본문으로 건너뛰기
J
피드

Honey의 디젤게이트: 테스터 탐지하고 속이는 방법까지 적발됨

security 약 7분
tags
#honey#affiliate-marketing#browser-extension#dieselgate#privacy
vote
0
댓글
북마크

브라우저 쇼핑 플러그인 Honey가 테스터와 업계 관계자를 탐지해 규칙을 준수하는 척하고, 일반 사용자에게는 어필리에이트 stand down 규칙을 무시하는 이중 동작을 구현한 것이 소스코드·설정파일·텔레메트리 분석으로 밝혀짐.

  • 1

    계정 나이 30일 미만, 포인트 65000 미만, 서버 블랙리스트, 어필리에이트 대시보드 쿠키 등 4가지 기준으로 테스터 탐지

  • 2

    4가지 중 하나라도 걸리면 100% 규칙 준수, 전부 통과하면 100% 무시하는 결정론적 동작

  • 3

    eBay만 24시간 stand down과 하드코딩 예외로 특별 대우

  • 4

    MegaLag 영상(2024.12) 이후 포인트 임계값을 급격히 올린 정황

  • 5

    Chrome 웹스토어와 Apple 앱스토어 정책 위반 가능성 높음

  • 브라우저 쇼핑 플러그인 Honey가 폭스바겐 디젤게이트급 사기를 치고 있었다는 분석 결과가 나옴. 핵심: Honey는 테스터(네트워크 품질 직원, 머천트의 어필리에이트 매니저, 업계 관계자)가 사용 중이라고 판단하면 규칙을 잘 지키고, 일반 사용자라고 확신하면 규칙을 무시함

어필리에이트 마케팅의 기본 규칙과 Stand Down

  • 어필리에이트 마케팅의 기본 원칙: 웹 퍼블리셔가 링크를 보여주고, 사용자가 클릭해서 구매하면 마지막 클릭한 퍼블리셔에게 커미션이 감. 쇼핑 플러그인 같은 클라이언트 소프트웨어는 항상 "마지막"이 될 수 있어서 이 구조를 왜곡함
  • 그래서 "stand down" 규칙이 존재함: 다른 웹 어필리에이트가 이미 사용자를 특정 머천트로 보냈으면, 쇼핑 플러그인은 자기 링크를 보여주지 않아야 함. 2002년부터 있던 규칙이고, 지금은 계약상 의무임
  • MegaLag라는 유튜버가 2024년 12월에 1,800만 뷰짜리 영상으로 Honey의 위반 행위를 폭로했었는데, 실제 상황은 그때 알려진 것보다 훨씬 심각했음

Honey의 테스터 탐지 방법 4가지

  • 신규 계정 차단: 계정 생성 후 30일 미만이면 테스터로 간주하고 규칙 준수. 신규 PC에 플러그인 깔고 바로 테스트하는 패턴을 원천 차단하는 거임
  • 낮은 포인트 잔액: 현재 기준 65,000포인트(약 650달러 상당) 미만이면 테스터로 간주. 2022년에는 대부분 네트워크에서 포인트 요건이 없었고 Rakuten만 501포인트(약 5달러)였는데, MegaLag 영상 이후 급격히 올림
  • 서버사이드 블랙리스트: 사용자 ID, 쿠키, IP 주소를 기반으로 서버에서 차단 결정. 이전에 Honey에 민원을 넣은 사용자를 차단할 수 있음
  • 어필리에이트 업계 쿠키 체크: CJ, Rakuten Advertising, Awin 대시보드에 로그인한 쿠키가 있으면 업계 관계자로 간주하고 규칙 준수. 이게 가장 결정적인 증거임 — 쇼핑 플러그인이 사용자가 어필리에이트 대시보드에 로그인했는지를 확인할 정당한 이유가 전혀 없음

중요

> 네 가지 기준 중 하나라도 걸리면 Honey는 stand down을 100% 준수함. 네 가지 다 통과하면 100% 무시함. 확률적 판단이 아니라 결정론적(deterministic) 동작이라는 점이 핵심.

기술적 증거: 설정 파일, 텔레메트리, 소스코드

  • Honey의 설정은 standdown-rules.json(기본 stand down)과 ssd.json(선택적 stand down 해제) 두 파일로 나뉨. ssd.json에 포인트 임계값(uP: 65000), 블랙리스트 체크(bl: 1), 어필리에이트 쿠키 체크(gca: 1) 등이 명시되어 있음
  • 어필리에이트 도메인 목록과 체크할 쿠키 이름을 의도적으로 별도의 1차원 배열로 분리해서 저장함. 분석가가 설정 파일을 봐도 연결 관계를 알아채기 어렵게 만든 거임
  • 텔레메트리에서도 증거가 명확함: 포인트가 적은 계정은 "state":"uP:5001"로 stand down 사유가 찍히고, 포인트를 속이면 "state":"ssd"(전부 통과)로 바뀜. CJ 대시보드 쿠키가 있으면 "state":"gca"로 찍힘
  • 브라우저 확장 프로그램이라 JavaScript 소스코드 분석도 가능함. 축소(minified) 상태에서 150만 줄 이상이지만 "ssd" 검색으로 관련 로직을 찾을 수 있음. Apple 앱 스토어용으로 sourceMappingURL 메타데이터가 남아있어서 원본 함수/변수명도 복원 가능했음

eBay만 특별 대우

  • 다른 머천트는 stand down 기간이 3,600초(1시간)인데 eBay는 86,400초(24시간). 게다가 코드에 eBay 전용 하드코딩 예외가 있어서, 설정 파일이 뭐라고 하든 eBay에서는 무조건 stand down을 지킴
  • 이유? 2008년에 eBay가 자사 최대 어필리에이트 두 명(합산 18개월간 2천만 달러 이상 수령)을 민형사 소송으로 감옥에 보낸 전력이 있음. eBay는 어필리에이트 컴플라이언스에서 "깐깐하고 무서운" 평판을 가지고 있어서 Honey가 건드리기 싫었던 거임
  • 다른 머천트 입장에서 보면 황당한 차별 대우: "eBay는 24시간 stand down에 하드코딩 예외까지 받는데 우리는 왜?"

시간에 따른 변화와 향후 전망

  • 2022~2023년 설정에는 대부분 네트워크에 포인트 요건이 없었음. MegaLag 영상(2024년 12월)과 후속 소송 이후에 65,000포인트 임계값이 갑자기 생김. 들켜서 올린 게 뻔함
  • Rakuten(LinkShare) 전용 포인트 임계값이 5,001인데, 전체 기본값 65,000보다 낮음. 원래 Rakuten에 대해 더 엄격하게 설정했다가, 전체 임계값을 나중에 올리면서 Rakuten 오버라이드를 깜빡한 것으로 추정. 의도와 반대로 Rakuten이 가장 느슨해져버린 실수

⚠️주의

> Google Chrome 웹스토어는 "개발자 투명성"을 요구하고 "기만적 행위"를 금지함. "기능 은닉"도 명시적으로 금지. Apple 앱 스토어도 마찬가지. 두 플랫폼 모두 강한 제재가 예상됨. 진행 중인 집단소송에서도 Honey가 의도적으로 테스터를 회피했다는 증거가 추가되면 사건이 훨씬 단순해질 것으로 보임.

  • 연구자 본인도 2020년에 아마존이 Honey를 "보안 위험"이라고 경고했을 때 "두 거인의 비즈니스 분쟁"으로 치부했는데, 지금 와서 보니 아마존이 처음부터 맞았다고 인정함. Honey가 모든 사이트의 쿠키를 읽을 수 있는 과도한 권한을 가지고 있다는 점이 이 모든 부정행위의 기반이었음

폭스바겐이 실험실에서만 배기가스 규제를 통과시킨 것과 정확히 같은 패턴. 숨기려 한 행위 자체가 본인이 규칙 위반을 인지하고 있었다는 결정적 증거가 됨.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.