부정 트래픽 모니터링을 위한 CTIT Report 활용 가이드

Posted · Add Comment
adx_Contents_201709

안녕하세요, 애드브릭스 입니다.

어느 생태계에나 부정한 방법으로 이익을 취하려는 시도가 존재합니다. 모바일 앱 광고 생태계도 예외는 아닙니다.  부정 트래픽(Fraud Traffic)을 발생시켜 성과측정과 분석에 혼란을 일으키는 사례가 지속적으로 발견되고 있습니다.

대표적인 부정 트래픽 유형은 Click Injection과 Click Spamming을 통한 Install Hijacking 입니다. Install Hijacking은 매체의 정당한 성과와 오가닉 유입을 가로채 성과를 높아보이게 함으로써 모바일 앱 광고 생태계를 교란합니다. OS환경과 기술을 악용한 것으로 대부분 허위 클릭을 만들어내는 멀웨어(malicious software)를 통해 발생합니다(참고사례 – 쥬디멀웨어).

이용자의 디바이스에서 멀웨어가 완전하게 제거되지 않는 한 원천적으로 사전 차단되기 어렵습니다. 하지만 각각 특징적인 패턴을 보여주기 때문에, 어트리뷰션 툴이 획득할 수 있는 데이터를 이용하면 Click Injection과 Click Spamming이 발생하고 있는지 모니터링 할 수 있습니다. 애드브릭스는 Click to Install Time Report(이하 CTIT Report)를 통해 모니터링 기능을 제공합니다.

blog_ctit

CTIT Report 화면

 

a. Click Injection

어트리뷰션 툴은 마지막 클릭 후 앱 실행 단계에서 매체에 기여를 인정하는 구조를 가집니다. 이 구조를 악용하는 방법이 Click Injection을 통한 Install Hijacking 입니다. 안드로이드에서만 가능합니다.

구체적으로 Click Injection이란  앱 설치 후 실행 바로 직전에 허위 클릭을 발생(Click Injection)시켜 실행 성과를 가로채는 방법을 의미합니다. 성공하면 실제 광고클릭을 발생시키지 않은 허위 트래픽이 성과를 인정받습니다. 성과를 빼앗기는 곳은 다른 매체나 오가닉 유입 입니다.

Click Injection은 클릭에서 앱 실행까지 걸리는 시간(CTIT)이 짧고 단시간 내 다량의 클릭이 발생하는 특징 패턴을 보입니다. 멀웨어가 앱 설치를 감지한 후, 앱이 실행되기 바로 직전에 클릭을 발생시켜 Last Click으로 인정 받아야만 실행 성과를 가로챌 수 있기 때문입니다.

애드브릭스 CTIT Report는 클릭에서 앱 실행까지 소요되는 시간을 그래프화하여 제공합니다. Data Export에서 엑셀로도 추출하여 확인할 수 있습니다. 위 예시 화면에서  X축은 소요된 시간(초)을, Y축은 Install 수를 의미합니다.

Click Injection을 통한 Install이 발생했다면 CTIT가 굉장히 짧을 것이고, 따라서 그래프의 맨 좌측이 높이 솟은 모양을 나타낼 것입니다. 0초 ~ 10초 까지의 Install은 붉은색으로 표시하여 쉽게 구분할 수 있도록 했습니다.

물론 앱마다 다운로드 시간과 설치 시간에 차이가 있기 때문에 특정 CTIT를 문제구간으로 단정하기는 어렵습니다. 앱의 평균적인 설치 시간을 체크하여 CTIT데이터와 비교하는 과정이 필요합니다.

 

b. Click Spamming

Click Spamming은 앱 실행 전에 Click을 주입시시키는 것이 아니라, 허위 Click을 여기저기 만들어 놓고 Organic Install이어야 할 상황이 발생하기를 기다리는 방법입니다. Click Injection이 Install을 직접 사냥하는 방식이라면, Click Spamming은 덫을 놓고 사냥감(Install)이 걸리기만을 기다리는 것과 같습니다.

Click Spamming은 클릭에서 앱 실행까지 걸리는 시간(CTIT)이 불규칙하거나 매우 긴 특징 패턴을 보입니다. Click Spamming에서 멀웨어의 목적은 Organic Install이 발생할 때 까지 기다리는 것이기 때문입니다.

애드브릭스 CTIT Report의 그래프가 불규칙한 패턴을 보이거나, Data Export에서 다운로드 받은 CTIT 수치가 지나치게 길다면 Click Spamming의 징후로 예상해 볼 수 있습니다.

Click Spamming이 의심된다면 Install Attribution의 Look-back Window를 짧게 변경하여 대응할 수 있습니다.

blog_ctit_(1)

Click Injection과 Click Spamming 요약

 

CTIT Report의 한계와 향후 대응

CTIT가 Click Injection과 Click Spamming의 특징 패턴을 보여주는 것은 분명하나 한계 또한 존재합니다. 이 한계점을 인지하고 CTIT Report를 해석할 필요가 있습니다.

# ‘클릭 > 설치 > 실행’의 연속된 과정을 의미하지 않습니다.

Click Injection은 CTIT가 매우 짧은 특징 패턴을 보입니다. 하지만 CTIT가 클릭>설치>실행의 연속된 과정을 거치지 않을 수 있다는 한계가 존재합니다. 예를 들어, 이용자가 매체 A 클릭을 통해 앱을 설치만 한 후 실행하지 않고, 매체 B 클릭 후 앱을 실행 했다면, 매체 B의 성과로 인정되기 때문입니다. 만약 이 경우라면 허위 클릭이 아님에도 매체 B의 CTIT가 매우 짧게 분석될 수 있습니다. 하지만 CTIT가 짧은 Install의 비중이 매우 높다면 Click Injection을 의심해볼 수 있습니다.

# 하위 퍼블리셔 단위까지 확인 해보아야 합니다.

최근의 광고 매체는 다수의 광고 네트워크와 하위 퍼블리셔를 동시에 이용하는 구조를 가지고 있습니다. 따라서 허위 클릭이 매체 전체가 아니라 몇몇 하위 퍼블리셔의 특정 트래픽에서 발생할 가능성이 높습니다. 따라서 Install Hijacking이 의심된다면 특정 하위 퍼블리셔 수준까지 데이터를 확인하고 담당자와 함께 트래픽을 조정하는 과정이 필요합니다. 애드브릭스는 다이나믹 서브 트래킹 기능을 통해 하위 퍼블리셔 단위로 지표를 확인할 수 있도록 지원하고 있습니다.

다음 업데이트에서는 CTIT 데이터를 포함하여 부정 트래픽으로 의심되는 상황을  매체사에 포스트백하여 모니터링하고 대응 할 수 있도록 지원할 예정입니다.

부정 트래픽을 축소시키고, 궁극적으로 근절하기 위해서는 업계 내 많은 플레이어들 간의 협력이 필요함을 잘 알고 있습니다. 애드브릭스 또한 부정 트래픽을 더욱 정교하게 탐지하고, 미리 차단할 수 있는 기능들을 지속적으로 제공하는 노력을 게을리 하지 않을 것입니다.

Kangwoo Lee
Facebook

Kangwoo Lee

Team Head at IGAWorks
애드브릭스를 담당하고 있는 이광우 입니다.
Kangwoo Lee
Facebook