Precursor: 전체 세션에서 에이전트 행동을 탐지하는 Cloudflare 시스템
요약
Cloudflare가 'Precursor'라는 시스템을 통해 에이전트 행동을 탐지하고 웹의 봇 사용에 대한 새로운 보호 계층을 제공합니다. 이는 유료 크롤링 시장을 열고, 좋은 봇과 나쁜 봇을 구분하여 스팸 및 남용을 줄이는 데 기여할 수 있습니다. 다만, 이 과정에서 접근성 도구 사용자나 비전통적 입력 장치 사용자가 봇으로 오인되어 인터넷 이용에 배제될 위험성이 제기됩니다.
핵심 포인트
- Cloudflare는 Precursor를 통해 에이전트 행동을 탐지하고 웹 보호 계층을 제공합니다.
- 좋은 봇(합법적 크롤러)과 나쁜 봇(스팸/남용)을 구분하는 것이 핵심 목표입니다.
- 접근성 도구 사용자나 키보드 전용 사용자가 봇으로 오인될 위험성이 있습니다.
- 이 시스템은 웹의 에이전트 활동에 대한 새로운 '보호비' 모델을 제시합니다.
Cloudflare가 차단과 허용 양쪽에서 봇의 판정자로 자리 잡는 모습은 우려스러우며, 인터넷 전체에도 건강하지 않아 보임
반대로 보면 Cloudflare는 유료 크롤링(pay for crawl) 의 길을 닦고 있으며, 이는 고귀하고 야심 찬 목표라고 생각함
거의 20년간 광고보다 나은 콘텐츠 제작자 보상 수단이 필요하다고 lament해 왔는데, 이것이 그 답이 될 수 있음
Anthropic과 OpenAI가 도용한 콘텐츠 위에 세워졌다는 비판도 계속돼 왔으므로, 이 현실을 외면하면서 양쪽 모두를 바랄 수는 없음
경쟁 서비스를 만드는 일은 Cloudflare의 경쟁사들에게 달려 있음
Cloudflare는 자사가 운영하는 서비스에 선택적으로 켤 수 있는 보호 계층을 제공할 뿐임
제공 범위가 너무 넓다는 것인지, 비슷한 서비스를 아무도 제공하지 않는다고 보는 것인지 이런 포괄적인 비판만으로는 이해하기 어려움
평범한 사업 활동일 뿐이며, 소비자가 지갑으로 투표해야 함
Cloudflare가 에이전트 제품을 판매하면서 동시에 웹의 에이전트 사용을 차단하는 듯한 서비스를 내놓는 건 다소 묘하게 느껴짐
마우스 경로 외에도 훨씬 많은 신호를 쓰겠지만, 터치스크린이나 ThinkPad 트랙포인트 같은 비전통적 입력 장치에서는 이미 판별이 까다로울 수 있음
접근성 마우스 도구 사용자를 봇으로 오인하면 심각하지만, 이를 예외 처리하면 에이전트 브라우징의 우회로가 될 수도 있음
그래도 에이전트 봇의 남용과 스팸을 줄인다는 점에서는 거의 확실히 좋은 방향임
좋은 봇과 나쁜 봇을 구분하면 덜 이상함
좋은 봇이 쓸 서비스를 제공하면서 나쁜 봇은 차단하도록 도울 수 있음
봇이 마우스 움직임을 어설프게 흉내 낸다면 강력한 이상 신호가 되며, 좋은 봇이라면 robots.txt를 따르고 봇이라는 사실을 숨기지 않을 것임
상점에 보호비를 파는 조직폭력배와 조금 비슷하게 느껴짐
6년 전 hCaptcha에서 이 모든 기능을 구현했음
사람과 봇을 구분하는 데 그치지 않고, 같은 사람이 여러 계정을 만들거나 여러 신용카드를 시험할 때 나타나는 키보드·마우스 행동까지 식별했음
Cloudflare가 2020년 hCaptcha로 전환했을 때 이런 악용 탐지가 포함됐고, 2022년 hCaptcha를 떠날 때는 이미 자체 구현한 줄 알았음
reCAPTCHA v3도 비슷하지 않았나 싶음. 백그라운드에서 조용히 감시한다는 것이 주요 홍보 포인트였던 것으로 기억함
페이지에서 접근성을 검색해도 결과가 없으니, 이런 마우스 움직임 점성술이 시각장애인과 키보드 전용 사용자를 인터넷의 상당 부분에서 완전히 배제할 것 같음
시각장애인과 키보드 전용 사용자는 익명 인터넷에서 배제될 가능성이 큼
로그인해서 익명성을 포기하면 봇이 아니라고 간주할 것 같음
마우스 움직임은 적절한 가중치를 받는 여러 신호 중 하나일 것으로 보이지만, 실제 해당 사용자들의 피드백을 확인하고 싶음
Cloudflare는 이미 허용 목록에 없는 서구권 밖 사용자에게 오토바이 식별을 몇 분씩 강요하므로, 소수의 시각장애인 접근성을 크게 걱정할 것 같지 않음
문서에는 “Mouse movement is just one example of the signals Precursor evaluates”라고 세 번 나옴. 즉 마우스 움직임은 여러 신호 중 하나임
스마트폰 중심으로 서비스를 설계하면서 스마트폰이 없는 고령자와 장애인을 배제한 것과 같음
일부 지역에서는 스마트폰 없이는 항공편 체크인조차 못 해 여행 자체가 불가능하지만, 대부분 이를 당연하게 받아들임
Darwinium(darwinium.com)도 비슷한 제품임 프로파일링과 단계 전환 확률을 결합해, 지불 거절 위험이 있는 결제 같은 디지털 자산의 특정 영역만 에이전트에게 추가 인증을 요구하거나 차단할 수 있게 함
현재 Precursor는 같은 사이트에서 여러 문서를 가져가는 스크래핑 탐지에 더 집중하는 듯함
봇이나 에이전트가 사람의 커서 움직임을 흉내 내는 미세한 흔들림을 추가하면 무엇으로 막을 수 있는지 궁금함
다른 신호도 쓰겠지만, 이 신호만큼은 봇이 조금만 정교해져도 쉽게 우회할 수 있어 보임
이를 우회하려면 약간이 아니라 상당한 정교함이 필요함
기본적인 기계학습 군집화만으로도 봇의 마우스·키보드·터치 행동을 사람과 구분할 수 있지만, 시선 추적 같은 보조 기능을 쓰는 장애인도 차별할 가능성이 큼
한 손만 사용하는 사람의 행동은 전형적인 사용자와 크게 다를 수 있으며, 현재 미국에서는 California·Illinois·NY 외 지역에서 ADA 집행도 미약함
Cloudflare처럼 영향력이 큰 기업은 장애인이 이런 행동 분석의 피해를 보지 않도록 보수적으로 필터링해야 함
“봇일 가능성 점수만 제공하며 임계값은 각 웹사이트가 정한다”고 책임을 넘긴 뒤, 장애인 차단은 사이트가 임계값을 너무 엄격하게 정한 탓이라고 해서는 안 됨
이 규모에서는 결정의 2차·3차 효과까지 책임져야 함
이 데이터는 봇뿐 아니라 성별, 주손, 대략적인 나이, 키 입력 패턴에 따른 모국어, 부상과 회복 과정, 정신·신체 장애까지 구분할 수 있음
사이트 탐색 방식으로 ADHD, 조현병, Parkinson병, 약물 사용과 치료 효과까지 추정할 수 있으므로, 이 모든 신호에서 전형적인 사람과 같은 군집에 들도록 흉내 내기는 매우 어려움
단순한 무작위 흔들림이 아니라 사람의 커서 움직임을 닮은 흔들림을 합성해야 하므로 대단히 어려움
2027년에는 흔들림 생성, 사전 계획, 사후 검증, Cloudflare의 역흔들림 대응에 얼마나 많은 토큰을 쓰게 될지 궁금함
CAPTCHA를 실패시키려고 일부러 흔들림 판별을 이겨 보려 하지만, 한 번도 성공하지 못했는데 계속 시도하게 됨
기술적으로 막는 것은 없지만 Cloudflare가 훨씬 많은 실제 흔들림 데이터를 보유했으므로 시작부터 불리함
단기적으로 통할 수 있어도 시간이 지나면 뚜렷한 패턴이 드러나며, 특정 사이트와 레이아웃별 흔들림 데이터도 다양해서 인위적 모방을 쉽게 잡아낼 수 있음
같은 사용자도 입력 장치에 따라 움직임이 달라짐
업무용 PC에서는 마우스, 개인 노트북에서는 터치패드, 업무용 노트북에서는 ThinkPad 트랙포인트를 사용하므로 한 사람에게 세 가지 행동 프로필이 생김
AI의 움직임과는 다르겠지만 마우스 움직임 지문이 또 하나의 관문이 된다면 흥미로운 이상치가 많이 나타날 수 있음
AI 자동 생성 콘텐츠
본 콘텐츠는 GeekNews의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기