봇 관리뉴스, 트렌드

패스키가 도입되면 봇 매크로는 사라질까?

패스키(Passkeys)는 해킹 위험을 크게 낮추는 혁신적인 기술이지만, 그 뒤에서 마우스를 움직이는 주체가 진짜 사람인지 자동화된 매크로 봇인지는 구별할 수 없습니다. 결국 진정한 보안 아키텍처를 완성하기 위해서는 강력한 신원 인증(패스키)과 더불어, 접속자의 행동과 의도를 분석해 악성 봇을 실시간으로 탐지하고 차단하는 봇매니저(BotManager)와 같은 다계층 보안 솔루션이 반드시 필요합니다.
Daniel(원재인)'s avatar
Daniel(원재인)
Apr 02, 2026
패스키가 도입되면 봇 매크로는 사라질까?
Contents
패스키가 도입되면 봇 매크로는 사라질까?인증을 통과한 합법적 세션 안에서 활동하는 악성 봇현대적인 보안 아키텍처의 완성 조건보안의 사각지대, 봇매니저로 지키세요.

패스키가 도입되면 봇 매크로는 사라질까?

최근 구글, 애플 등 빅테크 기업을 중심으로 패스키(Passkeys) 도입이 빠르게 확산되었습니다.

패스키는 ‘비밀번호 없이 로그인할 수 있는 차세대 인증 방식’입니다. 복잡한 비밀번호 대신, 스마트폰이나 컴퓨터에서 사용하는 지문, 얼굴 인식, 또는 기기 잠금 패턴을 이용해 웹사이트나 앱에 로그인하는 기술입니다.

패스키를 설정하면 기기(스마트폰 등)에는 ‘개인키’가 저장되고, 서비스 서버는 ‘공개키’가 저장됩니다. 서버에 비밀번호 자체가 저장되지 않아 사이트가 해킹을 당해 데이터가 유출되더라도 사용자 계정은 안전하며, 본인 인증 시 실제 비밀번호가 네트워크를 타고 전송되지 않기 때문에 해킹 위험이 매우 낮습니다. 크리덴셜 스터핑(도난당한 계정 정보를 이용해 무단 접속을 시도)이나 무작위 대입과 같은 공격 위협도 없앨 수 있습니다.

하지만, 패스키가 완벽한 보안을 의미하지 않습니다.

패스키가 도입되더라도 봇매크로가 사라지지는 않습니다.
패스키가 도입되더라도 봇매크로가 사라지지는 않습니다.

인증을 통과한 합법적 세션 안에서 활동하는 악성 봇

패스키는 기기의 소유권을 증명할 뿐, 마우스를 움직이고 클릭하는 주체가 진짜 사람인지, 아니면 자동화된 스크립트인지 구분하지 못합니다. 현대의 봇은 자동화된 브라우저나 스크립트, API를 통해 사람처럼 행동합니다.

성공적으로 로그인을 마친 후에 활동을 시작하는 봇은 아래와 같이 활동합니다.

  • 의도적인 악용: 리셀러들은 정상적으로 로그인한 이후, 미리 준비해 둔 자동화 스크립트나 봇 프로그램을 작동시켜 주요 티켓이나 상품을 선점할 수 있습니다.

  • 자동화 브라우저(Headless Browser): 최근의 봇들은 사람처럼 행동하는 자동화 브라우저(Selenium, Puppeteer 등) 위에서 돌아갑니다. 일단 인증을 한 번 통과해 세션(로그인 유지 상태)을 획득하고 나면, 봇이 브라우저를 조종해 사람보다 수백 배 빠른 속도로 활동합니다.

  • 세션 탈취(Session Hijacking): 기기에 숨어있던 악성 코드가 ‘로그인 완료 증표(세션 쿠키)’를 훔쳐갈 수 있습니다.

  • API 직접 공격: 웹 브라우저를 통하지 않고, 로그인 토큰을 이용해 서버의 API로 직접 대량의 데이터를 요청할 수 있습니다.

패스키를 뚫고, 합법적으로 들어온 봇 매크로로 인해 여전히 웹스크래핑, 재고 소진 및 선점, 그리고 서버 다운과 운영 비용 폭증의 위협이 계속되고 있습니다.

현대적인 보안 아키텍처의 완성 조건

안전한 서비스를 구축하기 위해서는 패스키와 같은 강력한 인증과 더불어, 실제 운영 환경에서의 행동 분석 및 봇 탐지 시스템이 동반되어야 합니다.

캡챠(Captcha)를 통해 대응하는 방안도 있지만, 이 역시 최신 AI 봇을 통해 쉽게 우회되며, 사용자 경험을 해칠 위험이 있습니다. 따라서 봇매니저(BotManager)와 같은 보다 고도화된 봇 매크로 관리 솔루션이 필요합니다.

봇매니저는 모든 유입 트래픽을 식별자 단위 별로 실시간으로 분석합니다. 그리고 실제 이용자의 트래픽 속에 숨어 공정성을 저해하고 데이터를 오염시키는 악성 봇을 탐지하며, 설정된 정책에 따라 즉시 차단합니다.

정제된 실제 트래픽만을 시스템에 유입 시켜 비즈니스 지표의 왜곡을 막고, 모두에게 기술적 불평등 없는 공정한 서비스 이용을 보장합니다.

또한, 악성 봇 트래픽을 차단함으로써 불필요한 추가 부하를 방지하고 서버 장애 대응 및 인프라 운영 비용을 최적화할 수 있습니다.

봇매니저는 AI 기반의 위험도 분석 스코어링 기능을 제공합니다.
봇매니저는 AI 기반의 위험도 분석 스코어링 기능을 제공합니다.

최근에는 AI 기반 자동 분석 결과를 토대로 식별자 별 위험 수준을 측정하고 권장 조치사항까지 제시하는 AI 스코어링(AI Scoring) 기능도 추가되었습니다.

보안의 사각지대, 봇매니저로 지키세요.

패스키는 로그인하는 사람이 누구인지 확인할 수 있지만, 그 사람이 어떻게 행동하는지는 모릅니다. 진짜 사람인지 아니면 자동화된 봇인지 구분하지 못합니다.

패스키가 누가 로그인했는가(Identity)를 묻는 다면, 봇매니저는 ‘이 행동이 정상적인가(Intent)를 검증하는 역할을 합니다.

패스키로 신원 인증을 강화했다면, 봇매니저로 의도를 검증하고 행동을 제어해 비즈니스를 봇의 위협으로부터 완벽히 보호할 수 있습니다. 사용자의 불편함 없이 뒤에서 조용하지만 강력하게, 봇 매크로의 접근을 막아내고 안정적인 서비스를 완성하세요.

참고)
Passkeys vs Bots: Do They Really Solve the Human Verification Problem?…[Link]

Share article

(주)에스티씨랩

RSS·Powered by Inblog