Honey 확장 프로그램 사기 사건

 

온라인 쇼핑할 때 할인 쿠폰을 자동으로 찾아주는 Honey 확장 프로그램을 아시나요?

2019년 PayPal이 무려 40억 달러(약 5조 원)에 인수할 정도로 신뢰받던 서비스였죠. 그런데 최근 충격적인 사실이 드러났습니다.

유튜버부터 일반 소비자까지, Honey가 몰래 수수료를 빼돌리는 기술을 사용하고 있었다는 겁니다.

이번 글에서는 Honey가 어떤 방식으로 사기를 저질렀는지, 그리고 우리가 어떻게 자신을 보호할 수 있는지 자세히 알아보겠습니다.

PayPal은 왜 Honey를 40억 달러에 인수했을까

Honey의 성공 스토리부터 짚고 넘어가야 합니다. 이 회사는 간단하면서도 유용한 서비스를 제공했습니다.

온라인 쇼핑 사이트 방문 시 할인 쿠폰을 자동으로 검색해주고, 가격 비교 및 하락 추적 알림을 보내주며, 구매 시 캐시백이나 포인트를 적립해줬죠.

2019년 PayPal은 회사 역사상 최대 규모의 인수합병으로 Honey를 자회사로 만들었습니다.

당시 Honey는 월 1,700만 명의 활성 사용자를 보유했고, PayPal은 이를 결제 시스템과 통합하려 계획했습니다.

하지만 이 인수 이후 Honey의 비즈니스 모델이 변질됐습니다.

쿠키 스터핑이란? 기술로 저지르는 현대판 사기

Honey의 사기 수법을 이해하려면 먼저 어필리에이트 마케팅을 알아야 합니다.

유튜버가 영상에서 상품을 추천할 때, 설명란에 특별한 링크를 올립니다.

시청자가 그 링크를 클릭해서 상품을 구매하면, 유튜버는 판매액의 일정 비율(보통 5-30%)을 수수료로 받습니다.

이것이 유튜버들의 중요한 수입원입니다.

쿠키는 이 시스템을 작동시키는 핵심입니다. 어필리에이트 링크를 클릭하면, 웹사이트는 작은 파일인 쿠키를 컴퓨터에 저장합니다.

이 쿠키에는 "이 구매는 유튜버 A가 보낸 사람이다"라는 정보가 담겨 있죠.

여기서 Honey의 범죄가 시작됩니다.

사용자가 유튜버의 링크를 타고 쇼핑몰에 가서 Honey로 쿠폰을 찾으면, 쿠폰이 없는 경우 "리워드를 받으시겠어요?"라는 버튼을 제시합니다. 사용자가 버튼을 누르면, Honey는 몰래 쿠키의 유튜버 이름을 자기 이름으로 바꿔버립니다. 결과적으로 구매액의 30%는 유튜버가 아닌 Honey가 챙기고, 사용자는 1-5%의 리워드만 받게 됩니다.

보안까지 우회한 Honey의 치밀한 수법

웹에는 HttpOnly라는 보안 기능이 있어서, 자바스크립트로 쿠키를 함부로 조작하지 못하게 하는 보호 장치가 있습니다.

그런데 Honey는 이 보안까지 우회했습니다.

사용자가 Honey 버튼을 누르면, 백그라운드에서 눈에 띄지 않는 새로운 탭이 몰래 열립니다. 그 탭에서 쇼핑몰을 다시 방문하되, Honey가 생성한 특별한 링크를 사용합니다. 이로 인해 쿠키가 새로 설정되며, 이번엔 Honey의 ID로 기록됩니다. 탭은 자동으로 닫히고, 사용자는 아무것도 모른 채 수수료를 빼앗기는 겁니다.

유튜버들의 분노, 소송으로 번진 사건

최근 이 사실이 공개되자, 유명 유튜버들이 일제히 Honey 광고 영상을 삭제했습니다. 특히 유명 변호사 유튜버들은 단체 소송까지 준비 중이라고 알려졌습니다. 사유는 어필리에이트 코드를 무단으로 변경하고, 최고의 쿠폰 코드를 본인 이름으로 사용했으며, 시청자들을 속였다는 것입니다.

한 유튜버는 계산해본 결과, 평균 구매액에서 수십만 원대의 손실을 입었다고 밝혔습니다.

이 문제는 전 세계 유튜버, 콘텐츠 크리에이터, 그리고 일반인을 피해자로 만들었습니다.

국내 사례, 쿠팡 파트너스 납치광고 사건

우리나라도 비슷한 문제를 겪고 있습니다.

2025년 10월, 쿠팡이 자신의 제휴마케팅 서비스인 쿠팡 파트너스를 악용한 악성 파트너사 10여 곳을 형사 고소했습니다.

쿠팡의 납치광고 수법은 이렇습니다. 사용자가 다른 쇼핑몰 웹사이트에 접속하면, 눈에 띄지 않게 쿠팡 구매 링크를 심습니다.

사용자가 링크를 클릭하지 않아도 자동으로 쿠팡으로 진입하도록 설정하고, 쿠팡 파트너스 수수료 전액을 악성 파트너사가 독점합니다.

Honey의 쿠키 스터핑과 거의 동일한 수법이지만, 한국은 훨씬 빠르게 대응했다는 점이 다릅니다.

나를 보호하는 방법

첫째, 확장 프로그램을 점검하세요.

최근에 설치한 확장 프로그램을 정리하고, Honey나 Pie Adblock 등 의심 프로그램을 삭제합니다.

신뢰할 수 없는 개발자의 프로그램을 제거하고, 확장 프로그램 권한을 확인하세요.

둘째, 구매 습관을 변경하세요.

신뢰하는 유튜버의 공식 링크만 사용하고, 어필리에이트 링크 클릭 시 URL을 확인합니다.

쇼핑몰에 직접 방문하는 것을 선호하고, 제휴 마케팅 표시된 콘텐츠는 신뢰도를 낮춰 평가하세요.

셋째, 브라우저 보안을 강화하세요.

정기적으로 브라우저 캐시와 쿠키를 삭제하고, 의심 탭 자동 차단 기능을 활성화합니다.

개발자 도구에서 쿠키를 주기적으로 확인하고, uBlock Origin이나 Adguard 같은 신뢰할 수 있는 확장 프로그램만 설치하세요.

핵심 정리

이 사건은 단순한 사기를 넘어, 큰 테크 회사도 신뢰할 수 없다는 걸 보여줍니다. PayPal이 40억 달러를 들여 인수한 회사가 사용자와 제휴자를 동시에 속였으니까요. 무료 서비스는 의심하고, 권한을 최소화하며, 링크 출처를 확인하세요. 유명하다고 안전하지 않습니다. 당신의 쇼핑 데이터와 구매력은 매우 값진 자산입니다. 이를 누군가가 몰래 빼앗아가지 않도록, 항상 경계하세요.