pile·
보안·cloudflare-blogCloudflare Blog·

Precursor: 연속 클라이언트 신호 기반 봇·에이전트 행동 탐지

Cloudflare가 봇·자동화 에이전트 탐지를 위한 지속적 행동 검증 시스템 Precursor를 출시했다. 기존 CAPTCHA 체크포인트 방식과 달리, 세션 전체에 걸쳐 마우스 움직임·키보드 리듬·포커스 변화 등을 연속 수집해 인간과 자동화 클라이언트의 패턴을 구별한다. JavaScript 주입·엣지 평가·세션 누적·프라이버시 보호의 4개 컴포넌트로 구성되며, Turnstile 및 Bot Management의 선택적 보완 레이어로 작동한다.

핵심 포인트
  • 동적으로 난독화된 JavaScript를 HTML 응답에 자동 삽입해 포인터·키보드·가시성 이벤트를 버퍼링 후 주기적으로 엣지 서버로 전송한다.
  • 엣지 평가 레이어가 포인터 활동과 페이지 가시성 지속 시간의 상관 여부, 텍스트 필드 포커스 시에만 키보드 이벤트가 발생하는지 등 복수 신호를 교차 검증한다.
  • 세션 전체에 걸쳐 데이터가 누적되어 페이지 새로고침으로 행동 서명을 초기화하는 봇 전략을 차단한다.
  • 인간 마우스는 손목·팔 물리학 제약으로 호형 궤적과 인지적 지연을 보이지만, 봇은 선형 보간이나 수학적으로 완벽한 베지에 곡선을 따른다.
  • 키보드 활동은 타이밍과 리듬만 기록하며 실제 키 입력 내용은 수집하지 않는 프라이버시 설계다.
상세 정리
  • 시스템 구성: JavaScript 주입·수집 / 엣지 평가 / 세션 통합 / 프라이버시 보호 4개 컴포넌트로 구성된다.
  • JavaScript 주입: Cloudflare가 HTML 응답에 경량 난독화 스크립트를 자동 삽입한다. 포인터 움직임, 키보드 활동, 포커스 변화, 가시성 이벤트를 버퍼링 후 주기적으로 전송한다.
  • 엣지 평가: 엣지 서버에서 복수의 평가기가 교차 신호를 검증한다. 포인터 활동과 페이지 가시성 지속 시간의 상관 여부, 텍스트 필드 포커스 시에만 키보드 이벤트가 발생하는지를 확인한다.
  • 세션 통합: 행동 데이터가 세션 전체에 걸쳐 누적된다. 페이지 새로고침으로 봇이 행동 서명을 초기화하려는 전략을 방지한다. 세션 메타데이터는 하위 탐지 시스템의 봇 점수에 반영된다.
  • 프라이버시: 키보드 활동은 타이밍과 리듬만 기록하며 실제 입력 내용은 수집하지 않는다. 수집된 행동 신호는 Cloudflare 내부 탐지 시스템에만 사용되며 사용자 신원·영구 프로필과 연결되지 않는다.
  • 인간 행동: 마우스 이동은 손목·팔 물리학 제약으로 호형 궤적을 따르고, 클릭 전 인지적 지연과 특정 주파수대의 생리적 손 떨림이 관찰된다.
  • 봇 행동: 선형 보간 또는 수학적으로 완벽한 베지에 곡선으로 이동하며, 비인간적 정밀도로 클릭한다. 개별 인터랙션은 그럴 듯해 보여도 세션 전체 패턴에서 현저한 차이가 드러난다.
  • 운영 모드: 배경 행동 분석용 관찰 모드와 검증된 세션을 요구하는 강제 모드 두 가지로 운영 가능하다.
  • 통합: 기존 Bot Management 또는 Turnstile 고객은 애플리케이션 코드 수정 없이 Cloudflare 대시보드에서 즉시 활성화할 수 있다.
  • 분석 대시보드: Security Analytics에 세션 패턴, 행동 이탈, 자동화 징후를 시각화하는 세션 기반 분석 대시보드가 추가됐다.
  • 가용성: 2026년 GA 전까지 무료 제공 중이다.
왜 읽나봇 탐지·보안 운영을 담당하거나 웹 애플리케이션 자동화 트래픽 방어를 고민하는 엔지니어에게 세션 기반 행동 분석 아키텍처와 클라이언트 신호 수집 패턴의 실제 레퍼런스.
cloudflare-blog
Cloudflare Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    더 나은 양자 내성 서명 알고리즘을 기다릴 수 없는 이유

    NIST가 9개의 새로운 양자 내성 서명 알고리즘 후보를 3차 평가 중이지만, Cloudflare 엔지니어들은 지금 당장 도입 가능한 서명 알고리즘은 ML-DSA뿐이라고 결론 내린다. 2029~2034년의 전환 목표 시점에 어떤 신규 후보도 광범위하게 배포될 준비를 마치지 못할 것이기 때문이다.

    #cryptography#post-quantum#digital-signatures+2
  2. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2