과도한 로그인 서버 호출 사용자 조치에 대한 고민

 최근 특정 IP를 통해 1일 10만 회가 넘는 로그인 서버 접근 사용자가 다수 발견되었다. 

'아니 하루에 10만 회를 로그인 서버 접근을 하는데 실제 로그인은 1개월에 80회??'

'으잉?? 이 사용자는 뭐야?'

'사람이 이렇게 접속 가능한가?'

'부정 사용자 봇? 아니면 데이터 연동을 위한 시스템 ID?'

다양 경로를 통해서 해당 IP를 통해 들어온 ID와 실제 사용자들을 찾아보고 추적 관찰한 결과

이벤트에 과도하게 당첨이 많이 된 사용자 또는 사업자 회원이고 가전제품을 판매하고 있었다.

나는 이런 사용자들을 다음과 같이 분류하고 해결 가설을 세웠다.

 

유형 1. 이벤트 당첨 확률을 높이기 위한 참여자

-이벤트 당첨 확률을 높이기 위해서 매크로 프로그램을 이용 다수의 아이디로 응모하는 유형

-1개월간 약 30만 회 가량 로그인 시도

-서비스 정책상 이메일 인증을 통해 복수 ID를 소유하는 것이 가능하여 당첨 확률을 높이기 위한 매크로 사용자로 분류

 

유형 2. 최저가 유지를 위한 크롤링 사용자

-최저가 갱신 관리자 페이지를 사용하던 제휴사가 만든 크롤링 프로그램을 계속해서 사용하거나 아니면 어디서 프로그램을 구입하거나 얻었는데 코딩이 불가능해 그냥 사용하다 보니 로그인 페이지를 통로로 거쳐가는 유형

-1일 약10~20만 회 로그인 시도

-자사 제품의 오픈마켓 최저가 입력 유지를 위한 가격 크롤링 프로그램 사용자로 분류

로그인 페이지 접속 통계 1일 17만 회도 보인다.

해결 방법으로는 사용자 이용 패턴을 보니 1번 유형의 사용자는 다수의 ID로 1개의 IP로 서비스를 접근 2번도 마찬가지였다. 그래서 처음 도입한 방법이 정상적인 사용자의 접속 통계를 뽑아 많이 접속하는 사람들의 로그인 수치를 체크하고 해당 수치 이상 접근 시 시스템에서 어떻게 IP를 걸러낼지 정책과 시스템을 개선했다.

 

사용자 평균 로그인 자료 검토

-일반적인 사용자는 자동 로그인을 사용함 신규 로그인 카운팅 되지 않음

-일반적으로 업체들도 100회 미만으로 사용하지만 많이 사용하는 경우 100~200회 정도 로그인을 진행함

-해당 자료를 근거로 이벤트 운영팀에 통보하여 당첨자에게 경고 및 당첨 취소를 진행함

 

위의 내용을 근거로 100회 초과 리캡챠 노출, 200회 초과 IP 접속 24시간 차단 정책을 도입을 1차적으로 결정하여 서비스에 도입했다. 결과는 1번 유형의 이벤트 당첨 확률을 높이기 위한 참여자들은 확실히 감소하는 것이 보였다. 2번 유형 사용자들은 IP를 우회하여 접근하는 방식을 사용하여 초반에 감소했지만 계속 다방면으로 접근 시도를 하고 있는 상태이다.

 

 근본적인 해결이 시스템으로 어렵거나 M/M가 많이 투입되어 운영보다 효율이 없다고 판단되는 경우 시스템을 개선하여 계속 막을 생각을 버리고 운영적으로 푸는 방안을 같이 검토하는 것이 좋다고 판단했다. 그래서 신규 도입을 위해 검토하는 내용은 다음과 같다.

 

사용자 이용 동의 내용 변경 및 부정 사용자 제재 정책 도입

1. 사용자 이용 동의 수정

-"서비스에 나쁜 영향을 주는 고의적 사용에 대해 제재를 당할 수 있습니다. 1차 경고 7일 ID 정지, 2차 경고 14일 ID 정지, 3차 경고 30일 ID 정지, 4차 영구 정지"

2. 일반 및 사업자 회원에게는 이메일로 해당 동의를 통보, SNS 회원은 이메일이 없어 로그인 시 레이어 팝업을 통한 통보

-회원 정책은 미동의 시 서비스를 이용하지 못하기 때문에 일정 시간이 경과하면 동의하는 것으로 간주한다는 문구를 포함하여 이메일 및 레이어 팝업 안내가 나가야 한다.

-동의하지 못하는 경우 서비스 이용이 어려워 탈퇴에 대한 안내가 되어야 한다.

 

위의 정책은 보고를 통해 최종 결정되며, 도입 완료 후 개발자의 '엘라스틱 서치' 모니터링을 통해 로그인 서버 부하 발생 확인 시 내부 통계자료를 근거로 회원에게 ID 이용 정지 정책을 적용한다.  

'엘라스틱서치' 예시 화면

 

-B.sta