Honey의 디젤게이트: 테스터 탐지 및 속이기

• 브라우저 쇼핑 플러그인 Honey가 테스트 상황을 감지해 행동을 바꾸는 ‘디젤게이트식’ 조작 코드를 사용한 정황이 드러남
• Honey는 계정 생성일, 포인트 누적치, 블랙리스트, 제휴 네트워크 쿠키 탐지 등 네 가지 기준으로 사용자가 테스터인지 판별
• 이 조건 중 하나라도 해당되면 규정에 맞게 ‘스탠드다운(stand-down)’을 수행하지만, 일반 사용자로 판단되면 규정을 무시하고 제휴 링크를 강제 삽입
• 분석자는 소스 코드, 설정 파일, 패킷 캡처, 텔레메트리 로그를 통해 Honey의 선택적 규정 위반을 반복적으로 확인
• 이 행위는 Volkswagen 디젤게이트와 유사한 은폐 시도로, 제휴 네트워크·머천트·플랫폼(구글·애플) 모두의 신뢰를 훼손할 수 있는 사안

Honey의 규정 위반 구조

• Honey는 제휴 네트워크와 머천트가 정한 ‘스탠드다운’ 규칙을 회피하도록 설계됨

  • 스탠드다운은 기존 웹 퍼블리셔가 이미 제휴 링크를 제공한 경우, 다른 소프트웨어가 추가 링크를 표시하지 않도록 하는 규칙
  • Honey는 일반 사용자에게는 이 규칙을 무시하고, 테스터로 의심될 때만 규정을 지키는 방식으로 작동

• 이 구조는 Volkswagen의 디젤게이트처럼 테스트 환경에서만 규정을 준수하도록 설계된 형태

  • Honey는 규정을 알고 있음에도 이를 회피하려 했다는 점에서 의도적 은폐 행위로 평가됨

테스터 탐지 메커니즘

• Honey는 다음 네 가지 기준으로 사용자가 테스터인지 판별

  • 신규 계정: 생성 후 30일 미만이면 규정 위반 행위를 중단
  • 포인트 누적치: 65,000포인트(약 650달러 상당) 미만이면 테스터로 간주
  • 서버 블랙리스트: 불만 제기 이력이나 특정 IP·쿠키가 등록된 경우 규정 위반 중단
  • 제휴 네트워크 쿠키: CJ, Rakuten Advertising, Awin 등 제휴사 로그인 쿠키가 있으면 테스터로 판단

• 이 중 하나라도 해당되면 Honey는 규정을 준수하지만, 모두 통과하면 규정을 완전히 무시하고 제휴 링크를 삽입

• 이러한 설계는 테스터의 탐지를 방해하고, 단기 테스트나 신규 계정 기반 검증을 무력화함

기술적 증거

• 핸즈온 테스트: 포인트 수치를 조작해 Honey의 반응을 비교

  • 포인트가 적을 때는 규정을 지켰으나, 높은 포인트로 속였을 때는 규정을 무시하고 링크를 표시
  • 제휴 네트워크 쿠키를 추가하자 Honey가 다시 규정을 준수하는 모습 확인

• 설정 파일 분석: ssd.json에서 선택적 스탠드다운 로직 확인

  • uP:65000(포인트 기준), gca(쿠키 검사), bl(블랙리스트) 등의 항목 존재
  • 특정 머천트(Booking.com, Kayosports 등)는 더 높은 포인트 기준 설정

• 텔레메트리 로그: Honey가 어떤 이유로 스탠드다운을 수행했는지 JSON 형태로 기록

  • state:"uP:5001", state:"gca" 등 내부 판단 근거가 명시됨

• 소스 코드 분석: 자바스크립트 함수 P()가 각 기준값을 비교해 스탠드다운 여부를 결정

  • 모든 조건을 통과하면 "ssd" 상태로 규정 무시
  • email에 “test” 포함 여부, affiliate cookie 존재 여부 등도 검사

eBay에 대한 특이한 예외 처리

• Honey는 eBay에 대해 24시간(86,400초) 의 스탠드다운을 적용, 다른 머천트보다 훨씬 엄격
  • 코드상에서도 eBay 도메인에 대해 무조건 스탠드다운하도록 하드코딩
  • 과거 eBay의 제휴 사기 사건(2008년) 이후 엄격한 제휴 관리를 의식한 조치로 보임

설정 변화와 시점

• 2022년에는 대부분의 네트워크에서 포인트 기준이 없었고, Rakuten(LinkShare)만 501포인트(약 5달러) 기준 적용
• 2025년 현재는 65,000포인트로 대폭 상향
  • MegaLag의 2024년 영상 공개 이후 Honey가 기준을 강화한 것으로 추정됨
• LinkShare의 경우 오히려 완화되어, 현재는 5,001포인트만으로 규정 무시 가능

은폐 행위의 맥락

• Honey의 행위는 과거 쿠키 스터핑, 지오펜싱, IP 필터링 등 제휴 사기 사례와 유사

  • 특정 IP나 쿠키를 차단해 테스터가 문제를 재현하지 못하도록 차단
  • 제휴 네트워크 쿠키를 탐지해 업계 관계자에게만 다른 동작을 수행

• 이러한 은폐는 단순 규정 위반보다 심각한 문제로, 의도적 기만을 입증함

  • Amazon이 과거 Honey를 “보안 위험”으로 경고한 이유가 결과적으로 정당화됨

향후 전망

• Honey는 Google Chrome Web Store 정책(투명성, 기능 은폐 금지) 위반 가능성 있음
• Apple App Store 역시 엄격한 검토 절차를 적용하므로 제재 가능성 존재
• 진행 중인 집단 소송에서 Honey의 은폐 행위가 추가 증거로 활용될 전망
  • Honey의 불규칙한 동작 원인이 명확히 규명되어, 소송 구조 단순화 가능

테스트 방법 공개

• 분석자는 FiddlerScript를 이용해 Honey 서버와의 통신을 조작, 포인트 값을 임의로 변경
  • 이를 통해 고포인트 계정 시나리오를 재현하고 Honey의 반응을 검증
• 이 방식은 현재 VPT의 자동화된 쇼핑 플러그인 모니터링 시스템에도 적용됨