개발자가 아니어도  10초면 보안 걱정 끝!  

무료체험하기

“왜 나만 쿠폰을 못 받지?”

쇼핑앱에서 실제로 벌어졌던 자동화 공격 이야기

“왜 나만 쿠폰을 못 받지?”
쇼핑앱에서 실제로 벌어졌던 자동화 공격 이야기

“분명 알람 맞춰두고 들어왔는데, 들어가자마자 이미 마감이라고요?”
한 쇼핑앱 고객센터에 비슷한 문의가 반복해서 들어오기 시작했습니다. 선착순 할인 쿠폰, 라이브커머스 전용 포인트, 한정 수량 이벤트까지. 이상하게도 일부 사용자만 계속 성공하고, 대부분의 사용자는 항상 한발 늦는 상황이었습니다.
처음에는 단순한 접속 폭주로 생각했습니다. 이벤트 시간에 트래픽이 몰리니, 서버가 느린 것이라고요.

하지만 이상했습니다. 
항상 같은 시간대, 항상 비슷한 계정들, 항상 사람이 할 수 없는 속도.
그때부터 운영팀은 깨달았습니다.
“이건 단순한 트래픽 문제가 아니다.”

쇼핑앱은 왜 공격자에게 ‘돈이 되는 앱’일까?
쇼핑앱은 단순한 콘텐츠 앱이 아닙니다.
•    할인 쿠폰
•    포인트
•    결제 정보
•    배송 정보
•    셀러 거래 데이터
모두 실제 금전 가치와 바로 연결되어 있습니다.

그래서 공격자 입장에서 쇼핑앱은 성공하면 바로 수익으로 이어지는 타깃입니다.
그리고 그 중에서도 가장 먼저 노려지는 것이 바로 할인·쿠폰·포인트 같은 금전성 자원입니다.

실제로 발생했던 공격 방식
문제가 본격적으로 드러난 건 로그 분석 이후였습니다.

확인된 공격 패턴
•    자동 클릭·매크로로 쿠폰 대량 수집
•    이벤트 응모 버튼의 비정상적 반복 호출
•    앱을 변조해 포인트 차감 로직 우회
겉으로 보기엔 정상 앱 사용자처럼 보였지만, 실제로는 자동화 도구 + 변조 앱이 함께 사용되고 있었습니다.

어디에서 보안의 허점이 있었을까?
이 쇼핑앱의 문제는 단 하나였습니다.
“사용자의 행동이 정상인지, 비정상인지 구분하지 못했다”
•    서버는 요청을 받기만 했고
•    앱은 실행 환경을 신뢰했고
•    자동화와 변조를 구분할 기준이 없었습니다
이 지점에서 앱 보안이 필요해졌습니다.

LIAPP: 금전성 자원을 노린 공격의 1차 방어선

자동 입력·스크립트 기반 공격 탐지
LIAPP은 사용자가 무엇을 입력했는지가 아니라, 어떻게 입력했는지를 봅니다.
•    터치 간격
•    입력 속도
•    반복 주기
•    이벤트 호출 패턴
사람이 낼 수 없는 입력 리듬은 결국 자동화 공격으로 드러납니다.
이 방식으로 자동 클릭·매크로 계정이 탐지되기 시작했습니다.

앱 위·변조 탐지
일부 공격자는 더 교묘했습니다.
•    정상 앱을 리패키징하고
•    포인트 차감 로직을 수정한 뒤
•    정상 사용자처럼 이벤트에 참여했습니다

LIAPP의 위·변조 탐지는
•    코드
•    리소스
•    앱 구조 변경 여부를 기준으로
변조된 앱의 실행 자체를 식별합니다.
쿠폰과 포인트를 노린 변조 앱은 더 이상 정상 흐름에 진입하지 못했습니다.

“쿠폰만 문제가 아니었다”
LISS와 LIKEY가 등장한 이유
조사를 진행하면서 또 하나의 사실이 드러났습니다.
공격자는 쿠폰만 노리지 않는다.

LISS – 원격지원 툴 탐지
운영·셀러 계정 일부에서 원격지원 앱을 통한 화면 조작 정황이 포착됐습니다.
LISS를 통해
•    원격지원·원격제어 툴을 탐지하고
•    중요 계정의 외부 조작 리스크를 차단했습니다.

LIKEY – 계정·입력 정보 보호
또 하나의 약점은 로그인 입력 구간이었습니다.
LIKEY의 보안 키패드를 적용해
•    키로거 기반 입력 탈취를 무력화
•    관리자·셀러 계정 보호 수준을 강화했습니다.

적용 이후, 무엇이 달라졌을까?
보안 적용 후 변화는 생각보다 빠르게 나타났습니다.
•    쿠폰·포인트 분배 정상화
•    이벤트 성공 계정 분포의 자연스러운 변화
•    고객 불만 감소
•    운영팀 대응 부담 감소
무엇보다 중요한 변화는 이것이었습니다.
“문제가 생기면 서버만 보던 시선”에서 “앱 실행 환경과 사용자 행위를 함께 보는 시선”으로의 전환

이 사례가 주는 교훈
쇼핑앱 보안에서 가장 큰 착각은 이것입니다. “서버만 잘 막으면 된다”
하지만 실제 공격은 앱에서 시작되고, 사용자의 행동을 흉내 내며, 조용히 금전성 자원을 가져갑니다.

그래서 필요한 것
•    자동화·위변조 탐지 → LIAPP
•    외부 조작 환경 탐지 → LISS
•    입력 정보 보호 → LIKEY
역할을 정확히 나누면, 보안은 복잡해지지 않고 현실적인 효과를 냅니다.

#쇼핑앱보안 #모바일보안 #쿠폰악용 #이벤트보안 #매크로탐지 #자동화공격 #앱위변조 #RASP보안 #전자상거래보안 #셀러앱보안 #계정보호 #핀테크보안 #모바일앱보안 #보안사례 #보안트렌드 #LIAPP #LISS #LIKEY

“잔액이 늘어났다고요?”
소셜 공유
도입문의