정글 스토리

광고 사기를 찾아서(손수엘 교수 연구팀)

Posted by

정글 스토리에 오신 여러분들 모두 환영합니다. 저는 1대 정글 지기를 맡은 허성범이라고 합니다. 앞으로 여러분께 정보보호대학원의 새로운 소식들을 재미있는 글과 이야기로 전달해드릴 예정입니다. 많은 관심과 기대 부탁드립니다.

지하철을 타고 다니다 보면 사람들의 모습이 예전과는 사뭇 달라져 있다는 것을 알 수 있습니다. 과거에는 신문을 읽거나, 책을 읽거나, 창밖을 구경하는 사람들이 많았던 반면 요즘에는 대다수의 사람이 모두 본인의 휴대전화를 보고 있습니다. 그만큼 정보화 시대가 많이 진행되었다는 뜻이겠지요.

우리는 이 휴대전화로 정말 많은 것을 해결합니다. 아마 일상 모든 순간에 사용할 수 있는 모바일 어플리케이션이 있다고 해도 과언이 아닐 것입니다. 그러나 이 모바일 어플리케이션 시장이 커짐에 따라 편리함을 능가하는 부작용들이 생겨나기 시작했는데, 오늘 소개할 손수엘 교수의 연구팀이 해결한 ‘광고 사기’ 문제도 그중 하나에 해당합니다.

‘광고 사기(Ad Fraud)’란, 모바일 어플리케이션의 주요 수익원인 광고의 노출 방식을 악용하여 부당한 수익을 얻어내는 것을 말합니다. 쉽게 말해 실제로 사용자가 그 광고를 보거나 클릭하지 않았음에도 불구하고, 개발자가 거짓으로 그 숫자를 조작하여 더 많은 광고 수익을 얻어내는 행위를 말합니다. 실제로 많은 어플리케이션에서 이 광고 사기 행위가 빈번하게 일어나고 있고, 이것을 잡기 위해 Google, Naver 등의 대기업에서도 큰 노력을 기울이고 있습니다.

우리 학교의 손수엘 교수 연구팀은 이런 문제를 해결하기 위해 Google Play Store에 배포되는 안드로이드 앱 중 어떤 앱들이 광고 사기를 저지르고 있는지, 또 그 정확한 원인이 무엇인지 찾을 수 있는 ‘Fraud Detective’라는 시스템을 개발하였습니다.

본 연구팀은 안드로이드 운영체제를 수정하여 Fraud Detective 시스템을 개발했습니다. 휴대전화 8대에 Fraud Detective 시스템을 연결하고 Google Play Store의 앱들을 크롤링한 후, 직접 앱 안에서 일어나는 동작을 dynamic analysis하여 수개월간 광고 사기를 탐지하였고 그 결과 총 74개의 광고 사기 앱을 찾아내었습니다.

기존의 연구들은 대부분 광고 사기의 여부를 판단하는 데에만 그쳤다면, Fraud Detective는 그 원인을 정확하게 찾아낼 수 있다는 것에서 차별성을 지닙니다. FraudDetective는 앱의 user interaction부터 광고 사기의 발생까지 호출된 모든 API call들의 sequence 정보를 통해 Android app source code 중 어떤 class의 function이 ad fraud에 참여했는지 분석할 수 있기 때문입니다. 이를 통해 App의 third-party library와 first-party code 중 누가 광고 사기의 원인인지 알아내고, 광고에 참여한 모듈들을 분석하여 어떤 API와 parameter를 사용한 것인지까지도 찾아낼 수 있습니다. 연구팀이 발견한 74개의 광고 사기 중 73개가 third-party library에서 일어난 것이었다고 합니다.

광고 사기의 원인을 알아내는 것은 아주 중요합니다. 개발자가 어떤 library를 사용했는지에 따라 직접 의도한 것인지 아닌지를 판단할 수도 있고, 문제가 되는 정확한 code를 알아낸다면 다음번에 비슷한 문제들을 적발하거나 재발을 막는 것에 큰 도움을 줄 수 있기 때문입니다.

연구팀이 발견한 광고 사기 앱 중에서는 다운로드가 천만이 넘거나, 우리 사이에서 아주 유명한 앱들도 있었다고 합니다. 지금 우리의 휴대폰도 광고 사기에 동원되고 있을지 모른다는 것이지요. 아무쪼록 Fraud Detective가 이런 부정한 문제들을 모두 찾아내어 주길 바라면서 오늘의 정글 스토리를 마칩니다. 본 연구의 더 자세한 내용은 NDSS 2021 conference에 ‘The Abuser Inside Apps: Finding the Culprit Committing Mobile Ad Fraud’ 라는 제목으로 발표되어 있습니다[1].

추신 – 이번 연구에 참여한 모 연구원님은 박사과정 진행 중에 연구팀을 바꾸어서 손수엘 교수님의 연구팀으로 오게 되었다고 합니다. 하고 싶은 연구를 하게 되면서 생각보다 결과가 더 잘 나온 것 같다고 말씀하시면서 부디 모든 사람이 ‘하고 싶고, 할 의지가 있는 것’을 하길 바란다고 하셨습니다. 대학원 진학을 꿈꾸는 학부생 여러분들도 진로에 대한 부담감 대신 본인의 흥미와 적성을 자유롭게 고려해 보는 것이 무엇보다 중요할 것 같습니다.

[1] NDSS https://www.ndss-symposium.org/ndss-program/ndss-2021/

gsis

KAIST 정보보호대학원은 세계 최고 수준의 사이버 보안을 교육, 연구하여 산업을 선도하는 목표로 하고 있습니다. 또한 세계 최고 수준의 정보보호 인력양성을 통한 국가 사이버 보안 리더양성을 위해서 노력하고 있습니다.

Share on Social Media

Leave a Reply

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다