맨위로가기

클릭 사기

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

클릭 사기는 광고주가 광고 클릭당 비용을 지불하는 PPC(Pay-Per-Click) 광고에서 발생하는 사기 행위이다. 이는 광고를 게재한 웹사이트 운영자, 경쟁사, 또는 악의적인 제3자가 의도적으로 광고를 클릭하여 광고비를 부당하게 챙기거나 경쟁사의 광고비를 증가시키는 방식으로 발생한다. 클릭 사기는 다양한 유형과 동기를 가지며, 조직적인 범죄 집단에 의해서도 이루어진다. 이러한 행위는 광고주에게 금전적 손실을 입히고 공정한 경쟁을 저해하며, 관련자들은 소송에 휘말리기도 한다. 클릭 사기를 탐지하고 방지하기 위해 IP 주소, 클릭 시간, 액션 타임스탬프 등의 지표를 분석하고, 포렌식 분석이나 제3자 증거를 활용하는 기술적 해결 방안과 함께 법적, 제도적 개선을 위한 노력이 이루어지고 있다.

더 읽어볼만한 페이지

  • 소비자 사기 - 위조품
    위조품은 브랜드 소유자 허가 없이 상표 등을 사용하여 진품과 유사하게 만들어 소비자를 오도하는 제품으로, 경제적 손실을 야기하며 온라인 판매 증가 등으로 유통이 용이해져 사회적 문제로 이어진다.
  • 소비자 사기 - 세탁공
    세탁공은 다양한 형태로 판매되는 세탁 보조 제품이지만, 세탁 효과 향상에 대한 과학적 증거가 부족하고 소비자 보호 관련 문제도 제기되고 있다.
  • 인터넷 사기 - 스팸 메일
    스팸 메일은 수신자의 동의 없이 대량으로 발송되는 원치 않는 전자 메일로, 광고, 사기, 악성코드 유포 등을 목적으로 하며, 이에 대응하기 위해 다양한 기술과 법적 규제가 사용된다.
  • 인터넷 사기 - 피싱
    피싱은 신뢰할 수 있는 주체로 위장하여 개인 정보를 탈취하는 사이버 공격 기법이며, 다양한 형태로 나타나고, 피해 예방을 위해 사용자 교육, 기술적 접근, 법적 대응 등의 노력이 이루어진다.
  • 온라인 광고 - 구글
    구글은 래리 페이지와 세르게이 브린이 개발한 웹 검색 엔진에서 출발하여 검색 기술 혁신을 통해 유튜브, 안드로이드 등 다양한 서비스를 제공하는 세계적인 기술 기업으로 성장했지만, 개인정보보호 및 독점 논란에도 직면하고 있다.
  • 온라인 광고 - 타겟 광고
    타겟 광고는 소비자 집단의 특성에 맞춰 광고를 제공하여 효율성을 높이는 방식이며, 웹사이트 방문 기록, 검색어, 소셜 미디어 활동 등 다양한 정보를 분석하여 개인별 맞춤 광고를 제공하고, 소셜 미디어, 텔레비전, 모바일 기기, 검색 엔진 등 다양한 플랫폼에서 활용되지만 개인 정보 보호 문제와 같은 윤리적 논란도 존재한다.
클릭 사기
개요
유형온라인 광고 사기
설명광고 클릭을 속여 광고주에게 부당한 비용을 청구하는 행위
인간 또는 봇에 의해 발생 가능
동기
게시자광고 수익 증가
경쟁자광고 예산 소진
불만족 고객회사에 대한 복수
유형
수동 클릭 사기개인이나 저임금 작업자가 광고 클릭
수익 공유 모델로 운영되는 "클릭 팜"에서 발생 가능
악성 소프트웨어 기반 클릭 사기악성 소프트웨어가 사용자 모르게 광고 클릭
봇넷을 통해 대규모로 수행 가능
경쟁자 클릭 사기경쟁사의 광고를 클릭하여 광고 예산 소진 시도
자동화된 봇 클릭 사기봇이 자동으로 광고 클릭
정교한 봇은 인간 행동을 모방하여 탐지 회피
탐지 및 예방
방법IP 주소, 클릭 패턴, 사용자 행동 분석
기계 학습 알고리즘을 사용하여 비정상적인 트래픽 식별
캡차와 같은 기술을 사용하여 봇 방지
도구사기 방지 소프트웨어
광고 네트워크 자체적인 탐지 시스템
영향
광고주부당한 광고 비용 발생
마케팅 효율성 저하
광고 네트워크신뢰도 하락
온라인 광고 생태계왜곡 및 비효율성 증가

2. 정의 및 작동 방식

클릭 사기는 온라인 광고에서 심각한 문제로, 광고주에게는 금전적 손실을, 광고 네트워크에는 신뢰도 하락을 야기하며, 온라인 광고 시장 전체의 건전성을 저해한다.[1]

클릭 사기의 원인은 다양하며, 계약 당사자가 아닌 제3자에 의해 발생하는 경우도 많다. 이러한 경우, 가해자를 처벌하기가 더 어렵다. 계약 당사자가 아닌 제3자의 예시는 다음과 같다.


  • '''광고주의 경쟁자:''' 경쟁업체를 해치기 위해 광고를 클릭하여 광고주에게 비용을 발생시킨다.
  • '''게시자의 경쟁자:''' 게시자가 자신의 광고를 클릭하는 것처럼 보이게 하여 광고 네트워크와의 관계를 끊게 만든다.
  • '''기타 악의적인 의도:''' 재정적 이득 없이 반달리즘처럼 광고주나 게시자에게 피해를 주려는 경우다. 정치적, 개인적 보복 등이 동기가 될 수 있다.
  • '''게시자의 친구:''' 게시자를 돕기 위해 광고를 클릭하지만, 오히려 게시자가 클릭 사기로 기소될 수 있다.


광고 네트워크는 사기를 막으려 하지만, 정당한 클릭과 구분하기 어려운 경우가 많다. 특히 게시자가 아닌 제3자에 의한 클릭 사기는 누가 비용을 지불해야 하는지 판단하기 어렵다.

클릭 사기는 개인이 작은 웹사이트를 만들어 광고를 클릭하는 단순한 형태부터, 사이버 범죄 조직이 연루된 대규모 사기까지 다양하게 발생한다.[2] 대규모 사기는 스크립트를 사용하거나, 트로이 목마 코드를 이용해 일반인의 컴퓨터를 좀비 컴퓨터로 만들어 사용하기도 한다.[4] 조직 범죄는 여러 지역에 분산된 컴퓨터를 이용해 클릭 사기를 저지르기도 한다.

IP 패턴 기반 감지를 우회하기 위해 0 크기의 iframe을 사용하거나, 스파이더에게는 정상적인 페이지를 보여주고 일반 방문자에게는 클릭 사기를 유도하는 페이지를 보여주는 등의 기술이 사용되기도 한다.[5]

노출 사기는 허위 광고 노출을 발생시켜 광고주의 클릭률을 낮추는 방식이다. 클릭률이 낮아지면 광고가 비활성화될 수 있다.[7]

인터넷 범죄 대책 기업인 클릭 포렌식스(Click Forensics)에 따르면, 클릭 보상형 광고를 게재하는 기업의 광고비 중 약 30%가 봇넷의 부정 클릭에 의한 것이라고 한다.[29]

2. 1. PPC 광고 시스템

PPC 광고는 게시자 역할을 하는 웹마스터(웹사이트)가 클릭당 요금을 대가로 광고주의 클릭 가능한 링크를 표시하는 계약이다. 이 산업이 발전하면서 이러한 두 그룹(게시자 및 광고주) 사이의 중개자 역할을 하는 여러 광고 네트워크가 개발되었다. (유효하다고 여겨지는) 웹 사용자가 광고를 클릭할 때마다 광고주는 광고 네트워크에 비용을 지불하고, 광고 네트워크는 다시 게시자에게 이 돈의 일부를 지불한다. 이 수익 분배 시스템은 클릭 사기의 유인책으로 여겨진다.[1]

가장 큰 광고 네트워크인 구글(Google)의 애드워즈(AdWords)/애드센스(AdSense) 및 야후! 검색 마케팅(Yahoo! Search Marketing)은 자체적으로 게시자(검색 엔진에서)이기도 하므로 이중 역할을 한다.[1] 비평가에 따르면, 이 복잡한 관계는 이해 상충을 야기할 수 있다. 이는 이러한 회사가 게시자에게 비용을 지불할 때 감지되지 않은 클릭 사기로 인해 손실을 입지만 광고주로부터 수수료를 징수할 때는 더 많은 돈을 벌기 때문이다. 징수액과 지급액의 차이로 인해, 제한 없는 클릭 사기는 이러한 회사에 단기적인 이익을 가져다줄 것이다.[1]

클릭 보상형 광고는 광고가 클릭되면 광고료가 발생한다. 따라서 광고를 설치한 자가 스스로 광고를 클릭하여 보상을 가로채는 행위가 이루어진다. 또한, 경쟁 회사의 광고를 대량으로 클릭하여 해당 기업의 광고비를 증가시켜 간접적으로 손해를 입히는 행위도 행해진다.[27][28]

이러한 행위에 대해 광고 서비스를 제공하는 측은 부정 클릭을 필터링으로 제외하고 있다. 한편 사기를 치는 자는 싼 노동력을 사용한 인력 전술을 사용하거나, 봇넷을 이용하여 정당한 클릭처럼 보이게 하려 한다.[27][29]

2. 2. 수익 분배 시스템과 이해 상충

PPC 광고는 웹마스터(웹사이트)가 클릭당 요금을 받고 광고주의 클릭 가능한 링크를 표시하는 계약이다. 이 산업이 발전하면서 광고주와 게시자 사이에서 중개자 역할을 하는 여러 광고 네트워크가 개발되었다. 웹 사용자가 광고를 클릭할 때마다 광고주는 광고 네트워크에 비용을 지불하고, 광고 네트워크는 다시 게시자에게 이 돈의 일부를 지불한다. 이 수익 분배 시스템은 클릭 사기의 유인책으로 여겨진다.[1]

가장 큰 광고 네트워크인 구글의 애드워즈/애드센스 및 야후! 검색 마케팅은 자체적으로 게시자(검색 엔진에서)이기도 하므로 이중 역할을 한다.[1] 비평가에 따르면, 이 복잡한 관계는 이해 상충을 야기할 수 있다. 이러한 회사는 게시자에게 비용을 지불할 때 감지되지 않은 클릭 사기로 인해 손실을 입지만, 광고주로부터 수수료를 징수할 때는 더 많은 돈을 벌기 때문이다. 징수액과 지급액의 차이로 인해, 제한 없는 클릭 사기는 이러한 회사에 단기적인 이익을 가져다줄 수 있다.[1]

클릭 보상형 광고는 광고가 클릭되면 광고료가 발생한다. 따라서 광고를 설치한 자가 스스로 광고를 클릭하여 보상을 가로채는 행위가 이루어진다. 또한, 경쟁 회사의 광고를 대량으로 클릭하여 해당 기업의 광고비를 증가시켜 간접적으로 손해를 입히는 행위도 행해진다.[27][28]

이러한 행위에 대해 광고 서비스를 제공하는 측은 부정 클릭을 필터링으로 제외하고 있다. 한편 사기를 치는 자는 싼 노동력을 사용한 인력 전술을 사용하거나, 봇넷을 이용하여 정당한 클릭처럼 보이게 하려 한다.[27][29]

3. 클릭 사기의 유형 및 동기

클릭 사기는 계약 당사자뿐만 아니라 제3자에 의해서도 발생할 수 있으며, 그 원인과 동기가 다양하다. 계약 당사자가 아닌 제3자에 의한 클릭 사기는 처벌하기가 더 어려운데, 가해자는 일반적으로 계약 위반이나 사기 혐의로 기소되기 어렵기 때문이다.

제3자에 의한 클릭 사기의 유형은 다음과 같다.

유형설명
광고주 경쟁자경쟁 업체를 약화시키거나 제거하기 위해 해당 광고를 클릭한다.
게시자 경쟁자게시자를 함정에 빠뜨려 광고 네트워크에서 퇴출시키려고 한다.
기타 악의적인 의도반달리즘처럼 재정적 이득 없이 광고주나 게시자에게 피해를 주려는 경우 (정치적, 개인적 보복 등).
게시자 친구게시자를 돕기 위해 광고를 클릭하지만, 게시자가 클릭 사기로 기소될 때 역효과를 낼 수 있다.



광고 네트워크는 이러한 사기를 막으려 하지만, 어떤 클릭이 정당한지 판단하기 어려운 경우가 많다. 특히 게시자가 아닌 제3자에 의한 클릭 사기의 경우, 누가 비용을 지불해야 하는지 결정하기 어렵다. 게시자는 자신의 잘못이 아닌 것에 대해 환불을 요구하고, 광고주는 허위 클릭에 대한 비용 지불을 거부하기 때문이다.

클릭 보상형 광고는 광고 클릭 시 광고료가 발생하므로, 광고 설치자가 직접 클릭하여 보상을 가로채는 행위가 발생할 수 있다. 경쟁 회사 광고를 대량 클릭하여 광고비를 증가시켜 간접적으로 손해를 입히는 행위도 일어난다.[27][28]

이러한 행위에 대해 광고 서비스 제공 측은 부정 클릭을 필터링하여 제외한다. 한편, 사기를 치는 자는 저렴한 노동력을 이용한 인력 전술을 사용하거나, 봇넷을 이용하여 정당한 클릭처럼 보이게 하려 한다.[27][29]

인터넷 범죄 대책 기업인 클릭 포렌식스(Click Forensics)에 따르면, 클릭 보상형 광고를 게재하는 기업의 광고비 중 약 30%가 봇넷의 부정 클릭에 의한 것이라고 한다.[29] 광고 서비스 제공자가 부당하게 광고비를 지불했다며 광고주로부터 소송을 당하는 경우도 발생하고 있다.[27]

3. 1. 계약 당사자에 의한 사기

PPC 광고는 게시자인 웹마스터(웹사이트)가 클릭당 요금을 받고 광고주의 링크를 표시하는 계약이다. 광고주는 광고 네트워크에 비용을 지불하고, 광고 네트워크는 게시자에게 이 돈의 일부를 지불하는 수익 분배 시스템은 클릭 사기의 유인책이 된다.[1]

게시자는 자신의 광고를 클릭하여 수익을 창출할 수 있다. 클릭 횟수와 가치는 너무 적어 사기가 감지되지 않을 수 있으며, 게시자는 그러한 클릭의 소량이 사고라고 주장할 수 있고, 이는 종종 사실이다.[1]

대규모 사기에 관여하는 사람들은 웹 페이지의 광고에서 사람의 클릭을 시뮬레이션하는 스크립트를 실행하기도 한다.[4] 조직 범죄는 여러 지리적 위치에 자체 인터넷 연결이 있는 많은 컴퓨터를 보유하기도 한다. 스크립트는 진정한 인간의 행동을 모방하는 데 실패하므로 트로이 목마 코드를 사용하여 일반 사람의 컴퓨터를 좀비 컴퓨터로 전환하여 사용자의 작업을 사기꾼을 위한 수익을 창출하는 작업으로 전환하기도 한다.

클릭 보상형 광고는 광고가 클릭되면 광고료가 발생한다. 따라서 광고를 설치한 자가 스스로 광고를 클릭하여 보상을 가로채거나,[27][28] 봇넷을 이용하여 정당한 클릭처럼 보이게 하려 한다.[27][29]

3. 2. 제3자에 의한 사기

클릭 사기는 계약 당사자가 아닌 제3자에 의해서도 발생할 수 있다. 이들은 클릭당 지불 계약에 참여하지 않기 때문에 처벌이 더 어렵다. 가해자는 일반적으로 계약 위반으로 고소당하거나 사기 혐의로 형사 기소될 수 없기 때문이다. 제3자에 의한 클릭 사기의 예시로는 광고주 경쟁자, 게시자 경쟁자, 기타 악의적인 의도를 가진 경우, 게시자의 친구 등이 있다.

광고 네트워크는 모든 당사자에 의한 사기를 막으려 하지만, 어떤 클릭이 정당한지 판단하기 어려운 경우가 많다. 게시자가 아닌 제3자에 의한 클릭 사기의 경우, 누가 비용을 지불해야 하는지 결정하기 어렵다. 게시자는 자신의 잘못이 아닌 것에 대해 환불을 지불해야 하는 것에 불만을 느끼는 반면, 광고주는 허위 클릭에 대한 비용을 지불해서는 안 된다고 주장한다.

인터넷 범죄 대책 기업인 클릭 포렌식스(Click Forensics)에 따르면, 클릭 보상형 광고를 게재하는 기업의 광고비 중 약 30%가 봇넷의 부정 클릭에 의한 것이라고 한다.[29] 또한, 광고 서비스 제공자가 부당하게 광고비를 지불했다며 광고주로부터 제소되는 사태도 발생하고 있다.[27]

3. 2. 1. 광고주 경쟁자

경쟁 광고주의 광고를 클릭하여 광고비를 소진시키고, 경쟁력을 약화시키려는 목적으로 행해진다. 이들은 동일한 시장에서 경쟁하는 업체를 방해하기 위해 광고를 클릭한다. 가해자는 직접적인 이익을 얻지는 않지만, 광고주에게 관련 없는 클릭에 대한 비용을 지불하게 만들어 경쟁자를 약화시키거나 제거한다.[29] [27]

3. 2. 2. 게시자 경쟁자

게시자의 경쟁자는 게시자를 함정에 빠뜨려 광고 네트워크에서 퇴출시키려는 목적으로 클릭 사기를 행한다. 많은 게시자가 광고 수익에만 의존하기 때문에 이러한 공격은 사업을 중단시킬 수 있다. 마치 게시자가 자신의 광고를 클릭하는 것처럼 보이게 하여 광고 네트워크가 관계를 종료하도록 유도한다.

3. 2. 3. 기타 악의적인 의도

반달리즘과 마찬가지로, 재정적으로 얻을 것이 없는 사람이라도 광고주 또는 게시자에게 피해를 입히려는 많은 동기가 있다. 동기에는 정치적 및 개인적인 보복이 포함된다.[3] 이러한 경우 범인을 추적하기 어렵고, 범인을 찾더라도 그들에 대해 취할 수 있는 법적 조치가 거의 없기 때문에 처리하기 가장 어려운 경우가 많다.[3]

3. 2. 4. 게시자의 친구

게시자의 지지자(예: 팬, 가족, 정당 지지자, 자선 후원자, 개인적인 친구)가 게시자가 광고 클릭으로 수익을 올린다는 사실을 알고 돕기 위해 광고를 클릭하는 경우가 종종 있다. 이는 후원으로 간주될 수 있지만, (친구가 아닌) 게시자가 클릭 사기로 기소될 때 역효과를 낼 수 있다.

4. 조직적 클릭 사기

PPC 광고는 게시자가 광고주의 클릭 가능한 링크를 표시하고, 사용자가 광고를 클릭할 때마다 광고주가 광고 네트워크에 비용을 지불하며, 광고 네트워크는 게시자에게 이 돈의 일부를 지불하는 방식이다. 이러한 수익 분배 시스템은 클릭 사기의 유인책으로 작용한다.[1]

개인이나 소규모 집단뿐만 아니라 조직적인 범죄 집단도 클릭 사기에 가담하고 있다. 조직 범죄는 여러 지역에 분산된 인터넷 연결을 가진 컴퓨터를 활용하며, 트로이 목마 코드를 사용하여 일반 사용자 컴퓨터를 좀비 컴퓨터로 만들기도 한다.[1]

구글 애드워즈/애드센스와 야후! 검색 마케팅은 자체적으로 게시자이기도 하므로 이중 역할을 한다. 비평가들은 이러한 복잡한 관계가 이해 상충을 야기할 수 있다고 지적한다. 이들 회사는 게시자에게 비용을 지불할 때 감지되지 않은 클릭 사기로 손실을 보지만, 광고주로부터 수수료를 받을 때는 더 많은 돈을 벌기 때문이다.[1]

소르본 비즈니스 스쿨의 장 루프 리체 교수는 클릭 사기가 대규모 광고 사기 체인의 한 고리이며, 더 큰 신원 사기 및/또는 속성 사기의 일부로 활용될 수 있다고 한다.[3]

4. 1. 소규모 클릭 사기

개인이 작은 웹사이트를 운영하면서 자신의 광고를 클릭해 수익을 창출하는 것은 간단한 클릭 사기에 해당한다. 이러한 클릭 횟수와 가치는 종종 너무 적어 사기가 감지되지 않으며, 게시자는 소량의 클릭이 실수라고 주장할 수 있다.[1]

4. 2. 대규모 클릭 사기

대규모 클릭 사기는 사이버 범죄 조직에 의해 자행되는 경우가 많다.[2] 이들은 스크립트나 봇넷 등을 이용하여 웹 페이지의 광고 클릭을 시뮬레이션하는 방식으로 대규모 사기를 저지른다.[4][29]

조직 범죄는 여러 지역에 분산된 인터넷 연결을 가진 컴퓨터를 활용하여 이러한 사기를 처리한다. 이들은 트로이 목마 코드를 사용하여 일반 사용자 컴퓨터를 좀비 컴퓨터로 만들고, 리디렉션이나 DNS 캐시 포이즈닝을 통해 사용자의 작업을 사기꾼의 수익으로 전환시킨다. 이러한 분산된 네트워크는 광고주, 광고 네트워크 및 당국이 추적하기 어렵다.

클릭 보상형 광고에서 광고가 클릭되면 광고료가 발생한다. 따라서 광고를 설치한 자가 스스로 광고를 클릭하여 보상을 가로채거나, 경쟁 회사의 광고를 대량으로 클릭하여 광고비를 증가시키는 행위가 이루어진다.[27][28]

이에 대해 광고 서비스 제공자는 부정 클릭을 필터링하여 제외하고 있다. 한편, 사기를 치는 자는 싼 노동력을 사용하거나, 봇넷을 이용하여 정당한 클릭처럼 보이게 하려 한다.[27][29]

인터넷 범죄 대책 기업인 클릭 포렌식스(Click Forensics)에 따르면, 클릭 보상형 광고를 게재하는 기업 광고비 중 약 30%가 봇넷의 부정 클릭에 의한 것이라고 한다.[29] 광고 서비스 제공자가 부당하게 광고비를 지불했다며 광고주로부터 소송을 당하는 경우도 발생하고 있다.[27]

4. 2. 1. 히트 인플레이션 공격 (Hit Inflation Attack)

히트 인플레이션 공격은 부정직한 게시자와 웹사이트가 협력하여 사용자의 클릭을 광고 클릭으로 위장하는 정교한 수법이다.[8]

이 과정에는 부정직한 게시자(P)와 부정직한 웹사이트(S) 두 상대방의 협력이 필요하다.[8] S의 웹 페이지에는 사용자를 P의 웹사이트로 리디렉션하는 스크립트가 포함되어 있으며, 이 과정은 사용자에게 숨겨진다. 사용자가 S의 페이지를 방문하면 P 사이트의 페이지에 대한 클릭 또는 요청을 시뮬레이션한다. P의 사이트에는 조작된 버전과 원본 버전 두 가지 종류의 웹 페이지가 있다. 조작된 버전은 광고 클릭 또는 요청을 시뮬레이션하여 P가 클릭에 대한 수익을 얻게 한다. P는 S에서 온 것인지 확인하여 사용자의 브라우저에 조작된 스크립트를 로드할지 선택적으로 결정한다. 이는 P로의 링크가 어디에서 왔는지 지정하는 Referrer 필드를 통해 수행할 수 있다. S의 모든 요청은 조작된 스크립트로 로드되므로 자동적이고 숨겨진 요청이 전송된다.[8]

이 공격은 S에 대한 모든 무해한 방문을 P의 페이지에 있는 광고 클릭으로 조용히 변환한다. 더 심각한 것은 P가 여러 부정직한 웹사이트와 협력할 수 있으며, 각 웹사이트는 여러 부정직한 게시자와 협력할 수 있다는 점이다. 광고 담당자가 P의 웹사이트를 방문하면 사기가 아닌 페이지가 표시되므로 P는 사기 혐의를 받기 어렵다. 이러한 협력이 존재한다는 의심할 만한 이유가 없으면 광고 담당자는 이러한 공격을 탐지하기 위해 모든 인터넷 사이트를 검사해야 하는데, 이는 불가능하다.[8]

5. 검색 결과 조작

클릭 사기는 PPC 광고뿐만 아니라 유기적 검색 결과의 순위를 조작하는 데에도 악용될 수 있다.

소규모 웹사이트 운영자가 광고 게시자가 된 후 수익을 창출하기 위해 자신의 광고를 클릭하는 간단한 형태부터, 사이버 범죄 조직이 스크립트를 사용하여 대규모로 클릭을 시뮬레이션하는 형태까지 다양하다.[1][2][3][4]

IP 패턴 기반 감지를 우회하기 위해 0 크기의 iframe을 사용하거나, "역 스파이더"에게는 합법적인 페이지를, 일반 방문자에게는 사기 페이지를 보여주는 등의 기술이 사용된다.[5] 또한, 사용자가 웹사이트를 방문하거나 키워드를 클릭하는 대가로 소액을 받는 보상 트래픽과 결합되기도 한다.[6]

조직 범죄는 여러 지역에 분산된 컴퓨터를 활용하거나, 트로이 목마 코드를 사용하여 일반 사용자 컴퓨터를 좀비 컴퓨터로 만들어 사기를 저지르기도 한다.

5. 1. CTR 조작

경쟁사의 클릭률(CTR)을 낮추거나 특정 웹사이트의 CTR을 높여 검색 결과 순위를 조작한다.[7]

봇넷이나 저렴한 노동력을 활용하여 허위 클릭을 생성하는 PPC 사기와는 달리, CTR 조작은 경쟁업체의 CTR을 최대한 낮춰 검색 결과에서의 순위를 낮추는 "이웃 헐뜯기" 정책을 채택한다.

악의적인 행위자는 홍보하고 싶은 유기 검색 결과에 허위 클릭을 생성하고, 순위를 낮추고 싶은 검색 결과는 피하는 방식으로 CTR을 조작한다. 이러한 CTR 조작은 특정 비즈니스 서비스 카르텔을 만들거나 특정 정치적 견해 등을 홍보하는 데 사용될 수 있다.

6. 법적 사례

클릭 사기는 전 세계적으로 다양한 법적 분쟁을 야기하고 있다. 대표적인 사례로는 관련 소송들과 마이클 앤서니 브래들리 사건, 파비오 가스페리니 사건 등이 있다.

6. 1. 소송

이 문제에 대한 분쟁으로 인해 다수의 소송이 발생했다. 한 사건에서, 구글(광고주이자 광고 네트워크 역할을 함)은 옥션 익스퍼트(Auction Experts)(게시자 역할을 함)라는 텍사스 회사를 상대로 소송에서 승소했는데, 구글은 옥션 익스퍼트의 사이트에 게재된 광고를 클릭하도록 사람들에게 돈을 지불하여 광고주에게 50000USD의 손해를 입혔다고 주장했다.[10] 네트워크가 이를 막으려 노력했음에도 불구하고, 게시자는 광고 네트워크의 동기에 대해 의심을 품고 있는데, 그 이유는 광고 네트워크가 사기성 클릭이라 할지라도 클릭당 돈을 받기 때문이다.

2005년 7월, 야후는 클릭 사기를 방지하기 위해 충분한 조치를 취하지 않았다고 주장하는 원고의 집단 소송에 합의했다. 야후는 원고에게 4500000USD의 법률 비용을 지불하고 2004년부터 시작된 광고주의 청구를 해결하기로 합의했다.[11] 2006년 7월, 구글은 유사한 소송에 대해 9000만달러에 합의했다.[12][13]

2006년 3월 8일, 구글은 Lane's Gifts & Collectibles에서 제기한 집단 소송에서 9000만달러의 합의 기금에 동의했다.[14] 이 집단 소송은 아칸소주 밀러 카운티에서 댈러스 변호사 스티브 말루프(Steve Malouf), 조엘 파인버그(Joel Fineberg), 딘 그레샴(Dean Gresham)에 의해 제기되었다.[15] 이 사건의 원고 측 증인은 2001년에 PPC 사기 사례를 처음 확인한 인터넷 검색 전문가 제시 스트리키올라(Jessie Stricchiola)였다.[16]

인터넷 범죄 대책 기업인 클릭 포렌식스(Click Forensics)에 따르면, 클릭 보상형 광고를 게재하는 기업의 광고비 중 약 30%가 봇넷의 부정 클릭에 의한 것이라고 한다.[29] 또한, 광고 서비스 제공자가 부당하게 광고비를 지불했다며 광고주로부터 제소되는 사태도 발생하고 있다.[27]

6. 2. 마이클 앤서니 브래들리 사건

2004년, 캘리포니아 거주자인 마이클 앤서니 브래들리는 스팸 발송자들이 부정 클릭으로 구글을 속여 수백만 달러를 사취할 수 있다고 주장하는 소프트웨어 프로그램인 'Google Clique'를 만들었다. 이는 결국 그의 체포와 기소로 이어졌다.[17]

브래들리는 사기가 가능하다는 것을 입증했으며, 구글이 이를 탐지하는 것은 불가능하다고 주장했다. 미국 법무부는 그가 구글에 연락하여 기술 권리에 대한 대가로 100000USD를 지불하지 않으면 스팸 발송자에게 판매하여 구글에 수백만 달러의 손해를 입히겠다고 협박했다고 주장했다. 그 결과, 브래들리는 2006년 공갈 및 우편 사기 혐의로 체포되었다.[18]

2006년 11월 22일, 혐의는 이유 없이 기각되었고, 미국 검찰청과 구글 모두 논평을 거부했다. ''비즈니스 위크''는 구글이 기소에 협조하기를 꺼렸는데, 이는 클릭 사기 탐지 기술을 공개적으로 공개해야 했기 때문이라고 추측했다.[19]

6. 3. 파비오 가스페리니 사건

2016년 6월 18일, 이탈리아 시민 파비오 가스페리니는 클릭 사기 혐의로 미국으로 범죄인 인도되었다.[20] 공소장에는 가스페리니가 다음 혐의를 받았다고 기재되어 있다.

  • 컴퓨터 침입 2건
  • 우편 및 통신 사기 1건
  • 공모에 의한 통신 사기 1건
  • 자금 세탁 1건


미국 정부에 따르면, 가스페리니는 전 세계적으로 14만 대 이상의 컴퓨터로 구성된 봇넷을 구축하고 운영했다. 이는 미국에서 최초의 클릭 사기 재판이었다. 모든 혐의가 유죄로 판결될 경우, 가스페리니는 최대 70년의 징역형을 받을 수 있었다.

이탈리아계 미국인 변호사인 시모네 베르톨리니가 재판에서 가스페리니를 변호했다. 2017년 8월 9일, 배심원단은 가스페리니에게 제기된 모든 중범죄 혐의에 대해 무죄를 선고했다. 가스페리니는 금전적 이득 없이 정보를 얻은 혐의로 경범죄 1건에 대해 유죄 판결을 받았다. 가스페리니는 법정 최고형인 1년 징역형, 100000USD의 벌금, 수감 후 1년의 보호 관찰을 선고받았다. 그는 복역 기간을 인정받고 이탈리아로 송환되었다. 현재 항소가 진행 중이다.[21]

7. 해결 방안 및 연구 동향

클릭 사기는 컴퓨터 뒤에 누가 있는지, 그들의 의도가 무엇인지 알기 어려워 입증이 매우 어렵다. 모바일 광고 사기 감지에는 데이터 분석이 신뢰할 수 있는 지표를 제공할 수 있으며, 비정상적인 지표는 다양한 유형의 사기 존재를 암시한다.

알렉산더 투질린이 클릭 사기 소송 합의의 일환으로 제작한 투질린 보고서[24]는 이 문제를 자세하고 포괄적으로 논의한다. 보고서는 "유효하지 않은(사기성) 클릭의 근본적인 문제"를 다음과 같이 정의한다.


  • 명백히 명확한 경우를 제외하고는 유효하지 않은 클릭에 대한 개념적 정의를 운영할 수 없다.
  • 부도덕한 사용자가 악용하여 대규모 클릭 사기로 이어질 수 있다는 우려 때문에 운영 정의를 일반 대중에게 완전히 공개할 수 없다. 그러나 공개되지 않으면 광고주는 특정 클릭에 대해 요금이 청구된 이유를 확인하거나 이의를 제기할 수 없다.


PPC 업계는 이 문제에 대한 더 엄격한 법률을 요구하고 있으며, 계약에 얽매이지 않는 사람들을 포함하는 법률 제정을 희망한다.

다수의 기업이 클릭 사기 식별을 위한 실행 가능한 솔루션을 개발하고, 광고 네트워크와 중개 관계를 개발하고 있다.

2007년 포브스 인터뷰에서 구글 클릭 사기 방지 전문가 슈만 고세마준더는 제3자에 의한 클릭 사기 감지의 주요 과제 중 하나가 클릭 외 데이터, 특히 광고 노출 데이터에 대한 접근이라고 언급했다.[25]

중개인(검색 엔진)이 무효 클릭의 작동 정의에 대한 우위를 점하고 있다는 사실은 광고주와 중개인 간의 이해 상충을 야기한다. 투질린 보고서[24]는 무효 클릭을 공개적으로 정의하지 않고 작동 정의를 자세히 설명하지 않았다. 대신 사기 감지 시스템에 대한 개략적인 설명을 제공하고, 조사 중인 검색 엔진의 작동 정의가 "합리적"이라고 주장했다. 보고서의 목표 중 하나는 사기 감지 시스템의 효율성을 유지하기 위해 개인 정보를 보호하는 것이었다. 이로 인해 일부 연구자들은 중개인이 클릭 사기에 어떻게 대처할 수 있는지에 대한 공개 연구를 수행하게 되었다.[26] 이 연구는 시장의 힘에 의해 오염되지 않았을 것으로 추정되므로, 중개인이 향후 법적 사건에서 클릭 사기를 감지하는 데 얼마나 철저한지 평가할 수 있다는 기대를 갖게 한다. 그러나 이 연구가 중개인의 내부 사기 감지 시스템을 노출할 수 있다는 우려는 여전히 존재한다.

7. 1. 기술적 해결 방안

IP 주소, 클릭 타임스탬프, 액션 타임스탬프 등 다양한 지표를 분석하여 클릭 사기를 탐지한다. 주요 지표는 다음과 같다.

  • '''IP 주소''': 봇은 동일한 서버에서 유사한 스크립트를 실행하므로, 모바일 광고 클릭 사기는 동일한 IP 주소 또는 유사한 IP 주소 범위에서 오는 높은 클릭 밀도를 나타낸다. 광고주는 IP 주소를 확인하여 다른 사기와의 연관성을 확인할 수도 있다.
  • '''클릭 타임스탬프''': 광고를 클릭한 시간을 기록한다. 봇 기반 클릭 사기는 반복적으로 광고를 클릭하여 특정 기간 동안 클릭 빈도가 증가한다. 거의 동일한 타임스탬프를 가진 많은 클릭은 클릭 사기의 가능성을 나타낸다. 짧은 시간과 높은 빈도는 사기 확률이 높음을 의미한다.
  • '''액션 타임스탬프''': 사용자가 앱 또는 웹사이트에서 액션을 취하는(또는 참여하는) 시간을 기록한다. 봇 기반 클릭 공격은 액션 타임스탬프와 유사성이 있을 수 있다. 봇이 광고를 클릭한 후 지연 없이 앱 또는 웹사이트에서 액션을 수행하므로, 광고주는 액션 타임스탬프가 거의 없거나 전혀 없는 것을 확인할 수 있다.[22]


광고 네트워크는 사기 가능성이 높은 클릭을 চিহ্নিত하여 광고주에게 요금을 청구하지 않는다. 정교한 감지 방법이 사용되지만 완벽하지는 않다.[23]

알렉산더 투질린이 클릭 사기 소송 합의의 일환으로 제작한 투질린 보고서[24]는 이 문제에 대해 자세하고 포괄적으로 논의한다.

클릭 사기는 행동당 비용 모델에서 발생할 가능성이 적다.

인터넷 범죄 대책 기업인 클릭 포렌식스(Click Forensics)에 따르면, 클릭 보상형 광고를 게재하는 기업의 광고비 중 약 30%가 봇넷의 부정 클릭에 의한 것이라고 한다.[29] 또한, 광고 서비스 제공자가 부당하게 광고비를 지불했다며 광고주로부터 소송을 당하는 경우도 발생하고 있다.[27]

7. 1. 1. 포렌식 분석

광고주의 웹 서버 로그 파일을 분석하여 트래픽의 출처와 행동을 자세히 조사한다. 업계 표준 로그 파일이 분석에 사용되므로 데이터는 광고 네트워크에서 확인할 수 있다. 이러한 접근 방식은 사기를 식별하는 데 있어 중개인의 정직성에 의존한다는 문제점이 있다.[22]

7. 1. 2. 제3자 증거

제3자는 광고주의 웹 페이지에 단일 픽셀 이미지 또는 자바스크립트를 배치하고 광고에 적절한 태그를 지정하는 것을 포함할 수 있는 웹 기반 솔루션을 제공한다. 방문자에게 쿠키가 제공될 수 있다. 그런 다음 방문자 정보는 제3자 데이터 저장소에 수집되어 다운로드할 수 있도록 제공된다. 더 나은 제품은 의심스러운 클릭을 쉽게 강조 표시하고 그러한 결론을 내리는 이유를 보여준다.[24] 광고주의 로그 파일을 조작할 수 있으므로, 제3자의 증거 데이터와 함께 제공하면 광고 네트워크에 제시할 더욱 설득력 있는 증거 자료를 구성한다. 그러나 제3자 솔루션의 문제는 이러한 솔루션이 전체 네트워크 트래픽의 일부만 보기 때문에 여러 광고주에 걸쳐 있는 패턴을 식별할 가능성이 낮을 수 있다는 것이다. 또한, 중개인에 비해 수신하는 트래픽 양이 제한되어 있기 때문에 트래픽이 사기라고 판단할 때 과도하거나 덜 적극적일 수 있다.[25]

7. 2. 법적, 제도적 해결 방안

대한민국에서는 공정거래위원회가 온라인 플랫폼 사업자의 책임을 강화하고, 피해 구제 절차를 마련하는 등 제도 개선을 추진하고 있다. 더불어민주당은 특히 중소 광고주의 피해를 최소화하기 위한 정책을 강조하고 있다.[29]

7. 3. 연구 동향

학계에서는 클릭 사기 탐지 시스템의 효율성을 높이고, 이해 상충 문제를 해결하기 위한 연구가 진행되고 있다. 알렉산더 투질린이 클릭 사기 소송 합의의 일환으로 제작한 투질린 보고서[24]는 유효하지 않은 클릭에 대한 정의가 명확하지 않으며, 공개될 경우 악용될 수 있다는 점을 지적했다. 그러나 광고주 입장에서는 특정 클릭에 대해 요금이 청구된 이유를 확인하거나 이의를 제기할 수 없다는 문제점이 있다.[24]

이러한 문제를 해결하기 위해, UCSB의 Metwally, Agrawal, El Abbadi는 클릭 사기 감지 시스템에 대한 연구를 진행했다.[26] UC 리버사이드의 Majumdar, Kulkarni, Ravishankar는 콘텐츠 전송 네트워크의 중개인 및 기타 중개인의 사기 행위를 식별하기 위한 프로토콜을 제안하는 연구를 진행했다.

참조

[1] 논문 Click Fraud https://pubsonline.i[...] 2008-10-24
[2] 뉴스 The Evolution Of Click Fraud: Massive Chinese Operation DormRing1 Uncovered https://techcrunch.c[...] TechCrunch 2009-10-08
[3] 논문 How cybercriminal communities grow and change: An investigation of ad-fraud communities 2022
[4] 논문 Adoption of deviant behavior and cybercrime 'Know how' diffusion 2011
[5] 간행물 Badvertisements: Stealthy Click-Fraud with Unwitting Accessories https://web.archive.[...] 2006
[6] 웹사이트 Click Fraud: The dark side of online advertising http://www.businessw[...] BusinessWeek 2006-10-02
[7] 웹사이트 Botnets strangle Google Adwords campaigns, Keyword Hijacking Risk https://www.theregis[...] The Register 2005-02-04
[8] 웹사이트 On the Security of Pay-Per-Click and Other Web Advertising Schemes. In Proceedings of the 8th WWW International World Wide Web Conference http://www.id.uzh.ch[...] Unizh.co 2014-03-11
[9] 웹사이트 Using Association Rules for Fraud Detection in Web Advertising Networks. In Proceedings of the 10th ICDT International Conference on Database Theory http://www.cs.ucsb.e[...] 2013-03-01
[10] 웹사이트 Google Wins $75,000 in Click Fraud Case https://www.mediapos[...] 2005-07-05
[11] 웹사이트 Big Yahoo Click Fraud Settlement http://www.imediacon[...] iMedia Connection 2006-07-05
[12] 블로그 Update Lanes Gifts v. Google http://googleblog.bl[...] 2006-03-08
[13] 웹사이트 Lanes v. Google Final Order http://googleblog.bl[...] Googleblog.blogsport.com 2006-07-27
[14] 뉴스 Google Agrees To $90 Million Settlement In Class Action Lawsuit Over Click Fraud http://blog.searchen[...] 2006-03-08
[15] 웹사이트 Court Docket For: Lane's Gifts and Collectibles, L.L.C. et al. v. Yahoo! Inc., et al. https://www.docketal[...] Docket Alarm, Inc. 2013-08-06
[16] 웹사이트 Lost Per Click http://searchenginew[...] Search Engine Watch 2004-07-28
[17] 웹사이트 Criminal Docket for: USA v. Bradley, 5:04-cr-20108 (N.D.Cal.) https://www.docketal[...] Docket Alarm, Inc. 2013-08-06
[18] 뉴스 Computer Programmer Arrested for Extortion and Mail Fraud Scheme Targeting Google, Inc. http://www.usdoj.gov[...] 2004-03-18
[19] 뉴스 The Vanishing Click Fraud Case https://web.archive.[...] Business Week 2006-12-04
[20] 웹사이트 Cybercriminal Who Created Global Botnet Infected With Malicious Software Extradited To Face Click Fraud Charges https://www.justice.[...] 2017-11-21
[21] 웹사이트 Cybercriminal Convicted of Computer Hacking and Sentenced to Statutory Maximum https://www.justice.[...] 2017-11-21
[22] 웹사이트 Click Fraud Prevention – Identify & Reduce Bot Traffic in Your Paid Ads https://mfaas.com/re[...] 2019-06-07
[23] 블로그 Using data to help prevent fraud http://googleblog.bl[...] 2008-03-18
[24] 보고서 The Lane's Gifts v. Google Report http://googleblog.bl[...] 2006-07
[25] 뉴스 Counting Clicks https://www.forbes.c[...] Forbes 2007-09-14
[26] 논문 Click fraud https://faculty.ist.[...] 2007
[27] 웹사이트 クリック詐欺とは https://xtech.nikkei[...] 日経BP 2008-04-01
[28] 웹사이트 ネット・ビジネスの新たな脅威「クリック詐欺」 http://wired.jp/wv/a[...] WIRED.jp 2004-10-18
[29] 웹사이트 新たなボットネットの出現で不正クリック詐欺が急増 http://www.computerw[...] IDGジャパン 2009-09-18


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com