facts

이번에 도입된 Precursor는 로그인, 가입, 결제와 같은 특정 검증 지점이 아니라 사용자 여정 전체를 관찰한다. 기존의 봇 방어가 특정 관문에서 '사람인지'를 묻는 방식이었다면, Precursor는 사용자가 사이트에 머무는 내내 발생하는 행동 신호를 연속적으로 분석하는 체계다.

작동 방식은 단순하다. Cloudflare 네트워크를 통과하는 HTML 응답에 경량 JavaScript를 동적으로 삽입한다. 이 스크립트는 포인터의 이동 경로, 키보드 활동, 포커스 변화, 페이지 표시 상태 등을 수집해 엣지 서버로 전송한다. 수집된 데이터는 엣지 평가기(evaluator)를 통해 역직렬화되며, 포인터 활동이 실제 페이지 표시 시간과 일치하는지, 텍스트 필드에 포커스가 있을 때만 키보드 이벤트가 발생하는지 등을 교차 검증한다.

개인정보 보호를 위한 설계도 포함됐다. 키보드 입력 시 실제 어떤 키를 눌렀는지는 수집하지 않고, 입력 사이의 타이밍과 리듬만 포착한다. 이렇게 수집된 행동 신호는 사용자 계정이나 영구 프로필에 연결되지 않으며, 고객 대시보드에 직접 노출되지 않는 구조다.

현재 이 기능은 'Enterprise Bot Management'의 일부로 배포 중이다. 애플리케이션 코드를 수정할 필요 없이 백그라운드에서 관찰하거나, 검증되지 않은 세션에 챌린지(Challenge)를 강제하는 방식으로 운영할 수 있다. 올해 말 정식 출시(GA) 전까지는 무료로 사용할 수 있다.

market-flow

최근의 자동화 봇들은 실제 브라우저 환경을 사용하고 JavaScript를 실행하며, 개별 CAPTCHA까지 통과하는 수준으로 진화했다. 짧은 구간만 보면 정상 사용자와 구분이 거의 불가능하다. 하지만 세션 전체에 걸쳐 '인간다운 행동'을 일관되게 재현하는 것은 완전히 다른 문제다. Cloudflare는 바로 이 지점, 즉 행동의 연속성에 주목했다.

Precursor가 포착하려는 핵심은 인간의 물리적·인지적 제약이다. 봇 개발자는 마우스 움직임에 무작위 지연이나 노이즈를 추가해 사람처럼 보이려 하지만, 실제 인간의 움직임에는 단순한 잡음 이상의 특성이 있다. 손목의 회전축 때문에 마우스가 호 형태로 움직이거나, 체크박스를 인지하고 클릭하기까지 측정 가능한 지연 시간이 발생하는 식이다. 또한 안정된 손에서도 나타나는 생리적 손떨림 주파수 같은 미세한 진동은 수학적인 Bézier 곡선이나 직선 보간법을 사용하는 봇이 흉내 내기 어렵다.

이러한 접근은 봇 방어의 경쟁 구도를 바꾼다. 기존에는 특정 검증 도구(CAPTCHA 등)를 뚫는 방법만 찾으면 됐지만, 이제 봇 개발자는 세션 전체의 행동 서명을 모방해야 한다. 이는 자동화 시스템을 구축하고 유지하는 비용을 크게 높이며, 대규모 운영의 신뢰성을 떨어뜨리는 결과로 이어진다. 결과적으로 방어자는 더 적은 수의 챌린지로 더 높은 정밀도의 탐지를 수행할 수 있게 된다.

reader-impact

한국의 AI 실무자와 보안 담당자가 주목할 지점은 사용자 경험(UX)과 보안성 사이의 트레이드오프가 변하고 있다는 점이다. 그동안 봇을 막기 위해 도입했던 강력한 챌린지는 정상 사용자에게 불필요한 마찰을 일으켜 이탈률을 높이는 원인이었다. Precursor처럼 백그라운드에서 행동 신호를 누적해 판단하는 방식이 채택되면, 정상 사용자는 챌린지 없이도 서비스를 이용하고 봇만 정밀하게 걸러내는 환경이 가능해진다.

특히 API 기반 서비스나 결제 시스템을 운영하는 기업은 '요청 단위'의 분석에서 '세션 단위'의 분석으로 관점을 옮겨야 한다. 단일 요청의 헤더나 패턴만으로는 정교한 봇을 가려내기 어렵기 때문이다. Cloudflare가 Security Analytics에 추가한 세션 기반 뷰처럼, 사용자가 예상 경로에서 벗어나는 지점이 어디인지, 시간 흐름에 따라 자동화 징후가 어떻게 나타나는지를 추적하는 분석 체계가 중요해질 것이다.

결국 보안의 핵심이 '무엇을 가지고 있는가(인증서, 쿠키)'나 '무엇을 아는가(비밀번호)'에서 '어떻게 행동하는가(행동 서명)'로 확장되고 있다. 도입 시점의 비용 부담이 적고 애플리케이션 수정이 필요 없는 만큼, 기존에 Turnstile이나 Bot Management를 사용하던 기업들은 세션 기반 탐지 범위가 어떻게 확장되는지 실무적으로 검증할 필요가 있다.