x

이메일로 만나보는 스타트업 가이드

투자, 행사, 정부사업 등 스타트업 생태계 소식을 이메일로 편하게 받아보세요.

클라우드플레어(Cloudflare)가 7월 13일 웹사이트를 방문한 사용자 조작을 세션 전체에 걸쳐 분석해 인간에 의한 접속과 봇 또는 AI 에이전트에 의한 자동 조작을 판별하는 새로운 검증 시스템인 프리커서(Precursor)를 발표했다.

인간과 봇을 판별하는 장치로는 캡차(CAPTCHA)가 대표적이지만 봇 고도화가 진행되면서 봇이 실제 브라우저를 조작해 인증을 통과할 수 있게 됐다. 다만 봇은 인증 시점에서는 인간 조작을 모방할 수 있더라도 세션 전체에서는 인간답지 않은 조작 패턴을 보이는 경우가 있다.

클라우드플레어의 신기술 프리커서는 인증 이후를 포함한 일련의 조작을 분석해 단시간에는 간파하기 어려운 자동 조작을 탐지한다. 인간이 마우스를 움직일 때는 목적지를 조금 지나쳤다가 되돌아오거나 손목 움직임에 따라 곡선을 그리거나 속도가 미세하게 변화하는 특성이 있다. 반면 봇에 의한 조작에서는 직선적인 궤적이나 일정한 속도, 지나치게 정확한 클릭 등이 반복되는 경우가 많아 개별 조작만으로는 자연스러워 보여도 일련의 조작으로 확인하면 인간과 자동 조작 차이가 드러나기 쉽다.

지속적인 분석을 수행하기 위해 프리커서를 활성화한 웹사이트에서는 클라우드플레어가 HTML에 경량 자바스크립트를 자동 삽입한다. 삽입된 스크립트는 마우스 포인터 이동, 키보드 조작 타이밍, 입력란 포커스, 페이지 표시 시간 등을 수집해 클라우드플레어 서버로 정기 전송한다. 프라이버시 배려 차원에서 키보드 조작의 경우 입력된 문자 자체가 아닌 조작 타이밍과 리듬만을 기록하며 수집된 행동 데이터는 이용자의 계정이나 로그인 정보, 영구적인 프로필에 연결하지 않는다.

전송된 정보는 개별적으로 판정되는 게 아니라 복수 조작을 조합해 평가된다. 예를 들어 키보드 조작이 입력란에 포커스가 있을 때만 발생하는지, 포인터 조작이 페이지 표시 상태와 정합하는지 등을 확인한다. 판정 결과는 클라우드플레어 봇 스코어나 추가 인증 표시 여부 판단, 보안 규칙 등에 반영된다.

분석 결과는 페이지 단위가 아닌 세션 단위로 축적되기 때문에 봇이 페이지를 새로고침하더라도 그때까지 기록된 행동 특징을 쉽게 초기화할 수 없도록 설계됐다.

한편 프리커서는 클라우드플레어가 기존에 제공해 온 인증 기능인 클라우드플레어 턴스타일(Cloudflare Turnstile)과 병용할 수 있다. 턴스타일이 특정 시점에서 이용자를 확인하는 반면 프리커서는 분석 대상을 사이트 내 일련의 조작으로 확장했다. 사이트 전체에서는 이용자 조작을 방해하기 어려운 설정을 적용하고 결제 페이지에서만 엄격한 확인을 요구하는 등 사용 분담도 가능하다. 반면 기존 자바스크립트 디텍션(JavaScript Detections)에 대해서는 프리커서가 후속 기능에 해당하며 프리커서를 활성화할 경우 자바스크립트 디텍션을 비활성화하도록 안내되고 있다.

현재 프리커서는 엔터프라이즈 플랜 대상 유료 애드온인 봇 매니지먼트 포 엔터프라이즈(Bot Management for Enterprise) 사용자에게 순차 제공되고 있으며 클라우드플레어 관리 화면에서 활성화할 수 있다. 사용자에 대한 개입을 최소화하고 백그라운드에서 세션 상태 수립을 시도하는 미니마이즈 프릭션(Minimize Friction)과 유효한 세션이 없을 경우 경량 인증 화면을 표시하는 맥시마이즈 시큐리티(Maximize Security) 2가지 모드가 마련되어 있다. 프리커서는 올 하반기 예정된 정식 출시 전까지는 무료로 이용할 수 있다. 관련 내용은 이곳에서 확인할 수 있다.

뉴스 레터 구독하기

Related Posts

Next Post