본문으로 건너뛰기
피드

Honey의 디젤게이트: 테스터 탐지하고 속이는 방법까지 적발됨

security 약 7분
vote
0
댓글
북마크

브라우저 쇼핑 플러그인 Honey가 테스터와 업계 관계자를 탐지해 규칙을 준수하는 척하고, 일반 사용자에게는 어필리에이트 stand down 규칙을 무시하는 이중 동작을 구현한 것이 소스코드·설정파일·텔레메트리 분석으로 밝혀짐.

  • 1

    계정 나이 30일 미만, 포인트 65000 미만, 서버 블랙리스트, 어필리에이트 대시보드 쿠키 등 4가지 기준으로 테스터 탐지

  • 2

    4가지 중 하나라도 걸리면 100% 규칙 준수, 전부 통과하면 100% 무시하는 결정론적 동작

  • 3

    eBay만 24시간 stand down과 하드코딩 예외로 특별 대우

  • 4

    MegaLag 영상(2024.12) 이후 포인트 임계값을 급격히 올린 정황

  • 5

    Chrome 웹스토어와 Apple 앱스토어 정책 위반 가능성 높음

  • 브라우저 쇼핑 플러그인 Honey가 폭스바겐 디젤게이트급 사기를 치고 있었다는 분석 결과가 나옴. 핵심: Honey는 테스터(네트워크 품질 직원, 머천트의 어필리에이트 매니저, 업계 관계자)가 사용 중이라고 판단하면 규칙을 잘 지키고, 일반 사용자라고 확신하면 규칙을 무시함

어필리에이트 마케팅의 기본 규칙과 Stand Down

  • 어필리에이트 마케팅의 기본 원칙: 웹 퍼블리셔가 링크를 보여주고, 사용자가 클릭해서 구매하면 마지막 클릭한 퍼블리셔에게 커미션이 감. 쇼핑 플러그인 같은 클라이언트 소프트웨어는 항상 "마지막"이 될 수 있어서 이 구조를 왜곡함
  • 그래서 "stand down" 규칙이 존재함: 다른 웹 어필리에이트가 이미 사용자를 특정 머천트로 보냈으면, 쇼핑 플러그인은 자기 링크를 보여주지 않아야 함. 2002년부터 있던 규칙이고, 지금은 계약상 의무임
  • MegaLag라는 유튜버가 2024년 12월에 1,800만 뷰짜리 영상으로 Honey의 위반 행위를 폭로했었는데, 실제 상황은 그때 알려진 것보다 훨씬 심각했음

Honey의 테스터 탐지 방법 4가지

  • 신규 계정 차단: 계정 생성 후 30일 미만이면 테스터로 간주하고 규칙 준수. 신규 PC에 플러그인 깔고 바로 테스트하는 패턴을 원천 차단하는 거임
  • 낮은 포인트 잔액: 현재 기준 65,000포인트(약 650달러 상당) 미만이면 테스터로 간주. 2022년에는 대부분 네트워크에서 포인트 요건이 없었고 Rakuten만 501포인트(약 5달러)였는데, MegaLag 영상 이후 급격히 올림
  • 서버사이드 블랙리스트: 사용자 ID, 쿠키, IP 주소를 기반으로 서버에서 차단 결정. 이전에 Honey에 민원을 넣은 사용자를 차단할 수 있음
  • 어필리에이트 업계 쿠키 체크: CJ, Rakuten Advertising, Awin 대시보드에 로그인한 쿠키가 있으면 업계 관계자로 간주하고 규칙 준수. 이게 가장 결정적인 증거임 — 쇼핑 플러그인이 사용자가 어필리에이트 대시보드에 로그인했는지를 확인할 정당한 이유가 전혀 없음

중요

> 네 가지 기준 중 하나라도 걸리면 Honey는 stand down을 100% 준수함. 네 가지 다 통과하면 100% 무시함. 확률적 판단이 아니라 결정론적(deterministic) 동작이라는 점이 핵심.

기술적 증거: 설정 파일, 텔레메트리, 소스코드

  • Honey의 설정은 standdown-rules.json(기본 stand down)과 ssd.json(선택적 stand down 해제) 두 파일로 나뉨. ssd.json에 포인트 임계값(uP: 65000), 블랙리스트 체크(bl: 1), 어필리에이트 쿠키 체크(gca: 1) 등이 명시되어 있음
  • 어필리에이트 도메인 목록과 체크할 쿠키 이름을 의도적으로 별도의 1차원 배열로 분리해서 저장함. 분석가가 설정 파일을 봐도 연결 관계를 알아채기 어렵게 만든 거임
  • 텔레메트리에서도 증거가 명확함: 포인트가 적은 계정은 "state":"uP:5001"로 stand down 사유가 찍히고, 포인트를 속이면 "state":"ssd"(전부 통과)로 바뀜. CJ 대시보드 쿠키가 있으면 "state":"gca"로 찍힘
  • 브라우저 확장 프로그램이라 JavaScript 소스코드 분석도 가능함. 축소(minified) 상태에서 150만 줄 이상이지만 "ssd" 검색으로 관련 로직을 찾을 수 있음. Apple 앱 스토어용으로 sourceMappingURL 메타데이터가 남아있어서 원본 함수/변수명도 복원 가능했음

eBay만 특별 대우

  • 다른 머천트는 stand down 기간이 3,600초(1시간)인데 eBay는 86,400초(24시간). 게다가 코드에 eBay 전용 하드코딩 예외가 있어서, 설정 파일이 뭐라고 하든 eBay에서는 무조건 stand down을 지킴
  • 이유? 2008년에 eBay가 자사 최대 어필리에이트 두 명(합산 18개월간 2천만 달러 이상 수령)을 민형사 소송으로 감옥에 보낸 전력이 있음. eBay는 어필리에이트 컴플라이언스에서 "깐깐하고 무서운" 평판을 가지고 있어서 Honey가 건드리기 싫었던 거임
  • 다른 머천트 입장에서 보면 황당한 차별 대우: "eBay는 24시간 stand down에 하드코딩 예외까지 받는데 우리는 왜?"

시간에 따른 변화와 향후 전망

  • 2022~2023년 설정에는 대부분 네트워크에 포인트 요건이 없었음. MegaLag 영상(2024년 12월)과 후속 소송 이후에 65,000포인트 임계값이 갑자기 생김. 들켜서 올린 게 뻔함
  • Rakuten(LinkShare) 전용 포인트 임계값이 5,001인데, 전체 기본값 65,000보다 낮음. 원래 Rakuten에 대해 더 엄격하게 설정했다가, 전체 임계값을 나중에 올리면서 Rakuten 오버라이드를 깜빡한 것으로 추정. 의도와 반대로 Rakuten이 가장 느슨해져버린 실수

⚠️주의

> Google Chrome 웹스토어는 "개발자 투명성"을 요구하고 "기만적 행위"를 금지함. "기능 은닉"도 명시적으로 금지. Apple 앱 스토어도 마찬가지. 두 플랫폼 모두 강한 제재가 예상됨. 진행 중인 집단소송에서도 Honey가 의도적으로 테스터를 회피했다는 증거가 추가되면 사건이 훨씬 단순해질 것으로 보임.

  • 연구자 본인도 2020년에 아마존이 Honey를 "보안 위험"이라고 경고했을 때 "두 거인의 비즈니스 분쟁"으로 치부했는데, 지금 와서 보니 아마존이 처음부터 맞았다고 인정함. Honey가 모든 사이트의 쿠키를 읽을 수 있는 과도한 권한을 가지고 있다는 점이 이 모든 부정행위의 기반이었음

폭스바겐이 실험실에서만 배기가스 규제를 통과시킨 것과 정확히 같은 패턴. 숨기려 한 행위 자체가 본인이 규칙 위반을 인지하고 있었다는 결정적 증거가 됨.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.