템을 우회하는 가짜 트래픽을 발생시키기도 했습니다.
다른 사기 탐지 회사인 픽사레이트(Pixalate)는 자체 보고서에서 단 하나의 앱으로 연간 7천 5백만 달러에 이르는 광고수익을 가로챈 사건에서 실제 사기에 연루된 금액을 정밀 확인한 결과, 조사결과보다 10배 이상 많은 금액이 광고 사기꾼들에게 흘러들어갔으며, 이는 광고주들이 디지털 광고시장에서 아주 큰 예산을 운용할 수 있는 파트너들과 함께 했기 때문에 더 효과적으로 사기행각을 벌일 수 있었다고 주장하는 내부관련자의 증언을 공개하기도 했습니다.
◎ 구글 조차도 피할 수 없는 암운(暗雲) (구글,“클릭수 조작으로 부풀려진 광고비 돌려주겠다” 한국일보, 2019-05-21 https://www.hankookilbo.com/News/Read/201905201686054187)
구글은 ‘광고 중개를 해준 온라인 광고주들’에게 이미 받았던 광고비 일부를 되물어 주는 상황에 처하기도 했습니다. 이는 광고가 노출된 사이트의 접속 트래픽이 불특정 세력의 ‘클릭수 부풀리기’로 조작되었다는 사실을 인지하였음에도 불구하고 구글이 적절한 조치를 취하지 않았기 때문인 것으로 알려졌습니다.
미국 월스트리트저널(WJS)에 따르면 트래픽 조작관련 광고비 환불이 논의된 시점은 2017년으로 거슬러 올라가는데 특정 작업을 반복 수행하는 프로그램‘봇’이 인간의 클릭을 흉내 내 사이트 방문 횟수를 대규모로 부풀린 사실이 발견되었습니다.
구글은 자사의 광고 중개 과정에 제3자가 개입한 부정행위로 수백 곳에 환불조치를 시행했으나 사기 피해액 전액을 돌려주지 않았습니다. 전체 금액의 약 7~10%에 해당하는 구글 온라인 광고 구매 플랫폼‘*디스플레이&비디오 360’사용비만 환불했습니다.
이에 광고대행사‘애드 트레이더’는 같은 해 12월 캘리포니아 연방법원에 소송을 제기했고 구글이 직접 소유한 광고 서비스 프로그램 ‘*애드엑스(AdX)’와 ‘*애드센스(Ad sense)’에서 발생한 피해에 대해서는 환불을 해 줄 수 있음에도 해주지 않고 있다는 주장을 제기하게 되었습니다.
WSJ가 확인한 구글 내부문건에 따르면 “구글이 7,500만 달러 (약 895억원)에 이르는 금액을 지급하지 않았다”며 그 이유로“기술적인 어려움”을 들었습니다. 결국 구글은 법적 다툼이 불리하게 돌아가자 자사 광고판매 서비스에서 발생한 사기 피해도 환불조치를 해주겠다고 제안한 것으로 알려졌습니다.
미국 광고주협회(ANA)가 내놓은 보고서에 의하면 2019년 미국에서 Ad Fraud로 낭비될 것으로 예상되는 광고비는 약 65억 달러(7조8,000억원)에서 190억 달러(22조8,000억)규모에 달할 것으로 추산했습니다. ( Five Charts: The State of Ad Fraud, eMarketer, May 20, 2019
https://www.emarketer.com/content/five-charts-the-state-of-ad-fraud?ecid=NL1001)
◇ 미국 디지털광고 시장의 독버섯, Ad Fraud
◎ 미국의 경우 다수의 광고주(마케터)와 광고회사에서 Ad Fraud 문제를 광고 집행 상 가장 심각한 이슈라고 인식하고 있었습니다.
○ 리서치회사인 애드버타이저 펄셉션즈 (Advertiser Perceptions) 가 조사한 바에 의하면 317개 미국 광고주 마케터를 대상으로 한 설문에서 응답자의 37%가 Ad Fraud문제가 아주 심각하다고 답변했습니다.
○ 광고측정회사인 인티그럴애드사이언스 (Integral Ad Science) 는 미국 광고회사 임원의 69%가 광고 예산집행에서 Ad Fraud를 가장 심각한 문제라고 답변했으며 광고주의 52.6%가 같은 답변을 하였다라고 조사결과를 밝혔습니다.
◇ Ad Fraud에 대한 보다 깊은 이해
○ Ad Fraud는 전술한 바와 같이 디지털 시장의 정상적인 광고거래에 개입하여 부당이득을 취하는 모든 사기형태를 말합니다.
- 사람이나 봇(Bot)을 통해 부정 트래픽(traffic), 부정 인스톨(install)을 만드는 등 비정상적인 수단으로 발생시킨 노출, 클릭 광고를 정상 트래픽으로 위장하여 이익을 취하는 행위로, 넓게는 해킹의 한 종류라고 볼 수 있습니다.
- 이는 사람이 아닌 봇(Bot)을 통해 부정 트래픽과 노출량, 클릭, 설치 등을 유발하고 허위로 성과(performance)를 제출함으로써 광고 효율을 떨어뜨리고 허위로 제출한 만큼의 광고주 광고비를 편취하는 것입니다.
○ 디지털 시장이 성장하고 매체수(퍼블리셔, 사이트, 앱 등을 포함한다)가 수 만개에 달하면서 광고주가 일일이 광고 인벤토리와 노출시간을 정하는 것이 사실상 불가능하기에 실시간 자동구매 기법인 *프로그래매틱 광고 (programmatic ad) 사용이 급격히 확산되었습니다. 이를 광고주가 이를 이용하는 과정에서 악의적 업체가 의도적으로 데이터를 속이거나 광고비를 가로챌 목적으로 악의적 프로그램들을 깔아놓기 때문에 Ad fraud는 발생한다고 볼 수 있습니다.
○ 과거 *CPC(cost per click) 방식의 모바일 애드 네크워크에서 디지털 광고가 많이 줄어든 적이 있는데 이는 광고 클릭이 증가해서 광고 과금이 많이 되었음에도 불구하고 당해 사이트나 앱으로 유입된 이용자가 추가적인 액션을 보이는 것이 없다보니 결국 Ad Fraud에 의한 것이라고 판명 나게 되었고 결국 대규모 예산 삭감이 발생하기도 했습니다. (‘봇(Bot)공장’놀이터 된 온라인 광고시장, the PR,
http://www.the-pr.co.kr/news/articleView.html?idxno=33009)
○ 최근 비디오나 모바일과 같은 광고 인벤토리를 광고주가 선호하기 때문에 이에 광고비가 많이 몰리게 되고 따라서 비디오 광고와 *인앱(In-app)광고가 Ad Fraud의 주된 타깃이 되고 있습니다.
○ 포레스터(Forrester)의 조사에 따르면 프리미엄 비디오 광고 지출은 2018년에 154억 달러이며 이 예산은 전체 디지털 비디오 광고 예산의 45%에 불과하지만 전체 Ad Fraud의 64%가 이 예산을 목표로 하고 있다고 합니다.
- 인앱(In-app)지출은 650억 달러로 모바일 광고 예산의 80%에 해당한다. 2018년 집행된 광고비로 획득한 *노출(impression)의 21%가 Ad fraud에 의한 것이라고 추정하고 있습니다.
(Why the Rise of Ad Fraud and the Fall of Brand Safety Needs to be Reversed -exchangewire.com https://www.exchangewire.com/blog/2019/05/08/why-the-rise-of-ad-fraud-and-the-fall-of-brand-safety-needs-to-be-reversed/)
◎ 왜 Ad Fraud는 끊임없이 증가하는가?
○ 광고시장에 대한 특별한 규제와 감시자가 없다는 점을 제외하더라도 Ad Fraud가 끊임없이 증가하고 있는 주된 이유로 볼 수 있는 점은 디지털 광고시장이 광고 사기꾼들에게 상대적으로 접근이 용이하고 수익성이 높기 때문입니다.
- 다른 해킹에 비해서 Ad Fruad는 낮은 리스크로 높은 수익을 낼 수 있는 구조를 가지고 있습니다. 해킹은 치명적인 범죄행위지만 그 중 AD Fraud는 상대적으로 명확한 페널티가 없고 이를 입증하기까지 절차도 복잡하다 보니 처벌하기에 어려움이 따릅니다. 때문에 해커들은 Ad Fraud 쪽에 많이 몰리게 되고 지속적으로 관련 범죄가 증가할 뿐 아니라 대규모로 진화하는 구조를 가지고 있습니다.
- 이제 Ad Fraud는 과거 단순한 클릭 사기에서 벗어나서 본격적으로 *멀웨어(Malware)를 활용하거나, 봇(Bot) 등으로 프로그램화되면서 정교해지고 있으며 점점 더 발견하기 어려워지고 있습니다.
○ 모바일 시장이 급속도로 커지고 있는 점도 광고 사기꾼들의 눈길을 끌게 합니다.
- 모바일 시장은 매년 가장 높은 성장률을 보이고 있는 시장이고 2019년 전 세계 모바일 시장은 전술한 바와 같이 379조 규모로 예측되고 있는 상황이기 때문에 광고 사기꾼들에게는 매우 매력적인 시장으로 변모하게 되고 그 방식 또한 점점 진화하고 혁신적으로 성장하고 있습니다.
○ 한편 높은 모바일 디바이스 보급률도 영향을 미칠 수 있다고 합니다.
(“APAC 지역의 모바일 부정광고 ‘프로드’의 현재를 짚어보다”, Mobvista,2019-02-26
- 2019년 전 세계 모바일 디바이스 보급률 평균은 42%입니다. 반면, 아시아 태평양 지역(APAC)은 59.9%의 스마트폰 보급률로 상대적으로 글로벌 평균보다 높은 보급율을 보이고 있습니다.
-‘*트래픽가드(Traffic Guard)’의 조사에 따르면 이 지역의 부정 광고 피해액이 2022년 560억 달러로 증가할 것이라 예상돼 우려의 목소리가 큰 상황입니다 .
- 아시아 태평양 지역에 속한 한국 디지털 광고 시장의 규모는 2018년 4조원을 넘어설 정도로 성장했으며 이에 따라 한국시장에서 모바일 Ad Fraud는 전년 대비 2배 이상 늘어났다고‘*애드저스트(adjust)’ 자체 조사 결과를 밝혔습니다.
◇ Ad Fraud의 다양한 형태
AD Fraud는 다양한 형태를 띠고 있지만 장치농장(Device Farm), 봇/에뮬레이터(Bot/Emulator), SDK 스푸핑 (SDK Spoofing), 클릭 스패밍(Click Spamming), 클릭 인젝션 (Click Injection)의 형태가 가장 많이 확인되고 있습니다.
<글로벌 광고사기 유통 형태>
*인터셉트(Interceptd)의 보고서에 의하면 2019년도에는 SDK 스푸핑 방식이 급증하고 전통적으로 많이 보인 형태인 봇/애뮬레이터 또는 장치농장은 상대적으로 감소하고 있는 추세라고 한다. 구체적인 Ad Fraud의 형태는 다음과 같습니다.
1) 장치 농장 (Device farms)
실제로 많은 Device를 사용하여 광고를 클릭하고 설치로 변환한 다음 Device를 리셋(reset)시켜서 위 프로세스를 다시 시작합니다. 원하는 만큼 클릭하거나 앱을 설치 할 수 있다. 결과 수치가 높지만 상대적으로 장치 수는 적은 패턴을 보입니다.
2) 봇/애뮬레이터 (Bots/emulators)
장치 농장과 비슷한 방식으로 봇 또는 에뮬레이터가 실제는 존재하지 않는 장치를 만들고 그 장치에서 유저가 광고를 클릭하고 앱을 설치하는 것처럼 조작하는 방식입니다. 존재하지 않는 장치를 활용하기 때문에 리셋하고 다시 프로세스를 진행하는 것이 보다 쉽고, 광고 사기꾼이 원하는 만큼 클릭이나 설치를 제공할 수 있다. 이 또한 일정한 패턴을 남깁니다.
3) SDK 스푸핑 (SDK Spoofing)
최근 가장 많이 논의되고 나타나는 사기 유형입니다. 광고주 또는 퍼블리셔의 앱(App)에 *Tracker *SDK를 직접 해킹하는 방식으로 Tracker 서버 간 *SSL 암호를 해킹하여 암호화된 데이터로부터 Tracker로 호출되는 URL(uniform resource locator)을 취득, 이를 통해 가짜 인스톨을 만들어 냅니다. 다시 말하면 광고 사기꾼들은 앱에 숨어있는 봇을 활용하여 MMP (Mobile Measurement Partner : 애트리뷰션 툴, 앱이나 프로그램을 사용한 유저의 소스와 데이터를 기록, 광고효과 산출의 기준이 되는 소프트웨어)에 유저가 클릭, 설치 또는 참여하고 있다는 일련의 가짜 신호를 보냅니다. MMP를 속여서 그 신호들이 진짜로 행해졌다고 생각하도록 하고 그에 대한 보상으로 광고비를 탈취하는 형태입니다. 통상적으로 앱은 평균 18개의 통합된 SDK를 가지고 있고, 이는 Ad Fraud에 적극 이용될 수 있습니다.
4) 클릭 스패밍 (Click spamming)
실제로 클릭 수는 많지 않지만 허위로 많이 누른 것처럼 만드는 상황으로 대량의 가짜 클릭 시그널을 네트워크 보내는 행위입니다. 허위 클릭을 만들어 놓고 *오가닉(Organic) 유저의 인스톨이 발생하는 순간을 기다린 다음 이를 전송합니다. 통상 클릭 스패밍은 CTIT이 길거나 불규칙한 패턴을 보입니다.
5) 클릭 인젝션 (Click Injection)
사용자가 앱을 다운로드 할 때, 악성 소프트웨어가 이를 감지하고 중간에 부정 삽입된 클릭이 트래킹 되도록 해 *전환(Conversion)을 가로채는 방법입니다.
6) 보상 남용 (Incent Abuse)
사용자에게 앱 클릭 및 설치 인센티브를 제공하는 보상형 트래픽 자체는 광고사기가 아닙니다. 하지만 보상형 트래픽을 사용함으로써 비보상형 *CPI 캠페인에서 설치에 대한 성과 숫자를 증가시키기 쉬운 방식이기 때문에 사용됩니다. 통상 높은 클릭-설치 전환률을 보이기 때문에 탐지될 수 있지만, 그 사실을 알고 있는 광고 사기꾼들 또한 가짜 클릭을 많이 보냄으로써 전환율을 낮추기 위한 노력을 하고 있어서 탐지가 쉽지 않습니다.
7) 자동 리디렉션 (Auto-redirection)
자동-리디렉션은 유저가 광고를 클릭하지 않아도 해당 광고의 랜딩 페이지로 리디렉션되는 방식의 Fraud입니다. 광고가 있는 페이지마다 자신의 의도와 상관없이 랜딩으로 연결되는 경우 광고주 뿐 만아니라 사용자 경험까지 해치기 때문에 미디어에 문제를 발생시키게 됩니다.
8) 사기성 광고 (Deceptive Ads)
사기성 광고는 OS나 앱의 인터페이스와 유사한 경고 또는 가짜 '닫기'버튼을 만들어 유저를 속인다. 이러한 방식으로 유도된 가짜 클릭은 광고주에게 부정적 영향을 줍니다.
9) 비디오자동재생 (Video auto-play)
동영상 광고를 자동 재생하도록 하는 Ad Fraud입니다. 이는 사용자가 광고를 보거나 알지 못할 때에 백그라운드(background)에서 자동으로 동영상 광고를 재생하면서 광고 노출이 없어도 노출이 있는 것처럼 조작합니다.
10) 위장형 부정인스톨
초기에 정상 트래픽을 제공하다가 일정 기간이 지나면 앱 다운로드 수가 증폭하게 되는데, ***앱 잔존율은 매우 낮아집니다.
8) 재고버스트
광고 인벤토리 이용수가 정상적이다 9일차에 갑자기 급증합니다. 반면, 앱 내 가입률은 없습니다.
11) 애드스태킹(Ad Stacking)
게재 지면에 여러 개의 광고를 겹쳐서 보내는 형식, 하나의 광고 뒤에 여러 개의 광고가 있다 보니 한 번의 클릭으로 다른 광고들에도 다수의 클릭이 적용되는 구조입니다. 유저는 최상단에 보이는 하나의 광고에 노출되는 것으로 보이지만, 사실 여러 겹으로 겹쳐져있는 모든 광고 역시 노출된 것으로 판정되는 방식이므로 광고주는 이런 식으로 가짜 광고에 노출된 트래픽에 대한 비용까지 청구 받게 됩니다.
12) 픽셀서빙 (Pixel Serving)
아주 작은 픽셀 단위에 광고를 송출하여 사용자의 눈에는 보이지 않도록 의도적으로 고안한 광고를 말합니다.
13) 백그라운드 애드 서빙 (Background Ad Serving)
앱이 백그라운드에서 돌고 있는 동안 광고를 송출합니다.
14) 노출 하이재킹 (Impression Hijacking)
멀웨어가 포함된 앱을 다운받았을 때 유저 디바이스에 침투하여 보이지 않는 광고를 송출합니다.
15)클릭 스터핑 (Click Stuffing)
모바일 상에서 원하는 광고를 클릭하면 동시에 다른 앱에도 클릭을 유발시켜 전환값을 가로채는 방식으로 PC에서 쿠키 스터핑(Cookie Stuffing)과 비슷한 방식입니다.
16) 애트리뷰션 Fraud (Attribution Fraud)
페이지 방문시 특정 앱 ID가 생성되어 후에 유저가 자연 유입되더라도 그 웹사이트나 앱이 기여한 것으로 변형시키는 형태의 광고사기입니다.
17) 클릭 하이재킹 (Click Hijacking)
멀웨어가 포함된 앱을 다운받았을 때 유저 디바이스에 침투하여 페이지를 오픈하고 클릭을 생성하는 형태입니다.
18) 도메인 스푸핑 (Domain Spoofing)
주로 토렌트나 성인 사이트와 관련된 악의적인 사이트들이 진짜 도메인을 숨기고 양질의 프리미엄 도메인인 것처럼 사이트나 트래픽을 위장하여 노출되는 형태로 겉으로는 유명사이트의 광고로 노출되는 것으로 보이지만 사실 이와 무관한 악질적인 다른 도메인에 노출되는 것입니다.
19) 지역 위조(Location Fraud)
모바일에서 주로 일어나며 경도 위도를 조작해서 위치 타깃팅을 망치는 형태. 비싼 트래픽을 사고 오히려 값싼 트래픽의 타 지역으로 광고가 집행되어 손해를 보는 경우입니다. 예를 들어 광고 네트워크에서 일본 사용자의 열람 정보로 보고되었으나, 사실상 해당 열람 정보는 베트남에서 전송되는 경우를 말합니다.
20) 클릭농장 (Click farm)
대량의 인력을 고용하여 대량의 허위 클릭(클릭/설치/App.내 인터랙티브 등) 수를 발생시키는 방법입니다.
◇ 갈수록 진화하는 Ad Fraud
◎ Ad Fraud로 인해 발생하는 무효 트래픽을 IVT(invalid traffic) 혹은 NHT(non-human traffic)로 표현합니다. 그리고 Media Rating Council (MRC)에서는 IVT를 General and Sophisticated 두 가지 형태로 나누었는데, General IVT는 쉽게 걸러질 수 있는 타입인 반면 Sophisticated IVT는 디바이스 하이재킹(Hijacking), 말웨어(Malware) 등으로부터 발생하여 걸러내기 어려운, 보다 진화된 타입이다. 최근에는 Sophisticated IVT가 급증하고 있습니다.
○ 일반 DA 광고에 비해 동영상 형태가 더 높은 CPM 단가로 형성되어 있고 결국 동영상 인벤토리에서 IVT의 비율이 높습니다. 단가가 높은 곳에 해커들이 모일 수밖에 없기 때문입니다. 한편 직거래보다 프로그래매틱 바잉 (programmatic buying)의 IVT가 4배 더 높다. 이는 RTB (Real Time Bidding) 알고리즘 아래 자동으로 시스템이 돌아가서 필터링(filtering)하기에 어려움이 있고 결국 Fraud에 이용될 확률이 높아지는 것입니다.
○ 프로그래매틱 광고 운영 시 Ad fraud로 인한 가짜 퍼포먼스로 집중 노출하다보면 광고 인벤토리가 모자라게 되고 모자란 광고 인벤토리는 해커들에 의해서 새로운 값싼 광고 인벤토리들로 지속 공급됩니다. 물론 해당 광고는 봇(Bot)들에게 노출되고, 결과적으로 무의미한 수치이지만 높은 (가짜) 퍼포먼스 결과 리포트로 반영됩니다. 리포트에서는 당연히 노출량과 클릭 수치가 높다보니 결국 질보다 양에 집중하게 되는 결과를 초래하게 됩니다. 이 때문에 또 다른 광고 인벤토리 증가를 요구하게 되고 이는 다시 해커들에 의해 새로운 인벤토리가 나오게 되는 식의 반복 루프가 형성되는 것입니다.
○ 봇(Bot)넷은 해커가 여러 개의 봇을 만들어 컨트롤 하는 네트워크 구조로 되어 있고 주로 *리타케팅(Re-targeting) *쿠키(cookies)를 얻기 위해 이커머스(e-commerce) 사이트에 방문하고 월스트리트 저널이나 The Economists 같은 프리미엄 뉴스 사이트에서 구매력이 높은 고수익자 데모(Demo) 타깃을 확보합니다. 그 후 가짜 사이트에 방문하여 CPM이나 CPC로 수익을 얻는 구조를 지닙니다. 광고주들은 이 가짜 트래픽을 진성 트래픽이라고 믿고 계속 광고비를 투자하여 노출을 유지하게 됩니다. 심지어 프리퀀시 캡(빈도제한)을 인지하여 다 쓴 쿠키는 지우고 다시 이커머스로 들어가 위의 서클을 반복합니다. 특히 실시간으로 이뤄지는 경매(bidding) 네트워크에서는 가짜 사이트를 프리미엄사이트로 둔갑시키기 때문에 심각한 문제입니다. 이를 판별하기 위해서 다양한 툴이 제공되고 있지만 그 이상으로 봇(Bot)의 능력은 점점 진화하고 있습니다.
◎ 문제는 디지털 광고시장이 커짐에 따라 광고 사기꾼들에게 점점 매력적인 시장으로 변모하게 되고 광고사기 방식 또한 점점 진화하고 혁신적으로 성장하고 있어서 아무리 뛰어난 기술을 가지고 있더라도 이를 발견하기가 쉽지 않다는 점과 Ad Fraud에 대한 새로운 대응 기술의 적용을 위한 비용이 천문학적으로 증가하고 있다는 점입니다.
- 특히, 인앱(in-app) fraud는 전례가 없는 방식을 사용하는데 과거 데스크톱 봇(Bot)이 악성프로그램으로 배포되는 것에 반해 인앱(in-app)방식은 신뢰할 수 있는 소스 (예를 들어 구글 플레이 스토어)에서 적법하게 다운로드 받는 과정에서 일반적인 앱 속에 숨어들어 있다가 전파되게 됩니다.
- 이 앱은 소비자들에게 충분히 정상적인 만족과 즐거움을 주고 있는 가운데 해커의 필요에 따라 Fraud가 진행되기 때문에 인앱(In-app) Fraud는 탐지가 아주 어렵다는 것입니다.
- 최근 *앱스플라이어(AppsFlyer)의 보고서에 의하면 인스톨 대비 인앱(in-app) Fraud 증가량이 3배에 이르렀다고 합니다. (The state of Mobile Fraud, 2019-07, AppsFlyer
https://www.appsflyer.com/kr/resources/the-state-of-mobile-fraud-h1-2019/)
◇ Ad fraud가 야기하는 문제점
○ 첫째로 광고주는 불필요한 비용을 추가로 지불하게 됨으로써 광고비의 비효율성이 증가되는 것은 물론이고 이를 방지하기 위한 Anti-Fraud 시스템 활용 및 구축에 대한 추가 비용 집행이 발생하게 됩니다. 이로 인해 광고 집행에 대한 신뢰성과 안전성이 위협받게 되고 궁극적으로는 광고생태계의 유지와 성장에 위협요인으로 작용하게 됩니다.
- 예를 들어 클릭스패밍 (Click Spamming)의 경우 Ad Fraud는 광고의 영향을 받지 않고 생성되는 유저의 행동에 편승하게 됨으로써 광고주가 불필요한 비용을 지불하게 되며, 오가닉(Organic) 유입을 해당 네트워크, 사이트 또는 퍼블리셔(Publisher)의 성과로 인식하게 되어 향후 광고 집행에서도 지속적으로 비용을 쓰지 않아도 될 타깃에 비용을 쓰게 되는 선택을 할 가능성이 높아집니다.
○ 둘째로 Ad Fraud는 광고주의 브랜드 광고가 원치 않는 사이트에 노출되거나, 노출되어서는 안 될 환경에 브랜드가 노출됨으로써 궁극적으로 광고주 브랜드의 Brand Safety에 영향을 주기도 합니다.
- 예를 들어 도메인 스푸핑 (Domain Spoofing)와 같이 주로 토렌트나 성인 사이트와 관련된 악의적인 사이트들이 진짜 도메인을 숨기고 양질의 프리미엄 도메인인 것처럼 사이트나 트래픽을 위장하여 노출되는 형태에서는 결과리포트에서는 유명사이트의 광고로 노출되는 것으로 보이지만 사실 이와 무관한 악질적인 다른 도메인 사이트에 노출되어 광고주의 Brand Safety가 위협받기도합니다.
○ 셋째로 또한 Ad Fraud는 사이트나 앱을 소유한 퍼블리셔의 성과를 가로채면서 정당한 댓가를 취해야할 퍼블리셔의 수익과 평가를 가로채기 때문에 정확한 매체가치 형성을 방해하기도 합니다.
- 예를 들어 클릭인젝션 (Click Injection)의 경우 안드로이드 OS에서 Broadcast라는 기능을 통해 OS, 앱 레벨에서 디바이스의 앱들에 대해 특정한 시그널을 대규모로 전송, 단말기가 켜졌다든지, 충전기에 연결되었다든지 하는 정보를 제공하고대신 앱들이 UX를 더 좋게 할 수 있도록 도와주는데 이 시그널 중 package install과 같은 특정 앱이 인스톨되고 있다는 시그널이 있고 이를 통해 부정행위자들이 클릭 인젝션을 진행, 광고를 클릭하지 않더라도 유저의 인스톨 행위에 대해 광고를 클릭한 것처럼 attribution tool에 시그널을 올리게 됩니다.
○ 마지막으로 Ad Fraud는 개인정보 노출 위험을 급증시킵니다. 많은 유해한 Fraud 앱들이 앱을 다운받을 수 있는 스토어에 존재하고 이들은 정상적인 앱과 동일하게 “구글 플레이”에서도 다운받을 수 있는데 모든 앱들은 유저가 다운받을 때 개인정보에 대한 접근권한 허가 (access permission)을 받을 수 있고 필요 이상의 데이터에 대한 접근권을 요구하는 경우가 많습니다.
◇ 국내의 Ad Fraud에 관한 상황 인식
○ 해외에서 Ad Fraud 이슈가 큰 논란이 되고 있는 상황과는 달리 한국의 퍼포먼스 마케터들에게는 상대적으로 크게 이슈가 되지 않고 있습니다.
○ 사실 해외에서는 일련의 사건들을 통해 거대한 진실이 드러나고 그 진실에 대한 업계 전반의 고민과 대응책을 광고업계의 각 플레이어들 (광고주, 퍼블리셔, 개발자, 공급업자, 에이전시, 보안업체 등)이 함께 해오는 일련의 과정을 거쳐 왔습니다. 반면 국내에서는 디지털 마케팅의 본격 도입과 성장이 상대적으로 짧은 만큼 사회적으로도 광고업계에서 조차도 관련 논의나 고민을 시작하지 못한 채 시청행태의 변화에 따른 디지털 트렌드에 떠밀려 성장하는 시장에서 앞만 보고 달려온 것이 현실입니다.
○ 하지만, Ad Fraud 문제는 디지털 시장의 문제일 뿐만 아니라 TV, 신문, 극장, OOH를 아우르는 광고시장 전체의 광고비에 영향을 미쳐 온라인 광고 시장/온라인 마케팅의 근간을 흔들 수도 있는 중요한 사항이기 때문에 국내 마케터라면 꼭 살펴보아야 할 이슈라고 생각됩니다.
◇ Ad fraud에 대한 대응
1) Black List 관리
○ Ad Fraud라고 의심되는 특정 트래픽을 필터링 하는 것이 하나의 대응책이 될 수있습니다.
- 예를 들어 다량의 인스톨을 발생시키는 디바이스 트래픽, 의미 없는 국가에서 다량으로 발생하는 트래픽, CTIT가 짧은 트래픽 등을 “블랙리스트화” 하여 해당 트래픽을 제공하는 사이트, 앱, 퍼블리셔를 집행 대상 리스트에서 배제시키는 방식이 필요합니다. 하지만, Ad Fraud 또한 고도화됨에 따라 보다 복잡하고 진짜처럼 위장한 부정 트래픽을 발생시키기 때문에 탐지가 갈수록 어려워지고 있습니다.
2) 이용패턴 관리
○ 유저들의 이용 패턴과 다른 행태를 보이는 패턴을 제거하는 방법으로 보다 정교한 Ad Fraud를 배제할 수있습니다.
- 클릭스패밍(clikc spamming)의 예를 들면 보통 많은 경우의 유저들이 광고를 클릭해서 앱 스토어로 넘어가게 되고 바로 앱을 설치하고 실행하게 됩니다. 이와 반대로 클릭스패밍(click spamming) 등의 Ad Fraud는 일단 클릭을 먼저 발생 시켜놓고 오가닉(Organic) 인스톨이 발생했을 때 그 공을 가로채는 형태기 때문에 클릭 시점과 인스톨까지의 시간 간격이 랜덤하게 발생하게 됩니다.
- 따라서 클릭 시점 이후 시간이 많이 지난 후에(예: 한 시간) 인스톨이 발생 하는 비율이 높은 경우, 또는 특정 시간에 클릭이 대량 발생 하고 그 이후에 장시간동안 꾸준하게 인스톨이 발생하는 경우 해당 Ad Network(또는 매체)가 클릭 (click spamming)을 하고 있다는 것을 추정할 수 있습니다.
3) White List 등 신뢰 네트워크 관리
○ 신뢰할 수 있는 광고 파트너를 찾아 지속적인 거래를 함으로써 부정 광고 노출을 줄일 수 있습니다.
- 모바일 앱 시장이 분화되어 있는 아시아 태평양 지역의 특성상 광고도달률을 특장점으로 하는 파트너와 손을 잡기 쉽지만 무엇보다‘Ad Fraud’방지에 대한 대비책을 가진 신뢰할 수 있는 파트너나 “White List”에 포함시킬 수 있는 투명한 파트너와의 거래관계를 가져가는 것이 중요합니다.
- 예를 들어 외부로부터 부정한 트래픽을 유입시키지 않고 공개된 절차와 신뢰성을 지닌 방송콘텐츠 사업자와 협업관계를 구축하거나 유니레버와 같이 ‘Trusted Publishers’네트워크를 구축하여 온라인 광고 부정행위를 원천 차단할 수 있는 조치를 시행해야합니다.
○ 유니레버 부정광고의 트래픽 전쟁 선포 (Unilever의 부정 광고와의 트래픽 전쟁 선포, 디지털마케팅코리아,
- 유니레버는 “이제 기업들이 단순히 제품을 파는 것보다 글로벌로 이슈가 되는 과제를 해결하는 것에 초점을 두어야 하고, 또 다른 교훈은 산업 전반에 걸친 신뢰 재구축에 초점을 맞춰야 한다”는 것을 강조하면서 Ad Fraud에 대한 산업전반의 신뢰체계를 위해 ‘White List’거래처 관리차원을 넘어 신뢰 네트워크를 구성하는 방식으로 문제에 대응하고 있습니다.
- 실제로 유니레버는 ‘Unilever Trusted Publishers’ 네트워크를 구축하여 온라인 광고 부정행위에 맞서기 위한 개선책을 마련했다고 알렸습니다. 이는 유니레버의 광고가 봇(Bot)이 아닌 실제 사람들이 광고를 볼 수 있도록 하는 컨트롤 능력을 갖추게 하며, 가시성(viewability)를 높여 그들의 온라인 광고가 소비자들에게 보다 더 긍정적인 경험을 제공할 수 있도록 도움을 주는 것이 핵심입니다.
- Trusted Publisher’ 선정을 위한 심사기준 또한 매우 엄격한 것으로 알려져 있습니다. 심사 기준은 기존의 ‘3V’ 형식을 넘어선 – Viewability (가시성), Verification (검증) 및 Value standards (가치 표준) – 부정 광고 행위, 온라인 브랜드의 안전성, 광고 경험, 트래픽 품질, 광고 형식 및 데이터 액세스와 관련하여 보다 엄격하고 진화적인 점검 과정을 도입하여 Ad Fraud 문제에 적극 대처하고 있습니다.
4) 감지 기술과 프로세스를 갖춘 에이전시(agency)와 함께 광고 캠페인을 진행
○ Ad Fraud에 대한 최신 감지 기술을 갖춘 회사나 해당 프로세스를 지닌 에이전시와 캠페인을 진행하는 것도 한 방법입니다. Ad Fraud 기술이 점점 진화하고 정교해지는 만큼 기존의 방법으로는 탐지하기 어려워지고 있기 때문에 최신의 감지기술과 탐지 프로세스를 지닌 전문회사들과 협업을 통해 광고 캠페인을 진행하여 Fraud에 이용될 가능성을 줄이는 것도 필요합니다.
5) 제3자 검증 절차를 통해 광고트래픽을 관리
○‘*whiteops’와 같은 기업들은 광고트래픽을 검증, 관리하는 기업입니다. 이들을 활용하여 다른 광고네트워크나 퍼블리셔 등 파트너를 지속적으로 검증함으로써 부정 광고에 대한 노출을 줄일 수 있습니다. 이들은 광고트래픽의‘심판’구실을 하고 기업이 부정 광고를 사용할 수 있는 요소를 식별하여 제거하는데 중점 기능을 가지고 있습니다.
◇ 국내 대응 필요성
○ 해외에서는 이미 AD Fraud의 심각성을 인지하고 각 에이전시에서 발 빠르게 대처 방안을 마련하고 있습니다. 국내 보다 프로그래매틱 바잉이 활발하게 움직이는 시장이기 때문에도 그렇겠지만, 해외의 사례들은 결국 국내 역시 안전지대는 아니다라는 것과 알고 있는 것보다 그 피해가 훨씬 심각할 수가 있다라는 것을 반증한다고 하겠습니다.
- 특히 향후 국내 디지털 광고 방향은 프로그래매틱 바잉이라고 업계에서 강조하는 만큼 동시에 AD Fraud를 인지하고 어떻게 대처해야 할지 역시 다각도로 논의 될 필요성이 있다고 볼 수 있습니다.
○ 한국 디지털 동영상 광고 시장의 규모는 2019년 4조원을 넘어설 정도로 큽니다. 시장의 성장과 함께 알게 모르게 모바일 부정 광고 역시 늘어나고 있습니다. 국내 Ad Fraud는 전년 대비 2배 이상 늘어난 것으로 모바일 측정 및 프로드 방지 서비스 업체 애드저스트(adjust) 자체 조사 결과 나타났다고 합니다. 국내에서도 이러한 Ad Fraud를 사전에 검증하고 발견하며, 적극적으로 대처하기 위한 노력이 필요하다고 봅니다.
○ 해외의 “Ad Fraud에 대항하는 연합 (CAAF : Coalition Against Ad Fraud)”과 같이 Fraud에 전면적으로 맞서고자 하는 자발적 연합전선을 구축하여 Fraud 감지와 예방을 위한 가이드라인 및 표준안을 제정하고 기술의 업계 표준화를 추구하는 등에 대한 국내 광고업계간 협업도 필요할 것입니다.
○ 트래픽가드의 창업자이자 최고운영책임자인 루크 테일러(Luke Taylor)의 말을 마지막으로 Ad Fraud에 대처하는 국내 광고업계의 자세에 대해 고민하고자 합니다. “Ad Fraud는 디지털 광고 생태계를 위협하는 중대한 문제입니다. 확고한 목적을 기반으로 보호 방안을 강구해야 합니다. 단순히 광고주에게 Ad Fraud 발생 여부를 알리고 광고비용을 삭감하는 것이 아니라, 적극적으로 무효 트래픽을 차단하고 실시간으로 문제를 알리고 해결하는 방법이 모색되어야 합니다.”