TestFlight 외부 테스터 한정 상태에서 미국 IP/중국어 언어로 가입 요청 발생 문의

문의 게시판
#1

안녕하세요, 현재 뒤끝서버를 사용하여 모바일 게임을 개발 및 테스트하고 있습니다.

현재 저희 게임은 다음과 같이 운영되고 있습니다:

  • Android: 비공개테스트(카페 모집), 제한된 인원만 참여
  • iOS: TestFlight를 통해 극소수(6명) 외부 테스터만 등록하여 진행(TestFlight 외부 테스터 그룹 내 등록된 이메일 외에는 설치 불가)
  • 스토어 설정: Google Play, App Store 모두 대한민국 지역 한정 배포 설정 완료

그런데 다음과 같은 이상 현상이 발생하고 있습니다:

  • 미국(United States) 국가, 중국어(zh-CN) 언어를 사용하는 iOS 기기(iPhone11,6)에서 가입 요청이 서버에 찍힘
  • 가입은 정상적으로 되나, 이후 게임 접속(파이어베이스 로그인/세션 활성화)은 없음
  • 수집된 정보:
    • Email: privaterelay.appleid.com 형태(Apple Private Relay)
    • 접속 시각: 2025-04-27 17:19
    • OS: iOS 18.4.1
    • 기기: iPhone11,6 (iPhone XS Max)
  • TestFlight 관리 페이지에서 확인한 결과, 해당 기기나 이메일은 등록된 외부 테스터 목록에 없음
  • 실제 TestFlight 설치 기록과도 일치하지 않음

현재 의심하는 상황은 다음과 같습니다:

  • 공식 앱 설치가 아니라, 뒤끝서버 API 엔드포인트에 직접 접근하여 가입 요청을 발생시킨 것 으로 추정
  • 즉, 정상적인 앱 경로를 통하지 않고 API 호출로 가입만 시도한 것으로 보임

이에 대해 아래와 같은 사항을 확인하고 싶습니다:

  1. 뒤끝서버에서는 기본적으로 전 세계 어디서든 API 호출이 가능한지 (GeoIP 기반 차단 기능이 기본 제공되는지)
  2. 특정 국가 외 지역(IP 기반 국가 필터링)에서의 회원가입 요청을 서버 차원에서 차단할 수 있는 기능이 존재하는지
  3. 클라이언트에서 국가 코드(Application.systemLanguage 등)만으로 차단하는 방식 외에 서버 레벨에서 방어할 수 있는 다른 방법이 있는지
  4. 혹시 비공개 TestFlight 상태임에도 이러한 API 접근이 자연스러운 것인지, 또는 다른 보안 권장 설정이 있는지
    감사합니다.
    image
    image1406×1446 139 KB
#2

안녕하세요 개발자님,
문의하신 내용과 관련하여 상세히 확인해보고자 하였으나,
유저 계정 정보가 삭제되어있어 확인할 수 있는 정보가 제한적이다보니 안내에 부족함이 있을 수 있는 점 양해 바랍니다.

우선 스크린샷을 통해 남겨주신 테스트 유저의 정보를 통해 가입 과정의 호출을 확인하였을 때,
이상 호출 정보는 확인되지 않으며 지극히 일반적인 가입 절차에 따라 진행된 호출들로 확인됩니다.

API 엔드포인트에 직접 접근하여 가입을 요청하였다 하기에는
sdk 초기화로부터 진행되는 다른 호출들 및 토큰로그인 실패 후 일반 가입과정이 확인되고 있어 말씀하신 상황은 아닌 것으로 예상됩니다.

또한 가입 정보상 확인되는 ip정보들을 기반으로 확인하였을 때에도,
미국/영어 정보로 토큰 로그인을 시도하다 미국/중국어 정보로 최종 가입을 완료한 상황
그리고 미국/영어 정보로 토큰로그인 시도 후 가입을 완료한 상황 등이 확인되었습니다. (유사 ip들의 호출 확인)

문의해주신 각 항목에 대해서는 1~3 모두 현재 지원하지 않는 기능들입니다.
처리는 가능한 부분이나 기능상으로 현재 제공이 이루어지지 않고 있는 점 참고 부탁드립니다.
4번 문의의 경우 호출 이력을 확인하였을 때에는 앞서 안내드린것과 같이 이상 호출로는 예상되지 않습니다.
가입 계정의 정보가 비공개로 되어있고, 유저 정보들이 모두 삭제된 상황이라 더 많은 정보를 확인하여 안내드리지 못하는 점 양해 바랍니다.

#3

추가 확인 내용 안내드립니다.

TestFlight 상태에서도 애플 앱 검수팀(Apple Review Team)이 임의로 앱에 가입하거나 주요 기능을 테스트하는 경우가 있는 것으로 확인됩니다.

외부 테스트를 위해 애플에 TestFlight 빌드를 제출할 경우, 앱 심사가 진행되며,
이 과정에서 애플 리뷰어가 앱을 실제로 실행하여 주요 흐름(가입, 로그인, 콘텐츠 접근 등)을 검토합니다.
이때 리뷰어가 테스트 계정 없이도 회원가입을 시도할 수 있으며, 앱이 정상 작동하는지 확인하기 위해 일반 사용자의 흐름 그대로 체험하는 것으로 확인되니 참고하여 주시면 감사하겠습니다.
(외에도 가이드라인 위반 여부 확인, 가입 제한 등의 조건 확인 등의 리뷰도 함께 진행되는 것으로 확인됩니다.)