Honey의 디젤게이트: 테스터 탐지 및 속이기

 (vptdigital.com)
1P by GN⁺ 8일전 | ★ favorite | 댓글 1개
  • 브라우저 쇼핑 플러그인 Honey가 테스트 상황을 감지해 행동을 바꾸는 ‘디젤게이트식’ 조작 코드를 사용한 정황이 드러남
  • Honey는 계정 생성일, 포인트 누적치, 블랙리스트, 제휴 네트워크 쿠키 탐지 등 네 가지 기준으로 사용자가 테스터인지 판별
  • 이 조건 중 하나라도 해당되면 규정에 맞게 ‘스탠드다운(stand-down)’을 수행하지만, 일반 사용자로 판단되면 규정을 무시하고 제휴 링크를 강제 삽입
  • 분석자는 소스 코드, 설정 파일, 패킷 캡처, 텔레메트리 로그를 통해 Honey의 선택적 규정 위반을 반복적으로 확인
  • 이 행위는 Volkswagen 디젤게이트와 유사한 은폐 시도로, 제휴 네트워크·머천트·플랫폼(구글·애플) 모두의 신뢰를 훼손할 수 있는 사안

Honey의 규정 위반 구조

  • Honey는 제휴 네트워크와 머천트가 정한 ‘스탠드다운’ 규칙을 회피하도록 설계됨

    • 스탠드다운은 기존 웹 퍼블리셔가 이미 제휴 링크를 제공한 경우, 다른 소프트웨어가 추가 링크를 표시하지 않도록 하는 규칙
    • Honey는 일반 사용자에게는 이 규칙을 무시하고, 테스터로 의심될 때만 규정을 지키는 방식으로 작동

  • 이 구조는 Volkswagen의 디젤게이트처럼 테스트 환경에서만 규정을 준수하도록 설계된 형태

    • Honey는 규정을 알고 있음에도 이를 회피하려 했다는 점에서 의도적 은폐 행위로 평가됨

테스터 탐지 메커니즘

  • Honey는 다음 네 가지 기준으로 사용자가 테스터인지 판별

    • 신규 계정: 생성 후 30일 미만이면 규정 위반 행위를 중단
    • 포인트 누적치: 65,000포인트(약 650달러 상당) 미만이면 테스터로 간주
    • 서버 블랙리스트: 불만 제기 이력이나 특정 IP·쿠키가 등록된 경우 규정 위반 중단
    • 제휴 네트워크 쿠키: CJ, Rakuten Advertising, Awin 등 제휴사 로그인 쿠키가 있으면 테스터로 판단

  • 이 중 하나라도 해당되면 Honey는 규정을 준수하지만, 모두 통과하면 규정을 완전히 무시하고 제휴 링크를 삽입

  • 이러한 설계는 테스터의 탐지를 방해하고, 단기 테스트나 신규 계정 기반 검증을 무력화함

기술적 증거

  • 핸즈온 테스트: 포인트 수치를 조작해 Honey의 반응을 비교

    • 포인트가 적을 때는 규정을 지켰으나, 높은 포인트로 속였을 때는 규정을 무시하고 링크를 표시
    • 제휴 네트워크 쿠키를 추가하자 Honey가 다시 규정을 준수하는 모습 확인

  • 설정 파일 분석: ssd.json에서 선택적 스탠드다운 로직 확인

    • uP:65000(포인트 기준), gca(쿠키 검사), bl(블랙리스트) 등의 항목 존재
    • 특정 머천트(Booking.com, Kayosports 등)는 더 높은 포인트 기준 설정

  • 텔레메트리 로그: Honey가 어떤 이유로 스탠드다운을 수행했는지 JSON 형태로 기록

    • state:"uP:5001", state:"gca" 등 내부 판단 근거가 명시됨

  • 소스 코드 분석: 자바스크립트 함수 P()가 각 기준값을 비교해 스탠드다운 여부를 결정

    • 모든 조건을 통과하면 "ssd" 상태로 규정 무시
    • email에 “test” 포함 여부, affiliate cookie 존재 여부 등도 검사

eBay에 대한 특이한 예외 처리

  • Honey는 eBay에 대해 24시간(86,400초) 의 스탠드다운을 적용, 다른 머천트보다 훨씬 엄격
    • 코드상에서도 eBay 도메인에 대해 무조건 스탠드다운하도록 하드코딩
    • 과거 eBay의 제휴 사기 사건(2008년) 이후 엄격한 제휴 관리를 의식한 조치로 보임

설정 변화와 시점

  • 2022년에는 대부분의 네트워크에서 포인트 기준이 없었고, Rakuten(LinkShare)만 501포인트(약 5달러) 기준 적용
  • 2025년 현재는 65,000포인트로 대폭 상향
    • MegaLag의 2024년 영상 공개 이후 Honey가 기준을 강화한 것으로 추정됨
  • LinkShare의 경우 오히려 완화되어, 현재는 5,001포인트만으로 규정 무시 가능

은폐 행위의 맥락

  • Honey의 행위는 과거 쿠키 스터핑, 지오펜싱, IP 필터링 등 제휴 사기 사례와 유사

    • 특정 IP나 쿠키를 차단해 테스터가 문제를 재현하지 못하도록 차단
    • 제휴 네트워크 쿠키를 탐지해 업계 관계자에게만 다른 동작을 수행

  • 이러한 은폐는 단순 규정 위반보다 심각한 문제로, 의도적 기만을 입증함

    • Amazon이 과거 Honey를 “보안 위험”으로 경고한 이유가 결과적으로 정당화됨

향후 전망

  • Honey는 Google Chrome Web Store 정책(투명성, 기능 은폐 금지) 위반 가능성 있음
  • Apple App Store 역시 엄격한 검토 절차를 적용하므로 제재 가능성 존재
  • 진행 중인 집단 소송에서 Honey의 은폐 행위가 추가 증거로 활용될 전망
    • Honey의 불규칙한 동작 원인이 명확히 규명되어, 소송 구조 단순화 가능

테스트 방법 공개

  • 분석자는 FiddlerScript를 이용해 Honey 서버와의 통신을 조작, 포인트 값을 임의로 변경
    • 이를 통해 고포인트 계정 시나리오를 재현하고 Honey의 반응을 검증
  • 이 방식은 현재 VPT의 자동화된 쇼핑 플러그인 모니터링 시스템에도 적용됨
GN⁺ 8일전  [-]
Hacker News 의견들
  • 예전에 광고 기술 회사에서 일했는데, 이번 건은 선을 넘었다고 생각함
    업계 용어들이 “revealed preferences”나 “enabling personalization”처럼 포장되곤 하지만, “selective stand down” 같은 기능을 설계할 때 엔지니어들이 무슨 생각을 했는지 정말 궁금함
    회사에 속해 있으면서 계약을 회피하려는 제품을 만든다는 건, 그 자체로 하나의 선택임
    • 아마도 “나는 도덕적 기준을 지킬 자유가 없고, 대체 가능한 인력이라 불안하며, 가족의 생계와 의료보험이 직장에 묶여 있고, 정부가 나를 지켜줄 거라 믿지 않는다”는 마음이었을 것 같음
    • 이건 2017년 Uber의 Greyball 프로젝트와 다를 게 없다고 봄
      뉴욕타임스 기사에서도 보듯, 어떤 회사들은 법과 계약을 회피하는 문화를 당연시함
    • Guido Palazzo의 저서 The Dark Pattern이 좋은 예시임
      이 책은 맥락의 힘이 이성이나 도덕보다 강하다는 점을 보여줌
      제2차 세계대전 당시의 ‘악의 평범성’을 떠올리게 함. 주변 모두가 그렇게 행동하면, 누구든 어떤 일도 하게 됨
    • 윤리적 기준이 무너진 엔지니어가 다른 사람들이 문명을 지켜주길 기대하는 모습 같음
    • “배가 불러야 윤리가 나온다”는 말이 떠오름
  • 원본 MegaLag 영상여기에서 볼 수 있음
    이런 시스템을 만드는 엔지니어라면 “우리가 악역인가?”라는 생각이 들 법한데, 그렇지 않은 듯함
    • 참고로 블로그 글의 저자 Ben Edelman은 영상 33분 지점에 등장함
      그의 개인 사이트는 benedelman.org/honey-detecting-testers
    • 자본주의는 악행에서 손을 씻는 데 능함
      내가 쓰는 스마트폰에도 노예 노동이 일부 들어갔을 것이고, 결국 우리 모두가 그 구조의 일부임
    • 처음엔 ‘Honey’가 꿀 제품인 줄 알았는데, 실제로는 할인 쿠폰 확장 프로그램이었음
  • 15년 전쯤 통신사에서 비슷한 제휴 마케팅 문제를 겪었음
    실험적으로 모든 제휴 수수료 지급을 중단했는데, 트래픽은 약간 줄었지만 판매량은 거의 변하지 않았음
    결국 브랜드 인지도만으로도 충분히 고객을 확보할 수 있었음
  • Amazon 같은 회사들이 Honey의 제휴 계정에 여전히 돈을 지급하는지 이해가 안 됨
    실제 추천 트래픽이 아닌 걸 알 텐데도 계속 지급함
  • 이 확장 프로그램이 Chrome Web Store에서 승인됐다는 건, 스토어의 악성코드 필터링 신뢰도가 거의 없다는 뜻임
    • 하지만 이건 악성코드는 아님
      마케팅 회사들이 서로 커미션을 빼앗는 행위일 뿐이고, 사용자 데이터를 서버로 업로드하지도 않음
      모든 검사는 클라이언트 단에서 이루어짐
    • 사실 Google은 Honey가 뭘 하는지 다 알고 있을 것임
      마음만 먹으면 단 한 번의 조치로 Chrome에서 제거할 수 있음
  • 원래 Honey는 camelcamelcamel의 클론으로 시작했지만, 시스템 남용으로 Amazon에서 퇴출당함
    이후 쿠폰 사이트로 전환했고, PayPal이 40억 달러 현금으로 인수했음
    그 결과 내 제휴 수익이 줄었음
  • 아카이브 링크는 여기에 있음
    • 그런데 이 링크가 계속 깜빡이고 스크롤이 이상하게 움직여서 읽을 수가 없음
      원본 문제인지 아카이브 문제인지 모르겠음
    • 혹시 원본 사이트가 안 열려서 archive.org를 쓴 건지?
      원본은 vptdigital.com/blog/honey-detecting-testers
      문제가 있다면 Ben Edelman에게 직접 연락해보길 권함
  • Honey 사기 사건은 이미 1년 전쯤 터졌던 일로 기억함
    최근 며칠 사이에 다시 기사화된 게 의외임
    • 유튜버 MegaLag가 1년 전 1편을 올렸고, 최근 2편3편을 공개했음
      새로운 정보들이 Honey의 이미지를 더 나쁘게 만들었음
  • 제휴 마케팅 생태계 전체가 암덩어리 같음
    Amazon이 아예 이 시스템을 꺼버렸으면 함
    • 그래도 나는 제휴 링크가 가장 공정한 광고 방식이라고 생각함
      목공이나 페인팅 블로그에서 실제 사용하는 제품 링크를 보는 게 무작위 광고보다 낫다고 봄
    • 소비자 입장에서는 차라리 직접 할인을 받는 게 좋음
      공식 스토어에서 동일한 할인 코드를 제공하면 모두에게 이득일 것임
  • 원문 기사가 현재 접속되지 않지만, archive.is/7Y9Jq에서 읽을 수 있음
답변달기