Appier, 부정/불법 트래픽 추적에 '인공지능'으로 대응한다

[IT동아 권명관 기자] 2017년 12월 12일, Appier가 서울 강남구 테헤란로에 위치한 한국 지사에서 기자간담회를 열고었다. 이날 현장에는 Appier 대만 본사에서 조 수(Joe Su) CTO(기술 담당 최고 책임자)가 직접 나서 자사 네트워크에서 실시한 실제 분석 결과를 발표하며, 인공지능 기술을 활용한 새로운 부정 인스톨(AD fraud) 방지 기술을 발표했다. 참고로 Appier는 지난 2017년 5월부터 8월까지, 4개월간 광고 클릭 및 앱 설치 정보 등 40억 개 이상의 캠페인 데이터를 활용해 붗석 과 연구를 진행했다. 해당 연구를 통해 인공지능 방식은 기존 방식과 비교해 부정 인스톨 감지를 2배 이상 찾아내는 것으로 나타났다.

Appier 조 수 CTO
Appier 조 수 CTO

조 CTO는 "최근 광고 업계는 부정 인스톨로 인해 2017년 한해 동안 약 65억 달러의 손해를 입었다. 부정 인스톨은 광고를 정상 트래픽으로 위장하는 행위다. 크게 2가지 유형이 있는데 사람이 직접 개입하는 '인위적인 방식'과 사람이 개입하지 않는 '비인위적인 방식'이 있다"라며, "대표적인 인위적인 부정 인스톨 중 첫번째는 '위치 사기'다. 중국이나 일본 등 타 지역에 있는 사용자가 마치 한국에 있는 것처럼 조작하는 것이다. 두번째는 도메인 조작이다. 네이버가 아닌 다른 웹사이트에서 유입되었지만, 마치 네이버에서 들어오는 것처럼 위장하는 것이다. 비인위적인 부정 인스톨 방식은 봇이나 프로그래을 사용해 트래픽을 생성하는 방식이다. 사람이 광고를 보거나 경로를 클릭해 유입된 것이 아니기 때문에 피해는 누적될 수밖에 없다"라고 설명했다.

부정 인스톨은 지속적으로 진화하고 있다. 특히, 사람의 행동을 유사하게 따라하는 봇, 프로그램의 등장은 이를 추적, 방지하는 시스템이 미처 찾아내지 못하는 방식으로 고도화되는 중. 때문에 기존, 전통적인 방어 시스템 방식은 효과적이지 못하다. 그는 "부정 인스톨에 대한 전통적인 대응 방식은 패턴을 분석해 (사람이) 대응했다. 예를 들어, 지속적으로 유입되는 특정 IP나 특정 기기 IP를 블랙리스트로 만들어 제외하거나 특정 국가에서 생성된 IP 전체를 차단하는 방식이다. 문제는 고도화된 부정 인스톨에 대응하는 것이 (사람만의 힘으로) 어렵다는 점"이라며, "실제로 '클릭 팜'이라고 불리는, 사람을 고용해 트래픽을 생성하는 불법 전문 단체나 일반 사용자가 사용하는 모바일 기기나 PC에 악성 프로그램을 설치해 백그라운드에서 지속적으로 트래픽을 생성하는 방식 등으로 피해는 누적되고 있다. 이외에도 'bot nets'처럼 네트워크에 상주해 지속적으로 트래픽을 생성하는 경우도 있다"라고 설명했다.

Appier 조 수 CTO
Appier 조 수 CTO

조 CTO는 인공기능을 도입해 대응하면 더 많은 데이터(트래픽, 유입 신호 등)를 동시에 분석해 기존 방식으로 감지하기 어려운 부정 인스톨 패턴을 찾아낼 수 있다고 자신했다. 그는 "인공지능 기반 대응은 다차원으로 (데이터를) 분석할 수 있다. 1개에서 3개 정도의 데이터를 사람이 분석하는 기존 방식은 (사용자가 광고를) 클릭한 뒤 인스톨하는 시간이나 클릭한 뒤 특정 액션을 취하는 시간 등 한정된 데이터를 살펴볼 수밖에 없다"라며, "인공지능은 동시에 10개, 100개, 많게는 1,000개의 데이터를 분석할 수 있다. 더 많은 데이터를 활용해 고도화된 부정 인스톨을 제거할 수 있다는 뜻"이라고 설명했다.

또 다른 장점으로 자가학습을 언급했다. 기존 부정 인스톨 대응 방법은 몇 가지 규칙(Rule)을 만들어서 특정 신호(유입 경로)를 차단하는 한정적인 방식이었다. 규칙을 생성할 때도 데이터를 본 뒤, 사람이 규칙을 생성하는 방식으로 대응해야 한다. 하지만, 인공지능은 스스로 배워서 스스로 규칙을 업데이트할 수 있다. 새롭게 발생하는 부정 인스톨, 고도화된 부정 인스톨 등에 (사람보다) 발빠르게 대응할 수 있다는 것.

조 CTO는 "Appier가 개발한 인공지능 기반 부정 인스톨 방지는 내부에서 '나무 모델(트리 구조)'이라고 언급하는 방식으로 작동한다. 데이터를 한단계식 세분화해 대응, 분석한다. 예를 들어, A라는 트래픽에 대해서 '이건 한국에서 유입된 것인가'라는 분석 다음으로, '대학가에서 온 것인가', 그 다음은 '주간인가, 야간인가' 등으로 분석한다. 이러한 분석을 통해 실제 유효한 트래픽인지 아닌지를 파악할 수 있다"라며, "또한, 인공지능은 자체 학습 기능을 지원해 과거에는 볼 수 없었던 새로운 의심 패턴을 스스로 감지할 수 있다"라고 설명했다.

Appier 조 수 CTO
Appier 조 수 CTO

실제 분석한 사례도 공개했다. 그는 "올해 7, 8월 내부 네트워크에서 수집한 데이터다. 유입 초기에는 잔존율, 클릭 수 등 정상적인 데이터로 접근하던 IP가 9일째에 빠르게 트래픽이 증가하고 있다. 이는 '카멜레온'이라 불리는 부정 인스톨 방식으로 사람이 직접 제어하는 기존 방식은 유입 초기에만 추적한다는 맹점을 이용한 것이다. '재고 버스트'라고 불리는 부정 인스톨은 초기에 정상적이지만, 9일차에 접어들면 봇이 수많은 웹사이트를 생성한 뒤 트래픽을 유발한다"라며, "기존 방식으로는 이같은 부정 인스톨을 찾아서 차단하는 것이 어렵다. 9일차를 넘어선 전체 트래픽을 지속 관찰했을 때야 비정상적이라는 것을 찾아낼 수 있다"라고 말했다.

Appier 조 수 CTO
Appier 조 수 CTO

마지막으로 조 CTO는 "(내부적으로) 인공지능을 활용한 뒤에 부정 인스톨 감지 효율은 기존 방식과 비교해 2배 정도 늘어났다. 광고 활동에 대한 투자 수익을 이전과 인공지능 활용 이후로 비교하면, 아시아태평양 지역에서는 4%, 한국 같은 경우 4.3% 상승했다"라며, "부정 인스톨은 업계 전체에 영향을 미치고 있으며, 시간이 지날수록 고도화되고 있다. 하지만, 기존 부정 인스톨 방지 시스템으로는 맞서기가 어려운 실정이다. 앞으로 인공지능을 활용한 시스템을 이용해 실시간으로 대응하고, 수많은 데이터를 분석해야 한다"라고 강조했다.

글 / IT동아 권명관(tornadosn@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.