네스트 팀(Nest Team) API나 웹훅을 활용해 자동화를 구축하다 보면, 반대로 "내가 만든 봇이 제대로 돌고 있나?", "혹시 비정상적인 악성 봇이 우리 시스템에 접근하고 있나?"를 감지하고 모니터링해야 하는 순간이 옵니다.

협업 시스템이나 사내 인프라에서 봇(Bot)을 감지하고 추적하는 3가지 핵심 방법을 정리해 드립니다. 블로그 글의 다음 시리즈 형태로 읽어보실 수 있게 구성했습니다.

🤖 네스트 팀 보안 가이드: 우리 시스템을 드나드는 '봇(Bot)' 감지하고 추적하기

자동화 스크립트와 봇은 업무를 편하게 만들어주지만, 관리되지 않는 봇은 API 토큰 유출, 서버 과부하, 데이터 유실의 원인이 됩니다. 안전한 생태계를 위해 봇을 식별하고 모니터링하는 방법을 알아봅니다.

1. User-Agent 및 HTTP 헤더 분석 (가장 기본적인 식별)

모든 API 요청이나 웹훅 트래픽은 HTTP 헤더를 동반합니다. 정상적인 브라우저나 사용자가 아닌, 스크립트나 봇이 보낸 요청은 User-Agent에서 1차적으로 티가 납니다.

• 자체 제작 봇 식별: 우리가 만든 봇을 API에 요청 보낼 때는 User-Agent를 명확하게 커스텀 설정해야 합니다. (예: User-Agent: NestTeam-Automation-Bot/1.0)
• 라이브러리 기본값 감지: 만약 헤더에 Python-urllib/3.x, axios/1.x, Go-http-client/1.1 같은 값이 찍혀있다면, 이는 개발자가 소스 코드에서 User-Agent를 따로 설정하지 않고 날린 날것 그대로의 스크립트(봇)일 확률이 99%입니다.

2. API 요청 패턴 및 동작 분석 (Behavior Analysis)

사람은 절대로 0.01초 간격으로 마우스 클릭을 하거나 1분에 500개의 카드를 업데이트할 수 없습니다. 시스템 로그를 분석할 때 다음과 같은 비인간적 패턴이 보인다면 봇으로 판단할 수 있습니다.

• 초고속 반복 요청: 짧은 시간 동안 특정 API 엔드포인트에 수백 번씩 요청이 들어오는 현상
• 24시간 일정한 주기: 새벽 3시든, 주말이든 정확히 5분 간격(Cron Job 패턴)으로 요청이 발생하는 경우
• 비정상적인 탐색: 일반적인 UI 동선(보드 조회 ➔ 카드 조회)을 무시하고, 모든 카드 ID를 1부터 순차적으로 대입하며 데이터를 긁어가는(Scraping) 행위

3. 웹훅(Webhook) 서명 검증 (보안의 핵심)

외부 서비스(예: GitHub, Slack, Nest Team)가 우리 서버로 웹훅을 보낼 때, 이게 진짜 그 서비스가 보낸 봇이 맞는지 검증해야 합니다. 해커가 웹훅 주소를 알아내어 가짜 데이터를 보낼 수 있기 때문입니다.

이때 사용하는 것이 웹훅 서명(Webhook Signature)입니다.

🔒 웹훅 검증 원리:외부 서비스는 웹훅을 보낼 때 요청 본문(Body)을 비밀키(Secret Key)로 암호화한 값을 헤더(X-Nest-Signature 등)에 담아 보냅니다. 우리 서버는 받은 본문을 우리 쪽 비밀키로 똑같이 암호화한 뒤, 헤더의 값과 일치하는지 비교합니다.

일치하지 않는다면 그것은 우리 시스템을 속이려는 불법적인 위장 봇이므로 즉시 차단해야 합니다.

🛠️ 실무 적용: 봇 탐지 및 관리 프로세스

우리 팀 시스템에 접근하는 봇을 체계적으로 관리하려면 아래 프로세스를 타는 것이 좋습니다.

1. 화이트리스트(Whitelisting) 운영: 팀 내에서 공식적으로 개발된 봇의 고정 IP나 고유 토큰 ID를 등록해 둡니다.
2. Rate Limit 알림 설정: 특정 API 토큰의 사용량이 임계치(예: 분당 100회 이상)를 넘어가면 담당 개발자에게 슬랙 알림이 오도록 모니터링 시스템(Datadog, Grafana 등)을 구축합니다.
3. 토큰 주기적 만료: 봇에 부여된 API 토큰은 최소 3개월~6개월 단위로 자동 만료되도록 설정하여, 잊힌 채 방치된 '유령 봇'이 돌아다니지 않도록 제어합니다.

‍