광고주 필독 : 온라인 광고 사기의 전말

‘온라인 광고’라는 산업은 오래 전부터 병을 앓고 있다. 바로 ‘광고 사기’다. 기업이 거대 광고 대행사를 찾아가 광고를 의뢰하고, 대행사가 광고를 제작해 캠페인을 펼치는 그런 시스템을 상상하면 ‘온라인 광고 사기’가 왜 그리 근절되지 않는지, 왜 그것이 산업의 오랜 병으로서 존재하는지 이해하기 어렵다. 최근 광고 사기 방지 전문 기업인 스파이더에이에프(Spider AF)가 발표한 보고서를 바탕으로 ‘온라인 광고 사기’의 전말을 정리해보고자 한다.

전통 광고 vs. 온라인 광고

매체들이 그리 많지 않았던 시절, TV와 신문에 광고 나가는 게 굉장히 특별한 기회로 여겨졌던 시절로 돌아가보자. 이 때는 광고를 내고자 하는 자(광고주)와 광고를 만드는 자(대행사), 광고를 받는 자(매체)가 명확했다. 광고주의 홍보 담당자가 대행사와 만나 회의를 하고, 대행사는 매체와 협의해 자신들이 만든 광고를 노출시키는 식이었다. 이런 흐름에서 사기꾼이 개입할 구석은 없었다. 몇 안 되는 매체와 신문사들은 광고를 내보내는 입장에서 막강한 힘을 가졌다.

시간이 흘렀다. 인터넷이 득세했다. 수억 개의 웹사이트, 수천억 개의 웹 페이지가 탄생했다. 애플리케이션도 수백만 단위로 만들어져 시장에 나오고 있다. 광고를 노출시킬 공간이 기하급수적으로 늘어난 것이다. 일부 TV 채널이나 신문지에 국한됐던 곳이 적게 잡아 억 단위로 증가하다 보니, 이전처럼 광고주나 광고 대행사가 직원을 보내 미팅을 해서 광고를 게재하는 것이 불가능해졌다. 그래서 이 미팅과 협의를 기계들이 자동으로 처리하게 만들었다.

그래서 온라인 광고는 ‘광고주 -> 광고 대행사 -> 매체’와는 판이한 구조로 돌아가게 됐다. 광고주는 광고 대행사가 아니라 광고 플랫폼(DSP)에 광고를 의뢰한다. 구글 애즈(Google Ads)나 아마존 DSP(Amazon DSP), 메타 애즈(Meta Ads) 등이 대표적인 DSP다. 담당자가 DSP를 찾아가 회의를 직접 진행해도 되긴 하겠지만 보통은 그렇게 하지 않는다. 그냥 DSP에 회사 이름을 올려놓고, DSP가 제시한 조건에 따라 등록하는 게 전부다. 

그러면 광고 의뢰를 어떻게 할까? 예전 같았으면 “AAA 채널에 이런 저런 광고가 30초 동안 나갔으면 합니다”라고 했겠지만 이제는 “AAA 채널”과 같은 조건을 붙이지 않는다. 광고를 내보낼 곳이 수억 개가 됐으니 그 중 하나를 일일이 고르는 게 무의미해졌다. 다만 광고주는 DSP에 하루에 광고 예산을 얼마나 쓸 수 있으며, 어떤 국가나 연령대의 사용자, 혹은 어떤 관심사를 가진 사용자에게 광고를 노출시킬 것인지만 알린다. 즉 어디에 광고를 내보내느냐는 광고주가 의뢰하지 않게 됐다. 돈을 쓰는 조건만 설정한다.

이제 DSP는 여러 회사들의 ‘광고 조건’을 저장해둔 상태다. 이제 그 광고주들 대신 광고 자리를 따내기 위한 거래를 진행해야 한다. 하지만 이 과정도 사람이 사람과 만나 회의를 진행하는 식으로 흘러가지는 않는다. 사이트가 수억 개나 생겨났기 때문이다. 그 사이트 소유주들과 오느 세월에 하나하나 만나겠는가? 그래서 그 수억 개의 사이트와 DSP 사이를 연결해주는 ‘기능’이 하나 탄생했다. 이를 ‘광고 거래소’라고 한다. 광고 거래소는 쉽게 말해 ‘경매장’이다. 기계들이 와르르 입찰해 순식간에 승자가 결정나는, 자동화 경매장.

이 광고 거래소가 하는 일은 일단 광고가 붙을 만한 공간을 계속 주시하는 것이다. 여기서 ‘공간’이라 함은 주로 웹사이트를 말한다. 웹사이트를 주시하고 있다가 방문자가 들어오는 것을 포착한다. 방문자가 들어왔다는 건 광고를 노출시킬 기회가 생겼다는 뜻이다. 그러면 이 소식을 자신과 연결된 DSP들에 쭉 뿌린다. “방문자가 들어왔어요! 누가 여기에 광고 낼래요?” 그러면 DSP들이 서로 내겠다고 손을 든다. 이 때 ‘나는 그 자리에 돈을 이만큼 내겠소!’라는 정보도 함께 제출한다. 거래소는 그 중 가장 높은 가격을 제시한 쪽을 선택한다. 그러면 결국 사이트 방문자는 그 입찰에서 이긴 회사의 광고를 보게 된다. 즉, 방문자가 사이트에 입장하는 그 찰나의 순간에 이 모든 일이 일어나는 것이다. 0.1초 내외다.

광고 거래소 중 대표적인 곳은 구글 애드엑스(Google AdX), 오픈엑스(OpenX), 매그나이트(Magnite), 인덱스익스체인지(Index Exchange) 등이다. 하루에 전 세계적으로 얼마나 많은 사람들이 얼마나 많은 사이트를 들락날락 하는지 상상해보면, 이 입찰 과정이 얼마나 무수하게 일어나는지 짐작할 수 있을 것이다. 그러니 광고 한 자리를 놓고 0.1초 동안 경쟁 입찰이 성사되는 것도 납득이 되고, 온라인 광고 시장이 ‘인간 대 인간’의 거래로는 이뤄질 수 없다는 것도 쉬이 이해간다.

마지막으로 광고를 직접 노출시키는 웹사이트나 앱, 그 외 매체들을 ‘퍼블리셔’라고 부르는데, 이들 역시 예전과 다른 메커니즘으로 움직인다. 가장 큰 차이는 광고주나 광고를 고를 수 없다는 것이다. 광고주도 광고 채널을 고르지 못하고, 광고 게재를 위한 입찰이 0.1초 내외로 진행되는 마당에, 퍼블리셔가 여유롭게 광고를 고를 수는 없다. 광고주를 직접 상대하지도 않는다. 퍼블리셔는 ‘어느 자리를 얼마에 판다’ 정도만 결정해 퍼블리셔들의 플랫폼(SSP라고 한다)에 등록할 뿐이다. 

사기꾼들 입장

산업 구조가 이렇게 복잡해지고, 사람과 사람의 직접적인 스킨십이 사라지니, 사기의 기회가 충만해지기 시작했다. 내 광고가 어디서 누구에게 노출되는지도 정할 수 없고, 내 사이트에 어떤 광고가 실리는지도 결정할 수 없으며, 그 중간 단계의 플랫폼이나 거래소들도 이런 광고의 중요한 내용물을 일일이 확인하지 않고 오로지 트래픽 양만 셈하니 빈틈이 생길 수밖에. 중간에 이상한 게 흘러 들어와도 이미 복잡해질대로 복잡해진 구조에서 책임자를 추적해 찾아내는 것조차도 어려운 일이 되어버려, 나쁜 놈들이 판을 치기 좋은 환경이 만들어졌다.

그래서 이 사기꾼들은 이런 기회를 어떻게 활용할까? 제일 간단한 건 가짜 웹사이트를 만드는 것이다. 즉 퍼블리셔 행세를 하는 것. 언론사처럼 보이게끔, 혹은 유명 블로그처럼 보이게끔, 혹은 각종 성인 및 게임 사이트 비스무레한 것들을 만들어 노출시킨다. 인터넷 여기 저기서 콘텐츠를 긁어다 붙이기만 하면 되는 거라 이 과정이 어렵지는 않다. 광고 사기를 전문으로 하는 범죄 조직은 이런 사이트를 수천 개씩 만들어 SSP에 등록시킨다. 광고주가 자신의 광고를 어디에 노출시킬지 결정할 수 없기 때문에 이런 식의 간단한 사기 행각에도 피해가 발생한다.

‘아니, 가짜 사이트를 SSP가 등록시켜 준다고?’라는 질문이 생길 수 있다. 하지만 SSP 입장에서 악성 코드도 없고, 별 다른 해킹 도구가 숨겨져 있는 것도 아닌 사이트를 ‘악성’ 혹은 ‘사기용 사이트’라고 판단하기 힘들다. 실제로 합법적으로 사업을 하는 주체들이 매우 허접한 사이트를 운영할 수도 있고, 사기성 농후한 집단이 누가 보도 포춘 100대 기업이 운영할 것 같은 디자인의 사이트를 가지고 있을 수도 있다. 게다가 SSP 등록 자체는 누구에게나 열려 있기도 하다. 

SSP에 등록까지 마친 가짜 퍼블리셔 사이트에 공격자들은 양념까지 친다. 그 사이트에서 트래픽이 왕창 발생한다는 자료를 만드는 것이다. 이런 사기꾼들이 주로 활동하는 다크웹에는 트래픽 조작을 위한 도구들이 넘쳐난다. 봇넷을 대여해 가짜 사이트에 하루에도 수백 번씩 접속하기도 하고, 모바일 에뮬레이터 등으로 ‘사람이 접속한 것과 같은 트래픽’을 만들어낸다. 광고 거래소 입장에서는 사람이 생성한 트래픽이 충분히 몰리는 훌륭한 사이트로 보인다.

SSP 등록까지 됐겠다, 트래픽도 충분하겠다, 광고 플랫폼으로서는 좋은 광고 노출 기회가 확보된 것이다. 담당자가 담당자를 만나지 않아 생기는 일이다. 트래픽 수만 보지, 그 트래픽의 품질이나 더 깊숙한 정보를 들여다보지 않기 때문에 생기는 일이기도 하다. 그러면 이런 사이트에 방문자가 들어올 때마다(물론 이 방문자도 사람으로 위장된 봇이나 기타 다른 트래픽 조작 도구인 경우가 태반이다) DSP들은 거래소 상에서 0.1초짜리 경매를 진행하고, 여기서 이긴 광고주는 광고비를 지출하게 된다. 진짜 사이트에 진짜 사람이 들어온 줄 알고 말이다. 이 돈은 SSP를 통해 사기 범죄 조직이 받게 된다.

전산 기록으로는 이 모든 사기 행각이 드러나지 않는다. 클릭도 정상이고, 클릭 수도 괜찮고, 진짜 인간 사용자도 적절히 섞여 있으니 지금처럼 ‘광고비 얼마 썼고, 그래서 클릭이 몇 번 됐다’는 결과만 확인하는 시스템으로서는 정상으로 보일 수밖에 없다. 실제 광고 효과는 미미한데 말이다. ‘이상하다. 분명히 지표상 광고 클릭 수와 노출 수는 늘어났는데, 왜 실제 구매자는 없지? 뭔가 맞지 않는데? 경기가 안 좋나? 우리 물건이 별로인가?’라는 찜찜한 의문만 남는다. 

그래서, 뭘 어떻게 해야 하나?

이런 광고 사기 행각으로 기업들이 잃는 금액을 정확히 산출하기는 힘들다. 실제로 광고가 제대로 노출됐어도 물건이나 서비스가 좋지 않아 구매로 이어지지 않는 경우도 있고, 광고비가 가짜 광고 퍼블리셔에게 가는 바람에 돈만 쓰고 실제 노출은 되지 않기도 하는 등 애초부터 ‘광고 효과’라는 게 정량적으로 산출하기 힘든 개념이기 때문이다. 그런 그늘 아래 광고 사기 집단이 번영을 누리고 있는 것이기도 하다. 그래서 광고 사기로 인한 피해는 조사하는 주체마다 다르게 내놓는데, 하나 같이 천문학적 규모이긴 하다.

예를 들어 보안 업체 주니퍼(Juniper)의 경우 전 세계 디지털 광고 지출의 22%가 사기꾼들에게 들어갔다고 2023년 발표한 바 있다. 이는 165조 4000억 원에 해당하는 금액이다. 아누라솔루션즈(Anura Solutions)의 경우 2024년 피해액을 192조 원으로 추산하고 있으며, 세계광고주연맹(WFA)은 2025년 총 피해액이 69조원에 달할 것으로 예상하고 있다. 전부 다른 숫자이지만 ‘매우 크다’는 공통점을 가지고 있음이 확인된다.

이 때문에 ‘포렌식 PPC 분석’이라는 기법이 서서히 자리를 잡아가고 있다. PPC는 pay per click의 준말이다. 즉 클릭 한 번에 비용을 지불하는 ‘온라인 광고 비용 계산법’이라고 할 수 있다. 구글 애즈 등 대표적인 온라인 광고 플랫폼들이 이 방식으로 대가를 받는다. 

이런 게 문화처럼 퍼져 ‘클릭베이트(click-bait)’라는 현상까지 나타나는 거라고도 할 수 있다. 클릭베이트는 ‘제목 낚시’ 등으로 번역되는데, 온라인 매체들이 그저 클릭 수만 높이기 위해 기사 본문과 내용이 아니라 제목에만 신경 쓰는 행위를 비하하는 의미를 담고 있다. 클릭이 곧 돈이라는 인식은 PPC에서부터 출발했다. 온라인 광고 산업이 사기꾼들의 가짜 트래픽에 속아 천문학적인 돈을 잃는 것도 이런 개념 때문이라고 할 수 있다.

포렌식 PPC는 ‘클릭이 몇 번 있었나’ 이상의 것을 살피는 행위라고 할 수 있다. 세션 패턴, IP 이동, 행동 일관성 등을 다 파헤치는 것이다. 즉 클릭이 1천번 있었다면, 그 1천번 중 진짜 양질의 클릭(실제 사용자의 클릭)이 어느 정도의 비율을 차지하고 있는지 분석하는 것으로, 이런 지표들을 광고 플랫폼들이 광고주들에게 제공해야 한다. 광고주들도 이런 지표들을 요구해야 한다. ‘클릭 수가 늘어났다’는 건 보고 하기도, 보고 받기도 좋겠지만, 그 편안함이 사기꾼들의 둥지가 되기도 한다.

물론 포렌식 PPC가 만능은 아니다. 설사 지금 포렌식 PPC가 모든 온라인 광고 사기를 잡아낸다 하더라도 사기꾼들은 이를 금새 극복할 것이다. 스파이더에이에프는 “단일 플랫폼으로 사기를 근절시킬 수는 없다”며 “여러 관계자들이 다양한 도구를 활용할 수 있어야 한다”고 주장한다. 그러면서 몇 가지 도구들을 제안했는데, 이는 다음과 같다.

1) Ads.txt 및 Sellers.json : 일종의 감사 도구다. 가짜 리셀러나 도메인 스푸핑을 탐지하는 데 유용하다. 공격자들은 가짜 리셀러로 위장하거나 도메인 스푸핑이라는 기술을 통해 트래픽을 조작한다.

2) 트패픽포렌식(TrafficForensics), 지오에지(GeoEdge), 체크(CHEQ), 휴먼시큐리티(Human Security) : 광고주 입장에서 효과가 전혀 없는 트래픽을 분별해주고, IP 평판을 검사한다. 봇 행동에서 나타나는 특성을 감시하기도 한다.

3) 클라우드플레어(Cloudflare) : 프록시 트래픽이나 의심스러운 VPN 패턴을 적발하는 데 유용하다. 반복적으로 나타나는 ASN 클러스터를 식별하기도 한다.

4) 고액세스(GoAccess), 에이더블유스태츠(AWStats), 스플렁크(Splunk) : 레퍼러 공백, 반복적으로 나타나는 사용자 에이전트와 비정상적인 TTL 등 각종 신호를 발견한다. 

5) 마토모(Matomo), 플로저블(Plausible) : 세션 품질과 사용자 이탈 패턴에 대한 분석을 통해 새로운 시각을 제공한다.

이런 도구들을 도입하기 전에 광고주들은 어떤 신호들을 찾아야 ‘내가 지금 광고 사기에 당하고 있을 지도 모른다’는 걸 감지할 수 있을까? 몇 가지 징조들이 있다. 스파이더에이에프는 “광고 클릭 수가 늘어나는 것에 비해 실제 성과는 없을 때, 오래된 브라우저나 매우 희귀한 장비를 통한 접속이 비정상적으로 증가할 때, 재방문자가 아니라 최초 방문자만 유독 늘어날 때, 타깃으로 설정하지 않은 지역에서 트래픽이 많이 발생할 때” 조심해야 한다고 강조한다. 🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Ad Fraud Schemes Using Generative AI Will Increase in Scale and Sophistication, DoubleVerify Report (Digiday 요약), 2024년
[1][2]
• Programmatic Ad Fraud: The Bane of Branding Campaigns, mFilterIt, 2024년
[3]
• The 2023 Annual Ad Fraud Report, Opticks Security, 2023년
[4]
• The State of Digital Advertising Fraud in 2024, AdsDax, 2024년
[5]

현 시점 온라인 사기의 모든 전략과 전술

💡Editor’s Pick - 감정을 살살 건드리는 교묘한 문구들 - 소셜미디어 플랫폼이 특히 위험 - 최종 행동을 취하기 전에도 거듭 확인 온라인 사기가 진화함에 따라 일반 사용자들이 주의해야 할 것들이 점점 늘어나고 있다. 이 중에는 잘 알려진 것들도 있고 그렇지 않은 것들도 있다. ‘피싱 공격’이라는 말을 들어본 사람은 빠르게

The Tech Edge문가용 기자