스팸이 진화했다, 이번엔 진짜 사람처럼 말한다
블로그 운영해보신 분들은 다 공감하실 텐데요, 댓글창에 스팸이 붙는 건 어제오늘 일이 아니에요. 예전에는 티가 확 났어요. '좋은 글 감사합니다, 제 사이트도 놀러오세요 [도박 사이트 링크]' 이런 식이었거든요. 스팸 필터로 걸러내기도 쉬웠고요. 그런데 요즘 새로운 패턴의 스팸이 등장했어요. 글 내용을 실제로 읽은 것처럼, 그것도 꽤 똑똑한 피드백처럼 보이는 댓글이요.
예를 들어 여러분이 '리액트 훅 사용법' 글을 썼다고 쳐봐요. 그러면 예전 스팸은 '멋진 글이네요!' 정도였는데, 새로운 스팸은 이래요. '저도 useEffect 의존성 배열 관리하다가 무한 루프에 빠진 적 있는데, 말씀하신 cleanup 패턴이 정말 도움됐어요. 혹시 useCallback이랑 같이 쓸 때 주의할 점도 다뤄주실 수 있을까요?' 이거 보고 '오, 정성스러운 댓글이네' 하고 승인하기 쉽죠. 그런데 프로필 링크를 따라가 보면 엉뚱한 상업 사이트로 연결돼요.
어떻게 이런 댓글이 대량으로 생산될까
범인은 예상하셨겠지만 LLM(대형 언어 모델)이에요. GPT나 Claude 같은 모델에 블로그 글 URL을 던지고 '이 글에 대해 개발자처럼 통찰력 있는 댓글을 한 문단으로 써줘'라고 시키면 자연스러운 결과물이 나와요. 이걸 자동화해서 수천 개 사이트를 돌며 댓글을 다는 봇이 실제로 돌아다니고 있어요.
공격자 입장에서 이게 왜 효과적이냐면요, 두 가지 목적이 동시에 달성되거든요. 첫째, 백링크 SEO. 댓글 작성자 프로필에 링크된 사이트가 여러 블로그에서 언급되면 구글 검색 순위에 유리해요. 둘째, 신뢰 구축. 나중에 그 프로필이 피싱이나 스캠을 벌일 때, '이 사람 예전에 여러 블로그에 좋은 댓글 남겼던 사람이네' 싶은 일종의 평판 세탁이 가능하죠.
기술적으로 보면 이 공격은 자동화된 웹 스크래핑 + LLM API + 대량 계정 생성의 조합이에요. 댓글 시스템마다 다르지만, WordPress나 Disqus 같은 흔한 플랫폼은 API가 문서화돼 있어서 봇 만들기 쉬워요. CAPTCHA가 있어도 요즘은 CAPTCHA 풀어주는 유료 서비스가 있어서 결정적인 장벽이 안 돼요.
기존 스팸 필터로는 왜 못 잡을까
Akismet 같은 전통적인 스팸 필터는 키워드 기반 + 평판 DB로 동작해요. '비아그라', '카지노', '명품 레플리카' 같은 단어가 있거나, 이미 블랙리스트에 올라간 IP/이메일에서 오면 차단하는 식이죠. 그런데 새로운 LLM 스팸은 키워드도 없고, 매번 새로운 IP와 이메일을 쓰니까 이런 방식으로는 거의 못 잡아요.
더 골치 아픈 건 사람이 봐도 진짜 댓글과 구분하기 어렵다는 점이에요. 블로그 주인이 하루에 댓글 100개씩 일일이 프로필 링크까지 추적하면서 검증할 수는 없잖아요. 그래서 결국 '대체로 괜찮아 보이면 승인' 해버리고, 그 틈을 노리는 거예요.
대응 방법으로는 몇 가지가 논의되고 있어요. 첫째, 링크 있는 프로필은 무조건 보류하고 수동 검토. 둘째, rel="nofollow ugc" 속성을 댓글의 모든 링크에 강제 적용해서 SEO 효과를 없애기. 셋째, 댓글에 최소 지연 시간을 두거나 Proof of Work(작은 계산 과제)로 자동화 봇의 비용을 올리기. 넷째, 작성자의 이전 댓글 히스토리를 공개해서 여러 블로그에 비슷한 패턴으로 단 흔적을 볼 수 있게 하기.
업계 전반의 맥락
이 현상은 블로그만의 문제가 아니에요. Reddit, Stack Overflow, GitHub Issues, Hacker News 댓글창까지 다 비슷한 압력을 받고 있어요. Stack Overflow는 이미 2023년부터 GPT 생성 답변 대량 유입 때문에 정책을 여러 번 바꿨고, GitHub도 스팸 PR이나 이슈가 급증해서 골머리를 앓고 있어요.
근본적으로는 '사람이 만든 콘텐츠'라는 전제 위에 세워진 웹의 신뢰 구조가 흔들리는 중이에요. 예전에는 '공들여 긴 댓글을 단다'는 행위 자체가 비용이 높아서 그 자체가 진정성의 신호였는데, LLM이 그 비용을 0으로 만들어버린 거죠. 앞으로는 Web of Trust(신뢰의 웹), Verified Identity, Proof of Humanity 같은 방향으로 가지 않을까 싶어요.
한국 개발자에게 주는 시사점
국내 개발 블로그 운영하시는 분들, 특히 velog, 개인 Hugo/Jekyll 블로그에 Giscus나 utterances 같은 댓글 시스템 붙이신 분들은 이 패턴을 알아두시는 게 좋아요. 한국어 LLM 댓글 스팸도 이미 시작됐어요. 저도 제 블로그에서 '좋은 글이네요, 저도 비슷한 경험이 있는데...'로 시작하는 수상한 댓글을 몇 번 봤거든요.
실무에서는 댓글 시스템 설계할 때 모든 외부 링크에 nofollow 자동 추가, 신규 작성자 첫 댓글은 승인 대기, IP/이메일 중복 패턴 탐지 같은 기본 장치를 꼭 넣어두세요. 그리고 본인이 운영하는 커뮤니티가 있다면, 사용자들에게 'LLM 생성 댓글 신고 기능'을 제공하는 것도 방법이에요.
마무리
LLM은 콘텐츠 생성의 장벽을 낮춘 대신, 악성 콘텐츠의 장벽도 같이 낮췄어요. 앞으로 우리는 '이 문장을 누가 썼는가?'를 점점 더 자주 의심해야 하는 세상에서 일하게 될 거예요.
여러분 블로그나 운영 중인 커뮤니티에서 비슷한 경험 있으신가요? LLM 스팸을 어떻게 걸러내고 계신지, 좋은 아이디어 있으면 나눠봐요.
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
