악성 봇이 인간 트래픽을 앞질렀다 탈레스 2026 보고서로 보는 에이전틱 인터넷의 위협
탈레스 2026 악성 봇 보고서에 따르면 AI 봇이 인간 인터넷 트래픽을 앞질렀다 AI 에이전트의 부상이 사이버 보안 광고 콘텐츠 생태계 전반을 어떻게 뒤흔드는지 분석한다
지금 이 순간 인터넷을 떠다니는 트래픽의 절반 이상이 사람이 만든 것이 아닙니다. 사이버 보안 기업 탈레스(Thales)가 발표한 ‘2026 악성 봇 보고서: 에이전틱 시대의 악성 봇’은 AI가 인터넷의 작동 방식 자체를 바꾸고 있다고 결론짓습니다.
인간의 클릭과 스크롤로 돌아가던 인터넷이 AI 봇의 요청과 응답으로 채워지고 있습니다. 이 전환은 단순한 사이버 보안 문제가 아닙니다. 광고 시장, 콘텐츠 생태계, 전자상거래, API 경제 전체에 영향을 미치는 구조적 변화입니다.
기사원문보기:2026년 5월 20일 (수) AI 브리핑 - AI코리아24
세 가지 구조적 변화
탈레스 보고서는 사이버 생태계에서 세 가지 구조적 변화를 포착합니다.
첫째, AI 에이전트가 새로운 인터넷 트래픽 범주로 부상했습니다. Googlebot 같은 전통적 크롤러, 서비스 간 통신을 위한 API 봇 외에, 이제 ChatGPT나 구글 Gemini 에이전트 같은 AI 에이전트가 사용자를 대신해 웹을 탐색하는 새로운 트래픽 유형이 생겼습니다. 이 에이전트들은 사용자처럼 행동하지만 사람이 아닙니다.
둘째, 자동화 활동이 인간의 상호작용을 압도하기 시작했습니다. 2025년 기준으로 전체 인터넷 트래픽의 51%가 봇에서 발생했습니다. AI가 이 봇 트래픽을 가속화하면서 2026년에는 이 비율이 더 높아질 것으로 추정됩니다.
셋째, API가 새로운 공격 표면이 됐습니다. AI 에이전트가 웹 인터페이스 대신 API를 통해 서비스에 접근하는 방식이 일반화되면서, 악성 봇도 API를 주요 공격 통로로 활용하기 시작했습니다. 기존 웹 방화벽이 탐지하지 못하는 새로운 공격 벡터입니다.
악성 봇이 가장 많이 노리는 것
악성 봇 트래픽이 집중되는 분야가 있습니다. 항공권과 호텔 예약 사이트가 대표적입니다. 가격을 실시간으로 스크래핑(정보 수집)해 경쟁사에 제공하거나, 재고를 점유하고 재판매하는 봇 공격이 지속됩니다. 티켓 판매 사이트도 유사한 공격에 시달립니다.
금융 서비스는 계정 탈취 공격 대상입니다. 크리덴셜 스터핑(유출된 아이디와 비밀번호 자동 대입) 공격이 AI 봇으로 정교해지고 있습니다. 단순한 반복 시도가 아니라 인간의 로그인 패턴을 모방하는 방식으로 탐지를 피합니다.
이커머스에서는 재고 소진 봇과 가격 스크래핑 봇이 주요 문제입니다. 한정판 상품이 출시되는 즉시 봇이 구매를 완료하고 사람은 아무것도 살 수 없게 되는 현상이 이미 익숙해졌습니다.
AI 에이전트와 악성 봇의 경계가 흐려진다
에이전틱 AI 시대의 새로운 문제는 정상적인 AI 에이전트와 악성 봇을 구분하기가 점점 어려워진다는 것입니다. 사용자가 구글 검색 에이전트에게 “최저가 항공권 찾아줘”라고 하면, 에이전트는 다양한 사이트를 자동으로 스크래핑합니다. 항공사 입장에서 이것은 정상적 에이전트인가, 악성 봇인가?
구글이나 Anthropic 같은 AI 기업들은 에이전트 봇을 식별하는 표준(user-agent 헤더 등)을 만들고 있지만, 악성 행위자들은 이 식별 정보를 위조할 수 있습니다. 정상 에이전트를 흉내 낸 악성 봇, 악성 봇으로 오해받는 정상 에이전트 사이의 구분이 사이버 보안의 새로운 과제가 됩니다.
robots.txt(웹사이트가 크롤러에게 접근 가능 영역을 알려주는 파일)도 재설계가 필요합니다. 기존 robots.txt는 검색 엔진 크롤러를 전제로 설계됐습니다. 자율적으로 행동하는 AI 에이전트에게 어떤 접근 권한을 어떻게 부여할지에 대한 표준이 없습니다.
광고 시장과 콘텐츠 생태계의 위협
봇 트래픽이 인간 트래픽을 앞서면 가장 직접적으로 타격을 받는 것은 광고 시장입니다. 광고는 실제 인간이 콘텐츠를 보고 구매로 이어진다는 전제로 작동합니다. 봇이 광고를 클릭하고 페이지를 방문하면, 광고주는 실제 없는 잠재 고객에게 돈을 쓰는 셈입니다.
AI 에이전트가 사용자를 대신해 콘텐츠를 검색하고 요약하면, 광고가 노출될 인간 눈 자체가 줄어듭니다. AI가 검색 결과를 대신 읽고 요약해주면 광고가 붙은 원본 페이지를 인간이 방문하지 않게 됩니다. 광고 의존 미디어 생태계 전체가 흔들리는 구조입니다.
지금 해야 할 것
세 가지 분야에서 즉각적인 점검이 필요합니다.
API 보안 강화입니다. 봇 트래픽이 API를 통해 유입되는 비율이 높아지고 있으므로, 웹 방화벽과 별개로 API 게이트웨이 수준의 봇 탐지와 속도 제한을 적용해야 합니다.
AI 에이전트 접근 정책 수립입니다. 자사 서비스에 AI 에이전트가 접근하는 것을 어떻게 관리할지, 어떤 에이전트에게 어떤 권한을 줄지에 대한 정책이 없다면 지금 만들어야 합니다.
트래픽 분석 재설계입니다. 전통적인 페이지뷰, 세션 수 기반 분석은 봇 트래픽을 제대로 걸러내지 못합니다. 인간 트래픽과 봇 트래픽을 구분한 분석이 마케팅과 제품 개선의 기반이 돼야 합니다.
인터넷이 처음 상업화됐을 때 만들어진 보안과 광고의 룰이 AI 에이전트 시대에 맞지 않게 됐습니다. 새 규칙을 먼저 만드는 쪽이 이 전환기를 주도하게 됩니다.
#악성봇 #탈레스보고서 #AI봇 #에이전틱인터넷 #사이버보안 #봇트래픽 #API보안 #AI에이전트보안
함께 읽으면 좋은 글
앤트로픽 클로드 시큐리티 공개 베타 AI가 수년간 못 잡은 취약점을 찾아낸다
앤트로픽이 클로드 시큐리티를 공개 베타로 출시했다 기존 도구들이 수년간 발견하지 못한 소프트웨어 취약점을 탐지하고 패치까지 생성하는 이 도구가 기업 보안 시장을 어떻게 바꿀지 분석한다
뉴스Claude Mythos 공개 불가 선언 AI가 27년된 보안 취약점을 찾아내다 Project Glasswing 분석
Anthropic이 신모델 Claude Mythos를 일반 공개하지 않기로 했다. 27년된 버그를 찾아내고 스스로 익스플로잇을 만든 AI, 이것이 왜 게임체인저인지 분석한다.