48시간 로그 분석 결과 웹사이트 트래픽의 79%가 봇 및 자동화된 공격 패턴임을 확인함

Context

웹사이트 트래픽에서 실제 사용자가 차지하는 비율을 파악하기 위해 48시간간의 원시 로그 데이터를 분석함. 별도의 필터나 분석 레이어 없이 직접 로그 데이터만 사용함.

Technical Solution

• 로그 분석: 2026-03-31 ~ 2026-04-02 UTC 기간 동안 모든 요청을 경로 패턴과 행동 패턴으로 그룹화함
• 트래픽 분류: WordPress 프로빙, XMLRPC 접근 시도, PHP 엔드포인트 프로빙, 일반 스캔/열거 등 네 가지 카테고리로 분류함
• 위협 데이터셋: 다중 배포 환경에서 IP를 추적하고 요청 패턴 기반 행동 분류함
• 공유 위협 네트워크: 하나의 시스템에서 플래그된 IP를 다른 시스템에서 공유하여 반복 분석을 줄이고 완화 속도를 높임

Impact

전체 요청의 약 79%가 정상 사용자 활동이 아님. WordPress 프로빙이 34%, PHP 프로빙이 27%, XMLRPC 시도가 18%, 기타 스캔이 21%를 차지함. 필터링 적용 후 트래픽 지표가 정제되고 로그 노이즈가 감소함.

Key Takeaway

공개 웹 서비스에 유입되는 트래픽의 상당 부분이 자동화되고 비사용자 기반이라는 점을 인식해야 함. 개별 사이트가 아닌 네트워크 전체에서 위협을 추적하는 접근 방식이 더 효과적임.