14억 사용자가 속았다? Culper Research의 AppLovin 폭로!!

Culper Research가 2025년 2월 25일 Alphabet(Google)의 CEO Sundar Pichai에게 보낸 공개 서한은 AppLovin이라는 광고 네트워크 회사가 안드로이드 사용자 모르게 앱을 설치하는 심각한 문제를 지적하고 있습니다.

https://culperresearch.com/latest-research

Culper Research

 

AppLovin은 어떻게 사용자 모르게 앱을 설치하는가?

이 문제는 두 가지 핵심 요소로 구성되어 있습니다.

1. AppHub 앱: AppLovin은 "Array"라는 프로그램을 통해 삼성, T-Mobile, OPPO, Xiaomi 등 주요 제조사 및 이동통신사와 파트너십을 맺어, 이 회사들이 새 스마트폰에 AppHub라는 앱을 미리 설치하도록 했습니다. 이 앱은 일반 앱이 가질 수 없는 강력한 권한을 갖고 있습니다:
   • QUERY_ALL_PACKAGES: 기기의 모든 앱 정보 조회 가능
   • INSTALL_PACKAGES: 사용자 동의 없이 새 앱 설치 가능
2. 백도어 설치 메커니즘: 이것만으로도 위험하지만, 더 심각한 문제는 AppLovin이 자사 광고 SDK(Software Development Kit)를 통해 Subway Surfers, Angry Birds, 8 Ball Pool 등 수십억 다운로드된 인기 게임에 특별한 권한을 심어놓았다는 점입니다:
   • com.applovin.array.apphub.permission.BIND_APPHUB_SERVICE
   • 이 권한이 있는 앱은 AppHub가 기기에 있을 경우, AppHub의 강력한 권한을 "빌려" 사용할 수 있게 됩니다.

실제 작동 방식

보고서의 코드 분석에 따르면 작동 방식은 다음과 같습니다. 

1. 사용자가 Subway Surfers 등 인기 게임에서 AppLovin의 광고를 한 번 클릭하면
2. 게임 내 AppLovin SDK가 기기에 설치된 AppHub 앱과 연결됩니다
3. AppHub의 앱 설치 권한을 빌려와 사용자 모르게 광고된 앱을 기기에 직접 설치합니다
4. 이 과정은 사용자 동의나 확인 없이 "조용히" 진행됩니다

왜 이런 일을 벌이는가?

AppLovin은 앱 설치당 수익을 올리는 광고 네트워크 회사입니다. 사용자가 광고를 클릭해 앱을 설치할 때마다 AppLovin은 수익을 얻습니다. 이 "Direct Download" 메커니즘을 통해 AppLovin은 다음의 이득을 얻을 수 있습니다.

1. 광고 클릭을 자동으로 앱 설치로 전환할 수 있습니다
2. 설치 수를, 따라서 회사 수익을 "인위적으로 부풀릴" 수 있습니다

이것이 왜 문제인가?

1. Google Play 정책 위반: Google Play의 "기기 및 네트워크 남용" 정책은 "사용자의 사전 동의 없이 다른 앱을 설치하는 앱"을 명백히 금지하고 있습니다.
2. 사용자 자율성 침해: 사용자는 자신의 기기에 어떤 앱이 설치되는지 통제할 권리가 있습니다.
3. 보안 위험: 이러한 백도어 설치 메커니즘은 악성 소프트웨어 배포에 악용될 가능성이 있습니다.
4. 리소스 소모: 원치 않게 설치된 앱은 데이터, 배터리, 저장 공간을 소모합니다.

영향받는 앱들

보고서는 인기 모바일 게임과 앱 다수가 이 문제에 연루됐다고 주장합니다.

• Subway Surfers (100M+ 다운로드)
• 8 Ball Pool (100M+ 다운로드)
• Wordscapes (100M+ 다운로드)
• Angry Birds (100M+ 다운로드)
• Coin Master (100M+ 다운로드)
• 그 외 Twerk Race 3D, Helix Jump, Paper.io 2 등 많은 인기 게임들

이 문제의 규모

AppLovin은 자사 광고 네트워크가 "14억 일일 활성 사용자"에 도달한다고 주장합니다. 이는 전 세계 스마트폰 사용자의 상당 부분에 해당하는 수치로, 이 문제가 매우 광범위하게 퍼져 있을 가능성을 시사합니다.

---

AppLovin 투자자가 주목해야 할 핵심 우려사항 분석

투자자 관점에서의 주요 리스크 요인

1. 규제 및 법적 리스크

• 구글의 제재 가능성: 보고서에 따르면 AppLovin의 "Direct Download" 메커니즘은 Google Play의 기기 및 네트워크 남용 정책을 명백히 위반하고 있습니다. 구글이 이에 대해 조치를 한다면 다음 상황이 발생할 수 있습니다.
  • AppLovin의 SDK가 포함된 앱들이 Google Play에서 제재를 받을 수 있음
  • 광고 네트워크 사업에 심각한 타격이 예상됨
  • 최악의 경우 Google Play에서 완전히 차단될 가능성도 있음
• 법적 소송 위험: 사용자 동의 없는 앱 설치는 여러 국가의 데이터 보호법(GDPR, CCPA 등)을 위반할 소지가 있으며, 이로 인한 집단 소송 가능성이 있습니다.

2. 비즈니스 모델의 지속가능성 문제

• 주요 수익원 위협: 보고서는 AppLovin의 앱 설치 수치가 "인위적으로 부풀려졌을" 가능성을 제기합니다. 이 관행이 중단될 경우 다음 상황이 예상됩니다.
  • 광고 효과 수치 하락 예상
  • 광고주들의 지출 감소로 이어질 가능성
  • 실제 유기적 성장률이 보고된 것보다 낮을 수 있음
• 파트너십 불안정성: OEM 및 통신사 파트너들(삼성, T-Mobile, Xiaomi 등)이 이 문제로 인한 평판 손상을 우려해 협력 관계를 재고할 가능성이 있습니다.

3. 재무적 영향

• 매출 하락 위험: 무단 앱 설치가 AppLovin의 성장을 견인했다면, 이 관행이 중단될 경우 매출 성장에 상당한 타격이 예상됩니다.
• 마진 압박: 합법적인 방식으로 비즈니스를 재구성할 경우, 마케팅 비용 증가와 효율성 감소로 인한 마진 압박이 예상됩니다.
• 벌금 및 합의금: 규제 당국의 조사나 소송으로 인한 벌금 및 합의금 지불 가능성이 있습니다.

4. 평판 리스크

• 광고주 이탈 위험: 이 보고서로 인해 AppLovin의 광고 효과 측정에 대한 신뢰도가 하락하여 주요 광고주들이 플랫폼 사용을 재고할 수 있습니다.
• 투자자 신뢰 하락: 경영진의 투명성과 윤리적 운영에 대한 의문이 제기되어 투자자 신뢰에 타격이 올 수 있습니다.

향후 주시해야 할 핵심 지표 및 이벤트

1. 규제 및 법적 진행 상황

• 구글의 공식 입장: 구글이 이 문제에 대해 어떤 입장을 취하는지 주목해야 합니다. 조사 착수나 제재 발표는 심각한 주가 하락 요인이 될 수 있습니다.
• 개인정보 규제기관의 동향: EU의 데이터 보호 기관이나 미국 FTC 등 규제기관의 조사 가능성을 모니터링해야 합니다.

2. 비즈니스 지표 변화

• 앱 설치 수 변화: 향후 분기별 보고에서 앱 설치 수치의 급격한 변화가 있는지 주목해야 합니다. 설치 수의 급감은 보고서 내용이 사실임을 간접적으로 증명할 수 있습니다.
• AXON 2.0 성과 검증: AppLovin이 주장하는 AI 기술 'AXON 2.0'이 실제로 얼마나 효과적인지 독립적인 검증이 필요합니다. 이는 회사의 기술적 경쟁력을 판단하는 중요한 지표입니다.
• 주요 파트너십 변화: 삼성, T-Mobile 등 주요 OEM 및 통신사 파트너와의 관계 변화가 있는지 주목해야 합니다.

3. 재무 지표 분석

• 수익 성장률 변화: 전년 대비 수익 성장률에 갑작스러운 변화가 있는지 확인해야 합니다.
• 매출 구성 변화: AppDiscovery와 같은 광고 네트워크 매출이 전체 매출에서 차지하는 비중 변화를 주시해야 합니다.
• 마케팅 효율성 지표: 고객 획득 비용(CAC)과 같은 마케팅 효율성 지표의 악화는 불법적 방법에 의존하던 비즈니스 모델이 타격을 입었음을 시사할 수 있습니다.

4. 경영진 대응

• 경영진의 해명: AppLovin 경영진이 이 보고서에 대해 어떻게 반응하고 해명하는지 주목해야 합니다. 구체적이고 투명한 해명인지, 아니면 모호하고 방어적인 태도인지가 중요합니다.
• 비즈니스 모델 변화: 회사가 비즈니스 모델이나 광고 전략을 수정하는 움직임이 있는지 살펴봐야 합니다.

결론

Culper Research의 보고서는 AppLovin의 비즈니스 모델의 핵심 부분이 규제 위반에 기반할 수 있다는 심각한 의혹을 제기하고 있습니다. 투자자들은 향후 구글의 대응, 주요 파트너와의 관계 변화, 그리고 회사의 수익 성장률 변화를 주의 깊게 모니터링해야 합니다. 특히 다음 분기 실적 발표에서 앱 설치 수치와 광고 네트워크 매출의 변화는 이 보고서 주장의 신뢰성을 가늠할 수 있는 중요한 지표가 될 것입니다. 이러한 불확실성 속에서 투자자들은 위험 관리 전략을 재점검하고, 향후 상황을 살펴보면서 AppLovin의 비중을 포트폴리오 내에서 어떻게 조정할지 신중하게 고려해야 할 시점이라고 생각합니다.