AI 봇 트래픽이 인간을 추월했다 그런데 돈이 되는 봇과 위험한 봇을 구별할 수 없다

2025년, 인터넷에서 AI가 만들어내는 트래픽의 성장률이 인간 사용자의 트래픽 성장률을 처음으로 넘어섰습니다. 사이버보안 기업 휴먼 시큐리티(HUMAN Security)가 1조 건 이상의 상호작용 데이터를 분석한 AI 트래픽 현황 보고서에 따르면, 자동화 트래픽은 인간 활동보다 약 8배 빠른 속도로 증가했습니다. 그중에서도 AI 에이전트가 직접 웹사이트를 탐색하고, 로그인하고, 결제까지 수행하는 에이전틱 AI 트래픽은 1년 만에 7,851% 증가했습니다.

그러나 숫자만 보면 절반만 보는 것입니다. 같은 시기에 월마트는 ChatGPT 안에서 직접 결제하는 기능을 테스트한 뒤, 전환율이 자사 웹사이트의 3분의 1에 불과하다는 결과를 얻고 이 기능을 단계적으로 폐지하고 있습니다. AI 트래픽은 폭증했지만, 그 트래픽이 실제 돈으로 바뀌는 과정, 전환율은 저조하다는 뜻입니다. 동시에 정상적인 AI 에이전트와 악성 봇의 행동 차이가 0.5%에 불과하다는 보고서의 발견은, 폭증하는 AI 트래픽 속에서 “어떤 봇이 고객이고 어떤 봇이 공격자인지” 구별하는 것 자체가 새로운 난제가 됐음을 보여줍니다. 3월 31일자 AI코리아24 브리핑에서 원문 기사를 확인 할 수 있습니다.

AI 트래픽 7,851% 증가의 내부 구조

보고서는 AI 트래픽을 세 가지 유형으로 나눕니다. AI 모델 학습용 데이터를 수집하는 크롤러(crawler) 가 전체 AI 트래픽의 67.5%로 가장 큰 비중을 차지합니다. ChatGPT, Claude, Gemini 같은 LLM(대형언어모델)이 학습할 웹 데이터를 긁어가는 트래픽입니다. 실시간 정보 수집을 담당하는 스크래퍼(scraper) 는 1년간 597% 급증했습니다. AI 검색 서비스가 실시간으로 웹페이지를 읽어 답변을 생성하는 과정에서 발생하는 트래픽입니다.

가장 눈에 띄는 것은 세 번째 유형인 에이전틱 AI 입니다. 7,851%라는 수치가 말해주는 것은 단순합니다. 1년 전에는 거의 없던 것이 지금은 무시할 수 없는 규모가 됐다는 것입니다. 크롤러가 “읽는” 봇이고 스크래퍼가 “찾는” 봇이라면, 에이전틱 AI는 “행동하는” 봇입니다. 웹페이지를 탐색하고, 계정에 로그인하고, 상품을 비교하고, 결제까지 수행합니다. 보고서에 따르면 에이전틱 트래픽의 77%가 상품 검색과 탐색 페이지에서, 13%가 로그인과 인증에서, 2.3%가 실제 결제에서 발생했습니다.

에이전틱 커머스의 현실, 월마트가 보여준 간극

트래픽 수치만 보면 AI가 이미 인터넷 쇼핑의 주체가 된 것처럼 보입니다. 그러나 “트래픽이 늘었다”와 “트래픽이 돈이 된다”는 별개의 문제입니다.

월마트는 ChatGPT 안에서 약 20만 개 상품을 대상으로 Instant Checkout (AI 채팅 내 즉시 결제) 기능을 테스트했습니다. 결과는 실망스러웠습니다. ChatGPT 안에서 직접 결제를 완료한 비율이 월마트 웹사이트로 이동해 결제한 비율의 3분의 1에 그쳤습니다. 월마트 제품 담당 부사장 다니엘 댕커(Daniel Danker)는 이 경험을 “만족스럽지 않다”고 평가했습니다. OpenAI는 결국 Instant Checkout 기능을 단계적으로 폐지하고, 판매자 앱 기반 결제 방식으로 전환하고 있습니다. 월마트는 대신 ChatGPT 안에 자체 챗봇 Sparky를 통합해 자사 시스템 내 결제를 유도하는 방향을 택했습니다.

이 실험이 보여주는 것은, 에이전틱 AI가 상품을 “탐색”하는 데는 이미 활발하지만 “결제”까지 이어지는 전환율은 기존 쇼핑 경험에 한참 못 미친다는 것입니다. 에이전틱 트래픽의 77%가 상품 검색에서 발생하고 결제는 2.3%에 불과하다는 보고서 데이터와 정확히 일치하는 패턴입니다. AI가 인터넷에서 “보는” 양은 폭발적으로 늘었지만, “사는” 양은 아직 걸음마 단계입니다.

OpenAI가 AI 트래픽의 69%를 차지한다는 것의 의미

보고서에서 간과하기 쉬운 데이터가 하나 있습니다. AI 트래픽의 사업자별 점유율입니다. OpenAI가 약 69%, 메타가 16%, Anthropic이 11%로, 세 기업이 전체 AI 트래픽의 96%를 차지합니다.

이것은 인터넷의 “읽기 권한”이 소수 기업에 집중됐다는 뜻입니다. 과거에는 구글 검색 크롤러(Googlebot)가 웹의 색인을 사실상 독점했고, 그 색인이 곧 “인터넷에서 발견되느냐 아니냐”를 결정했습니다. 지금은 OpenAI의 크롤러가 그 위치를 빠르게 잠식하고 있습니다. 웹사이트 입장에서는 구글봇 외에 OpenAI 봇까지 신경 써야 하고, 동시에 두 봇 모두에게 데이터를 내줄지 말지를 결정해야 합니다. robots.txt(웹사이트가 크롤러의 접근을 허용하거나 차단하는 설정 파일)가 새로운 비즈니스 협상 도구가 되고 있는 이유입니다.

AI 저가 시대의 종말에서 분석했듯이, AI 서비스의 비용 구조는 토큰 단위로 재편되고 있습니다. AI 트래픽이 폭증한다는 것은 곧 토큰 소비가 폭증한다는 뜻이고, 그 토큰의 원재료가 되는 웹 데이터의 가치도 함께 올라갑니다. 데이터를 무료로 제공하던 시대에서, 데이터 접근권을 협상하는 시대로 넘어가고 있습니다.

진짜 문제는 구별 불가능성이다

이 보고서에서 가장 우려되는 대목은 숫자가 아닙니다. 정상적인 서비스 자동화 도구와 악의적인 공격 봇의 행동 패턴 차이가 0.5% 에 불과하다는 발견입니다.

이것이 왜 심각한지 구체적으로 보겠습니다. 2025년 기준 웹사이트 방문의 약 20%가 스크래핑 시도였고, 계정 탈취 시도는 전년 대비 4배 이상 증가했습니다. 카드 정보 탈취 공격도 2022년 대비 250% 급증했습니다. 그런데 이 공격들의 행동 패턴이 정상적인 AI 쇼핑 에이전트와 거의 동일합니다. 상품 페이지를 탐색하고, 로그인을 시도하고, 결제 정보를 입력하는 순서가 같습니다.

스튜 솔로몬 휴먼 시큐리티 CEO는 “봇이냐 사람이냐라는 이분법은 이제 의미가 없다”고 말했습니다. 기존 보안 시스템의 핵심 질문이었던 “이 방문자는 사람인가 봇인가”가 쓸모없어진 것입니다. 새로운 질문은 “이 봇은 무엇을 하려는가”입니다. 같은 행동을 하는 두 봇 중 하나는 고객의 쇼핑을 대행하는 에이전트이고, 다른 하나는 카드 정보를 탈취하려는 공격 봇입니다. 이 둘을 실시간으로 구별해야 합니다.

이 변화가 의미하는 것

클라우드플레어 CEO 매튜 프린스는 2027년에 AI 봇 트래픽이 인간 트래픽을 완전히 추월할 것이라고 전망했습니다. 인디애나대 필리포 멘처 교수는 “봇 트래픽 추정은 데이터 출처와 샘플에 따라 크게 달라질 수 있다”고 한계를 지적하기도 했습니다. 정확한 시점은 다를 수 있지만, 방향은 확실합니다. 인터넷을 사용하는 주체가 사람에서 AI로 이동하고 있습니다.

이 변화 앞에서 웹사이트를 운영하는 기업은 세 가지를 동시에 판단해야 합니다. AI 크롤러에게 데이터를 열어줄 것인가(SEO와 AI 검색 노출의 문제), AI 에이전트의 결제를 받아들일 것인가(에이전틱 커머스 대응의 문제), 악성 봇을 어떻게 걸러낼 것인가(보안의 문제). 세 질문이 동시에 밀려오고 있고, 아직 어느 것에도 업계 표준 답이 없습니다.

확실한 것은 하나입니다. “봇이냐 사람이냐”를 묻던 시대는 끝났습니다. 이제는 “이 봇이 고객인가 공격자인가”를 묻는 시대입니다. 그리고 그 구별이 0.5%의 행동 차이에 달려 있다는 것이 지금 인터넷이 직면한 가장 어려운 문제입니다.

#AI봇트래픽 #에이전틱AI #에이전틱커머스 #AI보안 #봇탐지 #OpenAI #휴먼시큐리티