SKAdNetwork 광고주가 대비해야 할 3가지 사기 발생 원인

SKAdNetwork를 이용한 iOS 14에서의 사기 행위는 어떤 모습일까요 ? 애플이 앱 설치에 암호화 서명을 하고 있다는 점을 고려할 때, 사기 행위 자체가 가능한 것일까요?

iOS 14의 모든 개인정보 보호 기능을 완벽하게 구현할 2021년 초까지의 기간 동안 SKAdNetwork를 테스트하고 있습니다. 목표는 IDFA 없이 마케팅 최적화 기능을 표준 iOS 13 방식의 어트리뷰션 분석과 동등하거나 그 이상으로 향상시키는 것입니다.

하지만 사기는 어떻게 처리하나요?

SKAdNetwork가 완전히 가동되면 iOS 14에서 사기 문제를 걱정해야 할까요?

간단히 말해서, 정답은 "물론입니다."입니다. 좀 더 자세히 설명하자면, 사기꾼들이 전환을 조작하고, 기여도 분석을 왜곡하고, ​​돈을 낭비하고, 데이터를 훼손할 수 있는 방법은 최소 세 가지가 있습니다. 이번 Growth Masterminds에서는 Singular 의 사기 방지 인 Yonatan Komornik과 함께 이 세 가지 방법을 모두 자세히 살펴보겠습니다.

존 코에치어: 간략하게, 잠재적인 문제점 세 가지는 무엇입니까?

요나탄 코모르닉 : SKAdNetwork 2.0에는 데이터 유효성 검사를 가능하게 하는 암호화 서명이 포함되어 있어 사기 행위자가 SKAdNetwork 알림을 위조하거나 변조하는 것을 기본적으로 방지하지만, 여전히 몇 가지 문제가 있습니다.

우선, 설치 후 변환 값은 서명된 데이터에 포함되지 않습니다. 또한 국가 및 지리적 위치 정보도 인코딩되어 있지 않습니다. 마지막으로, 서명 유효성 검사는 생각만큼 간단하지 않습니다.

코에치어 : 그럼 설치 후 변환부터 시작해서 각각의 문제점을 살펴보겠습니다.

우리는 앱을 설치하고, 어쩌면 무언가를 구매했거나, 참여했거나, 레벨을 완료했거나 하는 사람들에 대해 이야기하고 있습니다. 여기서 해결해야 할 과제는 무엇일까요?

코모르닉 : 잠시 되돌아가 보겠습니다. SKAdNetwork 2.0에는 변환 값이라고 하는 6비트 값이 포함되어 있습니다.

광고 네트워크 에서 유입된 사용자의 가치를 반영하도록 업데이트할 수 있습니다 . 이 기능은 SKAdNetwork 알림에 포함되어 있습니다. 따라서 특정 광고 네트워크의 특정 캠페인, 심지어 특정 게시자를 통해 유입된 사용자의 설치가 발생했을 때, 예를 들어 100점 만점의 점수를 받은 사용자의 알림을 받을 수 있습니다.

그리고 광고주들은 기본적으로 이러한 점수를 기준으로 최적화를 진행할 수 있습니다. 예를 들어 점수가 높을수록 사용자가 더 우수하다고 볼 수 있습니다.

이 특정 전환 값은 SKAdNetwork 알림에 서명되지 않으므로, 값이 변경되더라도 SKAdNetwork 포스트백의 인증은 여전히 ​​유효합니다. SKAdNetwork 알림은 광고 네트워크에 먼저 도착한 후 광고주 또는 MMP와 공유되므로, 악의적인 행위자는 아무도 모르게 해당 값을 변경할 수 있습니다.

코에치어 : 두 번째로 말씀하신 건 국가 코드 문제였죠? 예를 들어 영국 사용자를 찾는데 우즈베키스탄 같은 국가 코드가 나오는 경우 말이에요. 뭐가 문제인가요?

코모르닉 : SKAdNetwork 알림은 기기 자체에서 전송되므로 메타데이터 자체에 광고주에게 매우 가치 있는 고유한 값들이 포함되어 있다는 뜻입니다. 예를 들어 IP 주소에서 유추할 수 있는 지리적 위치 정보 같은 것이죠.

하지만 SKAdNetwork 알림은 먼저 네트워크로 전송되므로 네트워크는 기본적으로 원하는 지리적 위치 정보를 보고할 수 있습니다. 다시 말하지만, 이는 서명 및 검증된 데이터의 일부가 아닙니다.

코에치어 : 그러니까 설치 후 변환 값과 국가 코드에 대한 설명입니다. 그런데 아까 이야기 나눴던 것처럼 서명 유효성 검사만으로는 충분하지 않다고 하셨잖아요? 누군가 같은 포스트백을 계속해서 반복 실행할 수도 있으니까요.

맞습니까?

코모르닉 : 그렇습니다.

자, 좀 더 간단하게 예를 들어 설명해 볼게요. 자녀가 학교 시험에서 좋은 성적을 받도록 격려하고 싶다고 가정해 봅시다. 그래서 시험에서 A를 받을 때마다 상을 주겠다고 했죠. 그런데 학교에서는 시험지에 날짜를 적지 않고 그냥 A라고 도장만 찍어줍니다. 그런데 자녀가 그 도장을 위조할 수도 있다는 걸 알고 계시죠? 그래서 자녀는 A가 찍힌 시험지를 가져올 겁니다.

그러면 당신은 당연히 기뻐할 겁니다. 그리고 당신은 그들에게 약속했던 상을 줄 겁니다.

하지만 그러면 그들은 사실상 똑같은 시험을 다시 낼 수 있죠. 솔직히 말해서, 당신은 첫 번째 시험을 제대로 읽지도 않았잖아요. 게다가 시험은 유효기간이 없으니, 당신은 그들에게 다시 상을 줄 거고, 그들은 당신이 원하는 만큼 시험을 반복 낼 수 있을 겁니다.

그러니까, 당신의 기억력이 그렇게 짧지는 않을 테니, 그 방법이 꼭 통하지는 않겠지만, 어쩌면 6개월 전이나 1~2년 전 시험지를 가져왔을 수도 있어요. 시험지에 찍힌 도장이나 A 학점은 여전히 ​​A이고, 채점도 제대로 된 시험지이기 때문에 같은 시험지를 사용할 수 있는 거죠. 다만 날짜가 적혀 있지 않아서 최근 시험지인지 알 방법이 없는 거예요.

SKAdNetwork도 마찬가지입니다.

애플은 기본적으로 광고 네트워크(학생)에게 설치가 완료되었다는 알림을 보내고, 이를 검증할 수 있는 서명을 제공합니다.

광고주 입장에서 광고 네트워크를 다시 한번 확인하고 싶다면, 네트워크 측에 알림을 요청할 수 있습니다. 하지만 광고 네트워크는 동일한 알림을 계속해서 제공할 수도 있습니다. 물론, 그렇게 노골적으로 하지는 않을 수도 있습니다. 예를 들어, 6개월 후에 새로운 알림으로 교체하거나, 기존 알림을 새로운 알림에 추가하는 방식도 있을 수 있습니다.

따라서 새로 받는 모든 알림과 서명을 과거에 받았던 모든 내용과 대조하여 확인해야 합니다.

코에치어 : 가짜 트래픽, 가짜 사용자, 디바이스 팜, 또는 소프트웨어로 시뮬레이션된 가짜 기기 같은 것들은 여전히 ​​문제인가요?

코모르닉 : 정말 좋은 질문입니다.

SKAdNetwork를 도입하더라도 모든 광고가 SKAdNetwork 기반으로 전환되는 것은 아니라는 점을 고려해 볼 필요가 있다고 생각합니다. 일부 광고주는 증분 효과 테스트를 특정 캠페인 실행 시 성과 향상 정도를 확인하는 방식으로 광고 네트워크와 채널의 효과를 측정하려고 할 수도 있습니다.

그리고 그런 경우에도 기존의 광고 사기 .

예를 들어 봇과 가짜 설치가 있습니다. 또 다른 유형의 사기는 Apple의 SKAdNetwork 엔드포인트에 등록되지만 실제로는 사용자를 유도하지 않는 인센티브 광고 캠페인입니다. 즉, 자연 유입 사용자를 기준으로 실적을 올리려는 시도입니다.

코에치어 Singular SKAN과 시큐어 SKAN이라는 게 있는데 … 어떻게 작동하는 건가요?

코모르닉 : Singular 고객을 위해 SKAdNetwork 알림의 서명을 모두 검증할 것입니다. 하지만 말씀드렸듯이, 이러한 데이터 중 일부는 변경될 수 있으며, 네트워크에서 포스트백만 수신하는 방식으로는 변경 여부를 제대로 파악할 방법이 없습니다. 즉, 포스트백을 보내는 장치, 즉 데이터 소스에 더 가까워야 한다는 의미입니다. 장치에 가까울수록 네트워크에서 데이터를 변경할 가능성이 줄어들기 때문입니다.

문제는 SKAdNetwork 알림이 네트워크라는 단 하나의 목적지로만 전송될 수 있다는 점입니다.

이것이 바로 우리가 직면해 온 과제이며, 우리가 고안해낸 매우 혁신적인 해결책 중 하나는 HTTP 307 리디렉션을 사용 . 즉, 예를 들어 광고 네트워크 엔드포인트가 기기에게 "포스트백을 다른 곳으로 보내세요"라고 알려주는 방법입니다.

이제 해당 통합을 지원하는 네트워크는 SKAdNetwork로 수신한 포스트백을 Singular 로도 전송하도록 리디렉션할 수 있습니까? 즉, Singular 정보가 중간에 변경되지 않고 디바이스에서 직접 포스트백을 수신하게 됩니다.

물론 몇 가지 과제도 있지만, 광고 네트워크 및 파트너사와 협력하여 이를 구현해 나가고 있습니다. 하지만 이 솔루션이 광고주들에게 더 나은 보안과 SKAdNetwork에 대한 더 큰 신뢰를 제공할 것이라고 확신합니다.

코에치어 : iOS 14가 완전히 구현되고 애플이 IDFA를 선택 사항으로 완전히 전환하면 사기 행위가 더 많아질 거라고 예상하십니까? 아니면 줄어들 거라고 예상하십니까?

코모르닉 : 음… 저는 예언자가 아니에요. 미래를 예측할 수는 없죠.

202년에는 사기 발생 건수가 줄어들 것으로 예상되지만, 사기범들은 여전히 ​​매우 능숙하며 시스템을 악용하고 탈취할 새로운 방법을 끊임없이 모색할 것입니다. 따라서 우리는 경계를 늦추지 않고 이러한 사례들을 찾아내야 합니다.

예를 들어, 한 달 전쯤 보안 회사인 Snyk.io가 새로운 광고 설치 사기 수법을 . 따라서 지금 당장 사기가 불가능하다고는 말할 수 없습니다. 다만 앞으로 사기를 저지르기가 훨씬 더 어려워질 것이라고 말할 수 있습니다.

코에치어 : 그렇다면 광고주들이 최대한 안전하게 광고를 하려면 어떻게 해야 할까요?

코모르닉 : Singular 대부분의 작업을 처리하지만, 최신 SDK를 통합하고 파트너에게 Secure-SKAN을 지원하도록 요청하는 것을 잊지 마세요.

Koetsier : 비클라이언트에 대해서는요?

코모르닉 : 언제든지 저희 웹사이트에 방문하셔서 데모를 요청해 주세요 . 다양한 기능을 자세히 설명해 드리고 심도 있는 상담을 제공해 드리겠습니다.

코에치어 : 시간 내주셔서 정말 감사합니다.

여기에서 원하는 팟캐스트 플랫폼에서 Growth Masterminds를 구독하세요 .