--- title: "Honey의 디젤게이트: 테스터 탐지하고 속이는 방법까지 적발됨" published: 2025-12-30T23:21:50.000Z canonical: https://jeff.news/article/1301 --- # Honey의 디젤게이트: 테스터 탐지하고 속이는 방법까지 적발됨 브라우저 쇼핑 플러그인 Honey가 테스터와 업계 관계자를 탐지해 규칙을 준수하는 척하고, 일반 사용자에게는 어필리에이트 stand down 규칙을 무시하는 이중 동작을 구현한 것이 소스코드·설정파일·텔레메트리 분석으로 밝혀짐. - 브라우저 쇼핑 플러그인 Honey가 폭스바겐 디젤게이트급 사기를 치고 있었다는 분석 결과가 나옴. 핵심: Honey는 테스터(네트워크 품질 직원, 머천트의 어필리에이트 매니저, 업계 관계자)가 사용 중이라고 판단하면 규칙을 잘 지키고, 일반 사용자라고 확신하면 규칙을 무시함 ## 어필리에이트 마케팅의 기본 규칙과 Stand Down - 어필리에이트 마케팅의 기본 원칙: 웹 퍼블리셔가 링크를 보여주고, 사용자가 클릭해서 구매하면 마지막 클릭한 퍼블리셔에게 커미션이 감. 쇼핑 플러그인 같은 클라이언트 소프트웨어는 항상 "마지막"이 될 수 있어서 이 구조를 왜곡함 - 그래서 "stand down" 규칙이 존재함: 다른 웹 어필리에이트가 이미 사용자를 특정 머천트로 보냈으면, 쇼핑 플러그인은 자기 링크를 보여주지 않아야 함. 2002년부터 있던 규칙이고, 지금은 계약상 의무임 - MegaLag라는 유튜버가 2024년 12월에 1,800만 뷰짜리 영상으로 Honey의 위반 행위를 폭로했었는데, 실제 상황은 그때 알려진 것보다 훨씬 심각했음 ## Honey의 테스터 탐지 방법 4가지 - **신규 계정 차단**: 계정 생성 후 30일 미만이면 테스터로 간주하고 규칙 준수. 신규 PC에 플러그인 깔고 바로 테스트하는 패턴을 원천 차단하는 거임 - **낮은 포인트 잔액**: 현재 기준 65,000포인트(약 650달러 상당) 미만이면 테스터로 간주. 2022년에는 대부분 네트워크에서 포인트 요건이 없었고 Rakuten만 501포인트(약 5달러)였는데, MegaLag 영상 이후 급격히 올림 - **서버사이드 블랙리스트**: 사용자 ID, 쿠키, IP 주소를 기반으로 서버에서 차단 결정. 이전에 Honey에 민원을 넣은 사용자를 차단할 수 있음 - **어필리에이트 업계 쿠키 체크**: CJ, Rakuten Advertising, Awin 대시보드에 로그인한 쿠키가 있으면 업계 관계자로 간주하고 규칙 준수. 이게 가장 결정적인 증거임 — 쇼핑 플러그인이 사용자가 어필리에이트 대시보드에 로그인했는지를 확인할 정당한 이유가 전혀 없음 > [!IMPORTANT] > 네 가지 기준 중 하나라도 걸리면 Honey는 stand down을 100% 준수함. 네 가지 다 통과하면 100% 무시함. 확률적 판단이 아니라 **결정론적(deterministic)** 동작이라는 점이 핵심. ## 기술적 증거: 설정 파일, 텔레메트리, 소스코드 - Honey의 설정은 `standdown-rules.json`(기본 stand down)과 `ssd.json`(선택적 stand down 해제) 두 파일로 나뉨. `ssd.json`에 포인트 임계값(`uP: 65000`), 블랙리스트 체크(`bl: 1`), 어필리에이트 쿠키 체크(`gca: 1`) 등이 명시되어 있음 - 어필리에이트 도메인 목록과 체크할 쿠키 이름을 의도적으로 별도의 1차원 배열로 분리해서 저장함. 분석가가 설정 파일을 봐도 연결 관계를 알아채기 어렵게 만든 거임 - 텔레메트리에서도 증거가 명확함: 포인트가 적은 계정은 `"state":"uP:5001"`로 stand down 사유가 찍히고, 포인트를 속이면 `"state":"ssd"`(전부 통과)로 바뀜. CJ 대시보드 쿠키가 있으면 `"state":"gca"`로 찍힘 - 브라우저 확장 프로그램이라 JavaScript 소스코드 분석도 가능함. 축소(minified) 상태에서 150만 줄 이상이지만 "ssd" 검색으로 관련 로직을 찾을 수 있음. Apple 앱 스토어용으로 sourceMappingURL 메타데이터가 남아있어서 원본 함수/변수명도 복원 가능했음 ## eBay만 특별 대우 - 다른 머천트는 stand down 기간이 3,600초(1시간)인데 eBay는 86,400초(24시간). 게다가 코드에 eBay 전용 하드코딩 예외가 있어서, 설정 파일이 뭐라고 하든 eBay에서는 무조건 stand down을 지킴 - 이유? 2008년에 eBay가 자사 최대 어필리에이트 두 명(합산 18개월간 2천만 달러 이상 수령)을 민형사 소송으로 감옥에 보낸 전력이 있음. eBay는 어필리에이트 컴플라이언스에서 "깐깐하고 무서운" 평판을 가지고 있어서 Honey가 건드리기 싫었던 거임 - 다른 머천트 입장에서 보면 황당한 차별 대우: "eBay는 24시간 stand down에 하드코딩 예외까지 받는데 우리는 왜?" ## 시간에 따른 변화와 향후 전망 - 2022~2023년 설정에는 대부분 네트워크에 포인트 요건이 없었음. MegaLag 영상(2024년 12월)과 후속 소송 이후에 65,000포인트 임계값이 갑자기 생김. 들켜서 올린 게 뻔함 - Rakuten(LinkShare) 전용 포인트 임계값이 5,001인데, 전체 기본값 65,000보다 낮음. 원래 Rakuten에 대해 더 엄격하게 설정했다가, 전체 임계값을 나중에 올리면서 Rakuten 오버라이드를 깜빡한 것으로 추정. 의도와 반대로 Rakuten이 가장 느슨해져버린 실수 > [!WARNING] > Google Chrome 웹스토어는 "개발자 투명성"을 요구하고 "기만적 행위"를 금지함. "기능 은닉"도 명시적으로 금지. Apple 앱 스토어도 마찬가지. 두 플랫폼 모두 강한 제재가 예상됨. 진행 중인 집단소송에서도 Honey가 의도적으로 테스터를 회피했다는 증거가 추가되면 사건이 훨씬 단순해질 것으로 보임. - 연구자 본인도 2020년에 아마존이 Honey를 "보안 위험"이라고 경고했을 때 "두 거인의 비즈니스 분쟁"으로 치부했는데, 지금 와서 보니 아마존이 처음부터 맞았다고 인정함. Honey가 모든 사이트의 쿠키를 읽을 수 있는 과도한 권한을 가지고 있다는 점이 이 모든 부정행위의 기반이었음 ## 핵심 포인트 - 계정 나이 30일 미만, 포인트 65000 미만, 서버 블랙리스트, 어필리에이트 대시보드 쿠키 등 4가지 기준으로 테스터 탐지 - 4가지 중 하나라도 걸리면 100% 규칙 준수, 전부 통과하면 100% 무시하는 결정론적 동작 - eBay만 24시간 stand down과 하드코딩 예외로 특별 대우 - MegaLag 영상(2024.12) 이후 포인트 임계값을 급격히 올린 정황 - Chrome 웹스토어와 Apple 앱스토어 정책 위반 가능성 높음 ## 인사이트 폭스바겐이 실험실에서만 배기가스 규제를 통과시킨 것과 정확히 같은 패턴. 숨기려 한 행위 자체가 본인이 규칙 위반을 인지하고 있었다는 결정적 증거가 됨.