허니 확장프로그램의 배신: 소스코드 분석이 증명한 제휴 수익 탈취의 실체
makedream2026년 1월 25일
0
컴퓨터/소프트웨어Related Video
15:27Honey의 소스 코드를 읽어봤습니다
The PrimeTime
Comments (0)
Log in to leave a comment
No posts yet
makedream15:27The PrimeTime
Log in to leave a comment
No posts yet
무료 할인을 약속하며 전 세계 1,700만 명의 브라우저에 자리 잡은 쇼핑 도구 Honey(허니). PayPal이 40억 달러라는 거금을 들여 인수한 이 서비스의 이면에는 정교하게 설계된 기만 체계가 숨어 있었습니다. 단순한 기술적 오류가 아닙니다. 5년치 소스코드를 역공학으로 분석한 결과, 타인의 수익을 가로채기 위해 수년에 걸쳐 고도화된 엔지니어링 오용의 실체가 드러났습니다.
제휴 마케팅 시장에는 상도덕이 존재합니다. 이미 다른 경로로 유입된 사용자의 쿠키를 덮어쓰지 않고 물러나는 스탠드다운 원칙입니다. 하지만 Honey는 코드를 통해 이 원칙을 선택적으로 무시했습니다. 특히 감시를 피하기 위해 사용자가 보안 전문가인지 일반 소비자인지 판별하는 프로파일링 엔진까지 가동했습니다.
Honey의 시스템은 시간이 흐를수록 교묘해졌습니다. 단순히 코드를 유지보수한 수준이 아니라, 부정 행위를 숨기기 위한 기술적 도약이 매년 이루어졌습니다.
| 진화 단계 | 시기 | 주요 기술적 변화 | 제휴 로직 제어 방식 |
|---|---|---|---|
| 초기 단계 | ~2019 | 단순 if-else 기반 하드코딩 | 정적 규칙 적용 |
| 정체기 | 2020-2021 | PayPal 인수 후 시스템 안정화 | 기본 기능 위주 수행 |
| 동적 전환 | 2022-2023 | JSON 기반 동적 설정 도입 | 서버에서 실시간 제어 |
| 보안 우회 | 2024~ | VIM 엔진(인터프리터) 탑재 | Manifest V3 규정 무력화 |
구글은 확장프로그램의 보안을 강화하기 위해 외부 코드를 가져와 실행하는 행위를 엄격히 금지했습니다. 이것이 Manifest V3 규정입니다. Honey는 이 규정을 정면으로 돌파하는 대신, 확장프로그램 내부에 독자적인 자바스크립트 실행 환경을 구축하는 기행을 선택했습니다.
Honey 내부에 탑재된 Acorn 자바스크립트 파서는 서버에서 내려받는 JSON 데이터를 단순한 정보가 아닌 실행 가능한 로직으로 해석합니다. 구글의 정적 분석 도구는 이를 단순한 데이터로 인식하여 통과시킵니다. 결과적으로 Honey는 확장프로그램을 업데이트하지 않고도 실시간으로 사용자의 브라우저 동작을 조작할 수 있는 전권을 쥐게 되었습니다.
Honey가 수익을 가로채는 방식은 은밀하고 치명적입니다. 사용자가 결제 페이지에 도달하는 찰나, 보이지 않는 1x1 픽셀 크기의 탭을 백그라운드에서 열어 제휴 링크를 강제로 호출합니다. 이 과정에서 기존 콘텐츠 제작자가 받아야 할 추천 쿠키는 삭제되고 Honey의 식별자가 그 자리를 차지합니다.
실제 분석 사례에 따르면, Honey는 사용자에게 단 0.89달러의 적립금을 제공하면서 배후에서는 제작자의 몫인 35.60달러의 커미션을 전액 가로채기도 했습니다. 사용자가 쿠폰 적용 버튼을 누르기도 전에 코드를 서버로 전송하여, 소상공인이 특정 고객에게만 발급한 VIP 코드나 1회용 코드까지 공용 데이터베이스로 유출하는 피해를 입히고 있습니다.
Honey의 사례는 기술이 윤리적 가이드라인을 벗어났을 때 얼마나 파괴적인 결과를 초래하는지 보여줍니다. 현재 Rakuten을 비롯한 대형 제휴 네트워크는 Honey를 영구 제명했으며, 피해를 입은 콘텐츠 제작자들의 집단 소송이 이어지고 있습니다.
무료 서비스가 실제로는 타인의 정당한 노동 가치를 탈취한 대가일 수 있다는 사실을 기억해야 합니다. 브라우저 확장프로그램이 모든 웹사이트의 데이터 읽기 및 변경 권한을 요구한다면 그 의도를 의심하십시오. Honey의 부적절한 동작은 단순한 실수가 아니라, 수익 극대화를 위해 치밀하게 계산된 설계의 산물입니다.