생성형 인공지능(AI) 기술의 확산으로 인해 전 세계 웹 콘텐츠의 절반 이상이 ‘봇’에 의해 생성되고 있다는 분석 결과가 나왔다. 애플리케이션 보안 기업 F5가 발표한 최신 보고서에 따르면, 특히 오픈AI(OpenAI), 앤트로픽(Anthropic), 퍼플렉시티AI(Perplexity AI) 등 대형 언어 모델(LLM) 기업들의 데이터 수집 활동이 비약적으로 증가하면서, 웹 트래픽에서 자동화된 페이지 요청의 비중이 과반을 넘어선 것으로 나타났다.
이번 보고서는 2023년 11월부터 2024년 9월까지의 기간 동안 2,070억 건에 달하는 웹 및 API 트랜잭션을 분석한 결과를 바탕으로 작성됐다. 조사에 따르면 전체 콘텐츠 관련 요청 중 절반 이상이 자동화된 봇에 의해 발생했으며, 이 중 상당수는 생성형 AI 학습을 위한 웹 크롤링 형태의 요청이었다. 특히 제품 페이지나 가격 정보를 비롯한 유용한 데이터를 수집하기 위해 기존 방어체계를 우회하는 ‘집요한’ 유형의 AI 봇이 다수 발견됐다는 것이 특징이다.
이번에 관찰된 전체 트래픽 중 약 102억 건, 즉 10.2%는 비교적 무해한 봇 트래픽으로 분류됐지만, 무려 48억 건은 공격성 의도가 짙은 악성 봇 행위로 확인됐다. 특히 쇼핑 장바구니에 상품을 담는 'Add-to-Cart' 요청이 21.5%, 검색 엔진 기반 요청은 22.3%를 차지하면서, 이들 봇이 웹서비스 이용 흐름의 핵심 구간을 집중 공략하고 있는 것으로 나타났다.
F5 랩의 디렉터 데이비드 워버튼(David Warburton)은 “이전까진 봇 트래픽이 주로 로그인이나 회원가입, 결제 등 사용자 여정의 일부에 집중됐다면, 최근에는 AI 봇에 의한 대규모 콘텐츠 스크래핑이 트렌드를 바꾸고 있다”며 “그만큼 기업들이 더욱 정교하고 역동적인 대응 태세를 유지해야 할 때”라고 강조했다.
산업별로는 봇 트래픽의 분포 양상도 상이했다. 웹 기반 공격에 가장 많이 노출된 분야는 *호스피탈리티* 업계로, 전체 트래픽의 44.6%를 차지했으며, 뒤이어 *헬스케어* 32.6%, *이커머스* 22.7% 순이었다. 모바일에서는 *엔터테인먼트* 분야가 전체 봇 공격의 23%로 압도적인 비중을 보였다. 또 한 가지 주목할 지점은 기술 산업을 겨냥한 ‘크리덴셜 스터핑(credential stuffing)’ 공격으로, 전체 로그인 시도 중 33.5%가 계정 탈취 시도로 간주됐다.
산업별 공격 수준의 차이도 뚜렷했다. 헬스케어 분야는 비교적 단순한 수준의 봇에 노출된 반면, *유통*, *은행*, *항공사* 등은 훨씬 더 정교하고 지속적인 자동화 위협에 직면하고 있었다.
다만 보고서에는 긍정적인 신호도 담겼다. 2023년에 비해 전반적인 자동화 트래픽 비중이 감소세를 보이고 있어, 각 기업의 봇 대응 기술이 점차 효과를 내고 있다는 분석이다. 이는 보안 전략이 단순한 ‘차단’에서 진화해, 실시간 탐지와 적응형 방어로 옮겨가고 있음을 시사한다.
AI 시대가 본격화되면서 웹 상의 정상적인 사용자 흐름과 악성 자동화의 경계는 더욱 모호해지고 있다. 기업들은 기술 대응을 넘어 콘텐츠 보안 전반에 대한 전략적 재정비가 필요한 시점에 와 있다.