Articleblog.cloudflare.com·2026년 7월 13일·0

Introducing Precursor: detecting agentic behavior with continuous client-side signals

Quick Summary

Cloudflare의 Precursor는 웹 애플리케이션 전체 세션에서 최소한의 행동 신호를 지속적으로 수집·평가해 사람과 자동화·에이전트 트래픽을 구분하고, 정상 사용자의 불필요한 인증 마찰을 줄이는 클라이언트 측 검증 시스템이다.

Introducing Precursor: detecting agentic behavior with continuous client-side signals 관련 대표 이미지

🖼️ 인포그래픽

Introducing Precursor: detecting agentic behavior with continuous client-side signals 내용을 설명하는 본문 이미지

🖼️ 4컷 인포그래픽

Introducing Precursor: detecting agentic behavior with continuous client-side signals 내용을 설명하는 본문 이미지

💡 한 줄 요약

Cloudflare의 Precursor는 웹 애플리케이션 전체 세션에서 최소한의 행동 신호를 지속적으로 수집·평가해 사람과 자동화·에이전트 트래픽을 구분하고, 정상 사용자의 불필요한 인증 마찰을 줄이는 클라이언트 측 검증 시스템이다.

📌 핵심 요약

  • 기존 Turnstile은 로그인·가입·결제 같은 핵심 지점을 보호하지만, 요청과 인증 절차 사이를 포함한 전체 사용자 여정의 행동을 파악하는 데는 한계가 있었다.
  • Precursor는 HTML 응답에 동적으로 삽입되는 경량 JavaScript를 통해 포인터 이동, 키보드 활동, 포커스 및 페이지 표시 상태 등의 신호를 세션 단위로 지속 수집한다.
  • 수집된 데이터는 엣지 서버의 여러 평가기가 교차 검증하며, 개별 행동보다 세션 전체에서 나타나는 움직임의 경로·속도·타이밍·리듬과 신호 간 일관성을 탐지에 활용한다.
  • 키 입력의 실제 내용이나 사용자 계정·로그인 신원·지속 프로필은 수집하지 않고, 필요한 최소 행동 정보만 집계 패턴으로 내부 봇 탐지 시스템에 사용하도록 설계됐다.
  • Precursor는 기존 봇 점수, 챌린지 결정, 보안 규칙 및 Security Analytics에 세션 맥락을 제공하며, 정식 출시 전까지 무료로 활성화해 관찰 중심 또는 엄격한 검증 방식으로 운영할 수 있다.

🧩 주요 포인트

  1. 기존 Turnstile은 로그인·가입·결제 같은 핵심 지점을 보호하지만, 요청과 인증 절차 사이를 포함한 전체 사용자 여정의 행동을 파악하는 데는 한계가 있었다.
  2. Precursor는 HTML 응답에 동적으로 삽입되는 경량 JavaScript를 통해 포인터 이동, 키보드 활동, 포커스 및 페이지 표시 상태 등의 신호를 세션 단위로 지속 수집한다.
  3. 수집된 데이터는 엣지 서버의 여러 평가기가 교차 검증하며, 개별 행동보다 세션 전체에서 나타나는 움직임의 경로·속도·타이밍·리듬과 신호 간 일관성을 탐지에 활용한다.
  4. 키 입력의 실제 내용이나 사용자 계정·로그인 신원·지속 프로필은 수집하지 않고, 필요한 최소 행동 정보만 집계 패턴으로 내부 봇 탐지 시스템에 사용하도록 설계됐다.
  5. Precursor는 기존 봇 점수, 챌린지 결정, 보안 규칙 및 Security Analytics에 세션 맥락을 제공하며, 정식 출시 전까지 무료로 활성화해 관찰 중심 또는 엄격한 검증 방식으로 운영할 수 있다.

🧠 상세 정리

1. 지점별 인증이 남긴 사용자 여정의 가시성 공백

Cloudflare는 봇 방어를 공격자가 적응하면 방어자가 다시 대응하는 지속적인 대결로 설명하며, 전 세계 네트워크에서 하루 1조 건이 넘는 요청을 분석해 평판·패턴·이상 징후를 파악해 왔다. 클라이언트 측에서는 Turnstile을 단순한 CAPTCHA 대체재에서 사용자 진위 위험에 따라 마찰 수준을 조절하는 관리형 챌린지로 발전시켰고, 현재 로그인·가입·결제 같은 민감한 지점에서 하루 약 30억 회 실행한다. 그러나 이러한 방식은 보호가 적용된 순간의 판단에는 강해도, 사용자가 애플리케이션의 다른 영역에서 어떻게 움직이고 요청 사이에 무엇을 하는지까지 보여주지는 못한다. Precursor는 바로 이 공백을 메우기 위해 개별 요청이나 특정 인증 지점이 아니라 애플리케이션 전체에서 이어지는 사용자 세션을 탐지의 기본 단위로 삼는다.

2. Precursor의 핵심 개념과 기대 효과

Precursor는 개인정보 보호를 고려해 설계된 클라이언트 측 세션 기반 검증 시스템으로, 동적으로 삽입된 JavaScript를 이용해 방문자가 애플리케이션과 상호작용하는 동안 행동 신호를 지속적으로 수집한다. 이 신호는 실시간으로 Cloudflare의 봇 방어 체계에 반영되어 사람의 트래픽과 자동화 또는 에이전트형 트래픽을 계속 구분하는 데 쓰인다. 짧은 순간에는 JavaScript를 실행하고 실제 브라우저를 사용하며 CAPTCHA까지 통과하는 봇도 정상 사용자처럼 보일 수 있지만, 전체 세션에 걸쳐 일관된 인간 행동을 재현하는 것은 훨씬 어렵다는 점이 탐지의 핵심이다. 세션 전체의 풍부한 맥락을 활용하면 공격적인 챌린지에 과도하게 의존하지 않고도 판별 정밀도를 높여 정상 사용자의 불필요한 중단을 줄일 수 있으며, 자동화 개발자에게는 완전한 세션을 모사해야 하는 더 높은 구현·유지 비용을 부과한다.

3. 인간의 물리적·인지적 특성을 드러내는 행동 신호

사람의 마우스 움직임은 단순히 무작위 잡음이 섞인 것이 아니라 손목의 회전 범위와 팔의 움직임에 따라 곡선을 그리며, 대상을 인지한 뒤 클릭하기까지 인지적 지연이 발생하고 생리적인 손 떨림도 나타난다. 반면 자동화 도구는 직선 보간이나 수학적으로 이상적인 베지어 곡선을 사용하고, 사람이 재현하기 어려울 정도로 정확한 위치를 클릭하는 경향을 보인다. 원문에 제시된 자동화 사례에서는 포인터가 완벽한 직선으로 움직이고 항상 원점으로 돌아가며 같은 속도로 반응하지만, 사람의 사례에서는 불규칙한 경로와 작은 수정·초과 이동, 속도·방향·타이밍의 변화가 확인된다. 개별 동작만 보면 그럴듯할 수 있어도 세션 전체를 관찰하면 사람 특유의 리듬과 자동화 패턴이 서로 갈라지므로, Precursor는 이러한 행동 서명이 방문 과정에서 형성되는 모습을 포착하고 평가하도록 설계됐다.

4. 동적 스크립트 삽입과 경량 데이터 수집

Precursor를 활성화하면 Cloudflare는 사이트의 HTML 응답이 자사 네트워크를 통과할 때 경량 스크립트를 자동 삽입하므로, 애플리케이션에 별도 코드를 추가하거나 제3자 스크립트를 직접 포함하도록 구성할 필요가 없다. 삽입되는 번들은 작고 난독화되어 있으며 응답마다 동적으로 조립되고, 호스팅된 웹 애플리케이션의 기존 페이지 로직을 방해하지 않도록 설계됐다. 스크립트는 포인터 이동, 키보드 활동, 포커스 변화, 페이지 표시 상태 등의 상호작용 신호를 포착하는 가벼운 이벤트 리스너를 연결한다. 수집된 이벤트는 압축된 형식으로 직렬화되어 메모리에 임시로 버퍼링되고, 일정한 간격으로 평가 계층에 전달되어 분석되므로 요청 한 건에 포함된 정보만으로는 알 수 없는 요청 사이의 행동까지 탐지 맥락에 포함할 수 있다.

5. 엣지 평가 계층의 교차 검증과 신호 통합

클라이언트에서 전송된 Precursor 페이로드는 엣지 서버에서 역직렬화되어 행동 입력으로 변환되고, 디스패처가 여러 평가기를 실행해 각 평가기가 필요한 데이터 스트림을 분석하도록 한다. 평가기는 판단 근거가 발견되면 이를 공동 탐지 레지스트리에 신호로 등록하며, 개별 이벤트를 고립된 사실로 처리하는 대신 서로 다른 데이터의 관계를 교차 확인한다. 예를 들어 포인터 활동이 페이지가 실제로 표시된 시간과 부합하는지, 키보드 이벤트가 텍스트 입력란에 포커스가 있을 때 발생했는지를 함께 검증한다. 이렇게 축적된 정보는 개별 탐지의 가중치에 사용되는 신호로 통합되고, 결과적으로 단순한 클릭 여부가 아니라 행동의 맥락과 신호 간 일관성을 바탕으로 봇 판별의 정밀도를 높인다.

6. 세션 누적 탐지와 개인정보 보호 설계

Precursor의 데이터는 페이지 단위가 아니라 세션 범위로 누적되므로, 봇이 페이지를 새로 고치거나 새로운 챌린지를 시작하는 것만으로 이미 형성된 행동 서명을 초기화하기 어렵다. 시스템은 세션 메타데이터를 후속 탐지 계층에도 전달해 섀도 모드 휴리스틱, 세션 분석, 예상 완료와 실제 완료의 비교, 세션 이상 지연 관련 휴리스틱에 활용하며, 엣지에서 관찰한 결과는 탐지 개선과 세션 봇 점수 조정에 사용한다. 동시에 이벤트 리스너는 자동화와 악용을 구분하는 데 필요한 최소 정보만 수집하며, 키보드의 경우 실제로 누른 키가 아니라 입력의 타이밍과 리듬만 기록한다. 행동 신호는 개별 행동이 아닌 집계된 패턴으로 평가되고 고객 대시보드에 원시 형태로 노출되지 않으며, 사용자 계정·로그인 신원·지속적인 개인 프로필에도 연결되지 않는다.

7. 요청 분석에서 세션 분석으로 확장된 Security Analytics

Cloudflare는 새로운 탐지 계층을 지원하기 위해 Security Analytics에 개별 요청이 아니라 전체 방문 여정을 보여주는 세션 기반 화면을 도입했다. 고객은 이를 통해 자신의 사이트에서 일반적인 세션이 어떤 형태인지, 어느 지점에서 세션이 예상 행동과 달라지는지, 시간의 흐름에 따라 자동화 징후를 보이는 세션이 무엇인지 살펴볼 수 있다. 세션 분석은 요청별 분석이 담지 못했던 요청 사이의 상호작용과 행동 변화를 포착하므로, 짧은 구간에서는 정상으로 보이는 자동화를 더 긴 맥락에서 검토할 수 있게 한다. Precursor의 정보는 기존 봇 점수, 챌린지 결정, 보안 규칙에 직접 연결되기 때문에 사용자는 별도의 독립 탐지 체계를 구축하지 않고도 기존 보호 기능에서 추가된 세션 맥락을 활용할 수 있다.

8. 활성화 방식과 향후 확장 방향

Precursor는 Cloudflare 대시보드에서 영역별로 활성화할 수 있도록 배포가 진행 중이며, 2026년 후반으로 예정된 정식 출시 전까지 무료로 사용할 수 있다. 사용자는 정상 사용자에게 낮은 마찰을 주면서 백그라운드에서 행동을 관찰하는 방식이나, 기존 세션이 없을 때 챌린지를 적용해 완전히 검증된 세션을 요구하는 방식 가운데 검증 강도를 선택할 수 있다. 활성화 이후에는 애플리케이션을 변경하지 않아도 기존 봇 방어가 즉시 강화되며, Bot Management나 Turnstile을 이미 사용한다면 보호 범위가 인증 순간을 넘어 세션의 나머지 활동과 요청 사이의 행동으로 확장된다. Cloudflare는 앞으로 보안에 활용하는 행동 신호의 범위와 깊이, 세션 수준 정보가 봇 방어에 미치는 방식, 세션 데이터를 시각화하고 조치하는 기능을 계속 확대할 계획이며, 탐지의 중심을 고립된 검문 지점에서 전체 사용자 흐름으로 옮기겠다고 밝혔다.

🧾 핵심 주장 / 시사점

  • 현대 자동화는 개별 요청이나 단일 CAPTCHA에서는 정상처럼 보일 수 있으므로, Precursor는 판별 단위를 순간적인 인증 결과에서 세션 전체의 행동 일관성으로 확장한다.
  • 행동 탐지의 핵심은 단순한 마우스 좌표나 키보드 이벤트 수가 아니라 페이지 표시 상태, 포커스, 움직임의 경로·속도·리듬처럼 서로 연관된 신호를 시간 흐름에 따라 교차 검증하는 데 있다.
  • 세션 기반 신호를 기존 봇 점수와 챌린지 결정에 결합하면 정상 사용자에게 반복 인증을 강요하지 않으면서도, 자동화에는 전체 사용자 여정을 지속적으로 모사해야 하는 부담을 줄 수 있다.

✅ 액션 아이템

  • 기존 Turnstile의 핵심 이벤트 중심 방어만으로는 부족한 흐름을 점검하고, 세션 단위 신호 기반으로 자동화 트래픽 구분 체계를 설계한다.
  • Precursor 방식처럼 HTML 응답에 경량 JavaScript를 삽입해 포인터·키보드·포커스·표시 상태 신호를 세션 단위로 지속 수집한다.
  • 엣지에서 다수 평가기가 신호 간 경로·속도·타이밍·리듬의 일관성을 교차 검증해 챌린지 판단 및 보안 규칙에 반영한다.

❓ 열린 질문

  • 세션 전체 행동 패턴의 경계값은 어떤 방식으로 정해 챌린지 발동률과 사용자 마찰을 균형 있게 조정할 것인가?
  • 사전 관찰 모드와 엄격 모드 전환 기준을 어떤 지표로 두어 어느 시점에서 전환할 것인가?
  • 내부 봇 탐지에 집계 패턴만 쓰는 설계에서 개인정보 미수집 원칙과 탐지 정확도는 어떻게 관리할 것인가?

관련 문서

공통 태그와 주제 흐름을 기준으로 같이 보면 좋은 문서를 이어서 제안합니다.