인공지능 때문에 늘어나는 자동화 트래픽, 보안 사고의 씨앗

LLM이 인기를 끌면서 인공지능이 대중화 되기 시작했다. 이 때문에 봇 트래픽이 급격히 증가하는 중이다. 동시에 자동화 기술이 발전하고 광범위하게 도입되면서 자동화 트래픽 역시 빠르게 늘어나고 있다. 이 때문에 인터넷 전체에서 자동화 트래픽이 차지하는 비율도 높아지고 있다. 이미 전체 트래픽의 절반 이상이 각종 자동화 기술로 만들어진, 그러므로 인간의 개입 없이 생성된 트래픽이다.

봇 트래픽? 자동화 트래픽?

먼저 개념부터 짚고 넘어가자. 봇 트래픽(bot traffic)은 이름 그대로 봇이 만든 트래픽을 말한다. 그렇기에 반복적으로 자동화 된 행동을 할 때, 주로 웹, API, 애플리케이션을 대상으로 발생한다. 주로 수집, 탐색, 공격, 자동 상호작용 등의 목적을 달성하기 위해 만들어진다. 검색엔진이 사용자에게 검색 결과를 출력하기 위해서, 각종 사이트의 가격을 비교하기 위해서, LLM이 학습을 하기 위해서 봇이 사용되며, 이럴 때 봇 트래픽이 생성된다.

자동화 트래픽(automated traffic)은 비슷하지만 조금 다르다. 사람의 직접적인 조작 없이, 즉 이미 만들어진 프로그램이나 스크립트 등에 의해 생성되는 모든 트래픽을 ‘자동화 트래픽’이라고 한다. 위에서 언급한 검색엔진의 크롤러나 웹 스크래퍼, API 호출용 백엔드 서비스, 각종 모니터링 시스템, 인공지능 에이전트 등이 알아서 움직일 때 발생하는 트래픽이 전부 ‘자동화 트래픽’의 범주 아래 들어간다. 봇 트래픽은 자동화 트래픽 안에 포함되는 개념이다. 즉 모든 봇 트래픽은 자동화 트래픽이라 할 수 있으나, 반대로 모든 자동화 트래픽을 봇 트래픽이라 하기는 힘들다.

자동화 트래픽은 두 가지로 나뉜다. 착한 트래픽과 나쁜 트래픽이다. 구글이나 빙 등 검색엔진이 운영하는 크롤러는 착한 트래픽을 발생시킨다. LLM이 학습이나 추론을 하기 위해 발생시키는 트래픽 역시 착한 트래픽이다. 에이전틱 인공지능이 사용자를 대신해서 하는 행동들 역시 착한 트래픽 생성으로 이어진다. 인공지능 활용이 증가하면 자연스럽게 늘어날 수밖에 없는 것이라는 걸 어렵지 않게 이해할 수 있다.

해커들이 비밀번호를 수집하기 위해 사용하는 기술, 혹은 카드 정보나 각종 콘텐츠를 스크랩하기 위해 운영하는 멀웨어, 자동 취약점 스캐너 등이 일으키는 트래픽은 나쁜 자동화 트래픽이다. 이전에는 공격자들이 수동으로 하던 일들을 점점 자동으로 하는 사례가 늘어나기 때문에 나쁜 자동화 트래픽도 가파른 증가세를 보이고 있다. 인공지능을 공격용으로 활용하려 하기 때문에 나쁜 트래픽이 늘어나고 있기도 하다.

자동화 트래픽의 증가, 보안에는 어떤 의미인가?

자동화 트래픽 중 ‘나쁜 트래픽’ 혹은 ‘악성 트래픽’이 증가한다고 했을 때 보안 전문가들의 고민이 깊어진다는 건 쉽게 이해할 수 있다. 그런데 최근에는 ‘좋은 자동화 트래픽’의 증가가 오히려 더 큰 보안 문제를 일으킬 수 있다는 주장들이 나오기 시작했다. 왜일까?

이 주장을 이해하려면 최근 봇 트래픽(그러므로 자동화 트래픽도)을 급증시키는 주범인 인공지능 관련 크롤러와 봇의 특성 하나를 알아두어야 한다. 그것은 바로 ‘지속성’이다. 인공지능 모델은 한 번 봇을 돌려 크롤링을 하는 것으로 만족하지 않는다. 정보의 최신성을 확보해야 하므로 크롤링을 멈추지 않고 계속 하다시피 한다. 이 때문에 인공지능 봇 하나가 인터넷 세상에 추가되면, 딱 봇 하나 만큼의 트래픽이 더해지는 게 아니다. 훨씬 더 많은 트래픽이 이 봇을 중심으로 생성된다. 트래픽의 양적 증가가 폭발적이라는 뜻이다.

좋은 것이든 나쁜 것이든, 트래픽의 양 자체가 크게 늘어나면, 그 트래픽을 검사해 걸러내야 하는 보안 담당자 입장에서 업무가 늘어날 뿐 아니라 난이도도 높아진다. 하지만 ‘나쁜 트래픽만’ 늘어난다면 그리 나쁜 게 아니다. 누가 봐도 막아야 할 것이기 때문에 할 일이 명확해진다. ‘어떻게 막을까’를 고민할지언정 ‘막을까 말까’ 혹은 ‘어떤 부작용이 있을까’를 찜찜하게 재보지 않아도 된다. ‘악성 트래픽을 차단했다’는 성과도 곧바로 나타나기 때문에 보람도 잔뜩 느낄 수 있다.

반면 ‘좋은 자동화 트래픽’이라는 건 여러 모로 고민을 하게 만든다. 검색 노출, 파트너 연동, 인공지능 서비스와의 연계, 사용자 편의를 위해서 좋은 자동화 트래픽을 계속 유지해야 하는데, 이 ‘유지’라는 작업이 ‘좋은 트래픽이니까 그냥 방치하자’라는 걸로는 성립하지 않기 때문이다. 조금이라도 잘못되지 않도록, 혹시 고장나지 않도록, 보살피고 아껴줘야 한다. 그러나 그 양이 폭발적으로 증가하기 때문에 결국 ‘관리 불능’ 상태에 도달하고(이미 도달해 있다고 봐도 무방하다), 결국 ‘좋은 정상화 트래픽’은 통제 밖의 영역으로 밀려난다.

그랬을 때 어떤 일이 일어날까? 좋은 트래픽이니까 통제하지 않아도 괜찮지 않을까? 가장 먼저는 ‘비용 증가’를 야기한다. 보안 사고가 일어나지 않더라도, 유지 관리 비용이 통제 불가능의 영역에 도달하는 것 자체로 이미 큰 일이 벌어진 것이나 다름 없다. 공격 통로가 확장된다는 것도 문제다. 좋은 트래픽이 그 자체로 악성은 아니더라도 공격자들의 진입로나 유통 경로, 혹은 눈가리개 용도로 얼마든지 활용될 수 있기 때문이다. 그런 시도가 있을까봐 좋은 트래픽이라 하더라도 꾸준히 모니터링을 해야 하는데 통제 밖으로 밀려난다? 그 사이로 공격자들이 파고든다. 

그저 ‘좋은 자동화 트래픽’이기 때문에 보안 장치들이 제대로 검사하지도 않고, 그대로 통과시키는 경우가 대부분인데 이것도 좋은 현상이라고만은 볼 수 없다. 높은 신뢰를 받는 건 해커들의 좋은 먹잇감이 된다는 건 이미 수차례 증명된 바 있다. 요즘 해커들은 컴퓨터를 잘 다루는 기계 공학자가 아니라, 기계와 사람, 사람과 사람, 기계와 기계 간에 형성돼 있는 수많은 신뢰의 고리를 잘 악용하는 자로 성장해 있다는 사실을 기억해야 한다. 좋은 자동화 트래픽은 신뢰의 고리 그 자체다. 그 자체로 악성이 아니라 하여, 악의적 사건에 휘말리지 않을 거라는 보장은 없다.

그래도 ‘좋은’ 트래픽인데…

그럼에도 ‘좋은 자동화 트래픽’의 증가 자체가 곧바로 위험의 증가라는 주장이 직관적으로 이해되지 않는다면, 다음과 같은 비유는 어떨까? 나쁜 자동화 트래픽이 늘어난다는 건 대문을 부수고 들어오는 로봇 도둑들이 많아지는 것과 같다. 이 로봇들은 전형적인 도둑 옷차림을 하고 있고, 심지어 등에 ‘도둑’이라는 글자도 새겨져 있다. 하나하나 잡는 게 쉬운 일은 아니지만, 그럼에도 ‘잡아야 한다’는 목표에 온전히 역량을 집중시킬 수 있다.

반면 ‘좋은 자동화 트래픽’이 늘어난다는 건 우리 아파트 공동 현관 비밀번호를 아는 택배 기사가 많아지고, 심지어 방문 횟수마저 늘어난다는 것과 같다. 택배 기사니까 집 주인은 크게 신경을 쓰지 않는데, 택배 기사들은 하루에도 수차례 방문하면서 점점 아파트 구조나 주변 환경에 익숙해 진다. 그러면서 거주자들조차 모르는 지름길이나, 잠시 쉴 만한 공간까지 알게 될 수도 있다. 동네 주민에게도 익숙한 얼굴이 되어가고, 그러면서 그 어떤 의심도 받지 않게 된다. 

이런 택배 기사들이 그 자체로 도둑이나 강도가 되는 건 아니지만, 진짜 도둑이나 강도가 택배 기사를 협박하거나 일행인 척 하면서 단지 내로 숨어들 수는 있다. 택배 기사 수가 한껏 증가한 상태이기 때문에 강도나 도둑이 모습을 감추는 건 일도 아니다. 지금 자동화 트래픽이 걷잡을 수 없이 늘어나는 건 이러한 위험의 가능성을 재배하는 것과 같다.

어떻게 대처해야 하는가

문제는, 그렇다고 해서 봇들과 자동화 기술을 되돌려 트래픽을 줄이는 방향으로는 갈 수 없다는 것이다. 악성 봇 0%도 달성 불가능한 목표이지만, 좋은 자동화 트래픽 감소 역시 현실적인 목표가 될 수는 없다. 이제 정상적으로 업무 중인 택배 기사들이 아파트 단지를 가득 메우고 있는 가운데, 그 택배 기사들 틈바구니로 누가 어떤 짓을 벌일지 모르는, 통제 불가능한 불안함 가운데 살아가야 한다. 

이 때문에 더더욱 중요해지는 건 ‘가시성 확보’다. 좋은 자동화 트래픽이라 하더라도 문제가 있을 수 있다는 걸 늘 인지하고, 들여다 보는 노력을 아끼지 말아야 한다. ‘좋은 트래픽이니 방치해도 된다’의 결론으로 가서는 안 된다. 어떤 봇이 어떤 엔드포인트를 얼마나 자주 얼마나 오래 어떤 맥락 아래서 접근하는지 반드시 알고 있어야 하고, 실시간으로 파악해야 한다. 

그러려면 로그 보존 기간을 수개월에서 수년 단위로 저장해야 한다. 몇 주 치 로그만으로는 더 이상 유효한 가시성을 확보하기 어렵다. 봇과 사용자 에이전트, 그리고 IP 주소별로 트래픽 추이를 시각화시키는 작업도 해야 한다. 자동화 트래픽을 전면 차단하는 게 아니라, 트래픽의 속도를 지정하는 것도 현재로서는 괜찮은 방법으로 추천되고 있다. 예를 들어 검색 크롤러의 경우 초당 요청 횟수를 지정한다거나, 인공지능 크롤러의 경우 엔드포인트별로 한도를 다르게 지정하는 식의 접근이 권장된다.

좋은 자동화 트래픽이 불안감의 요소가 되는 건 ‘불필요한 곳까지 접근’하기 때문이기도 하다. 택배 기사들이 아파트 단지를 익숙하게 드나드는 횟수가 늘어나면 자연스럽게 주변 지형을 익히게 되고, 그러면서 물건을 배달하거나 수거하는 동선과 상관이 없는 경로나 지점에까지 갈 가능성이 생기는 것과 같다. 그렇기에 위에서 확보한 가시성을 바탕으로 봇별 접근 가능한 범위를 설정하는 것도 좋은 방법이다. 가치가 높은 엔드포인트는 아예 봇의 접근이 불가능하도록 만들 수도 있다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• AI‑Driven Bots Surpass Human Traffic - Bad Bot Report 2025 - Imperva, 2025년 (2024년 자동화 트래픽이 전체 웹 트래픽의 51%를 넘어섰고, API 공격 44%가 봇 원인인 점을 강조하며 탐지·방어 전략 제시)
• Addressing the Rising Threat of Web DDoS Tsunami Attacks in 2023 - Check Point, 2023년 (2023년 상반기 웹 DDoS 트래픽이 폭증하며, 자동화 봇이 탐지·완화 시스템을 우회하는 “쓰나미 공격”의 위험성을 분석)
• DDoS attack traffic surged in 2023, Cloudflare finds - Cybersecurity Dive, 2024년 (Cloudflare 보고서 기반으로 2023년 DDoS 트래픽이 사상 최고치에 도달했으며, 자동화 봇의 실시간 탐지·완화가 필수임을 강조)
• Bots dominate internet activity, account for nearly half of all traffic - Help Net Security, 2024년 (Imperva 보고서 인용, 자동화 봇이 인터넷 트래픽의 49.6%를 차지하며 API·ATO 공격이 급증한 통계와 대응 방안 정리)

크롬용 클로드 플러그인, 사람 중심 보안의 근간을 흔들다

💡Editor’s Pick for Juniors - 인공지능 회사 앤트로픽에서 만든 브라우저 플러그인 - 인간을 대체하는 강력한 기능 때문에 현대 보안 근간 흔들려 - 인간이기에 가능한 책임 귀속과 수정 가능성, 인공지능에는 없어 Juniors, 안녕! 테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지 아빠들이야. 지난 달 인공지능 기업 앤트로픽(Anthropic)은 크롬 브라우저용 플러그인을

The Tech Edge문가용 기자

인공지능, 취약점 관리 대신 할 수 있나?

💡Editor’s Pick for Juniors - 인공지능에 3만 개 취약점 정보 입력 후 점수 내게 했더니 - 취약점 정보 품질에 따라 크게 좌지우지 되는 인공지능 - 취약점 정보 품질 개선되지 않는다면 인공지능 무쓸모 Juniors, 안녕! 테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지 아빠들이야. 인공지능이 취약점 우선순위를 정하는 데 얼마나 도움이 될까?

The Tech Edge문가용 기자