TL;DR
blog.haus는 성장을 위해 비회원 댓글을 전면 허용합니다.
스팸의 공포보다 대화의 단절이 더 무섭기 때문입니다.
대신 Honeypot에서 LLM까지, 비용 대비 효율을 극대화한 단계적 방어 전략(80% 규칙)으로 대응합니다.
“댓글 하나 달려고 회원가입까지 해야 하나요?”
요즘 blog.haus를 빌드하며 가장 오랜 시간 제 머릿속을 떠나지 않았던 질문입니다.
기술적으로 가장 편한 길은 분명합니다. 회원 전용 댓글이죠.
스팸 걱정도 없고, 구현도 쉽고, 데이터도 깨끗합니다.
하지만 서비스 초기 단계에서 댓글 한 줄을 위해 로그인을 요구하는 건,
사실상 “댓글 달지 마세요”라고 선언하는 것과 다름없습니다.
사실 저도 다른 서비스에서 댓글을 남기려다
회원가입 화면을 보는 순간 그냥 탭을 닫아버린 적이 한두 번이 아닙니다.
그래서 결단을 내렸습니다.
비회원 댓글을 열기로 했습니다.
지금은 ‘완벽한 방어’보다 ‘대화의 시작’이 필요할 때
블로그는 박물관이 아닙니다.
질문과 답변이 오가며 공기가 순환되어야 살아 있는 공간이 됩니다.
물론 비회원 댓글 = 스팸이라는 공식은 너무나 자명합니다.
하지만 오지도 않은 봇이 두려워 독자와의 연결고리를 스스로 끊는 것은 주객전도라고 생각했습니다.
저의 전략은 명확합니다.
문제보다 앞서 나가지 않는다.
현실에 맞춰 단계적으로 대응한다.
단계적 스팸 방어 로직: 80%의 법칙
체감 방어율 80%를 기준으로 삼는 3단계 로직을 준비했습니다.
초기 서비스에서 100% 방어를 고집하는 것은
사용자 편의성을 희생시키는 과잉 투자이자,
비용 대비 효과가 급격히 떨어지는 지점이기 때문입니다.
1단계: 보이지 않는 경량 방어
사용자 불편을 0으로 만드는 것이 목표입니다.
Honeypot 필드
사람은 절대 건드리지 않지만, 봇은 습관적으로 채우는 숨겨진 입력창입니다.
봇이 걸려드는 일종의 미끼입니다.작성 시간 검증
폼 로드 후 3초 이내에 제출된 댓글은 사람이 아닌 것으로 간주합니다.
2단계: 적극적 방어 (유입 증가 시)
스팸이 사용자 눈에 보이기 시작하면 전략을 전환합니다.
- Cloudflare Turnstile
사용자에게 퀴즈를 풀게 하지 않으면서도 강력하게 봇을 걸러냅니다.
3단계: 지능형 차단 (성숙기)
서비스가 성장한 이후의 이야기입니다.
- LLM 기반 판별
AI를 연동해 문맥상 스팸 여부를 실시간으로 판단합니다.
내가 만들고 싶은 댓글 시스템의 본질
보안을 위해 대화를 포기하지 않는 것.
사람에게는 최대한 관대하고
봇에게는 최대한 피곤한 구조
관리자가 상시 감시하지 않아도 굴러가는 시스템
이것이 제가 생각하는 성장하는 서비스의 보안입니다.
여러분의 생각은 어떠신가요?
비회원 댓글은 정말 스팸의 지옥일까요,
아니면 숨겨진 기회일까요?
사실 저도 이 방식이 완벽한 정답이라고 확신하지는 않습니다.
혹시 제가 놓치고 있는 리스크가 있거나,
비슷한 시도를 해보며 겪으셨던 시행착오가 있다면 편하게 의견 들려주세요.
여러분의 지적이 blog.haus를 더 단단하게 만듭니다.
(로그인은 전혀 필요 없습니다.)
자주 받는 질문 (FAQ)
비회원 댓글에서 가장 효과적인 초기 스팸 방어 방법은 무엇인가요?
사용자 경험을 해치지 않는 Honeypot 필드와 작성 시간 검증이 가장 효과적입니다.
봇의 기계적인 동작 특성을 이용해 초기 스팸의 대부분을 차단할 수 있습니다.
왜 100% 보안 대신 80%의 법칙을 선택했나요?
보안과 편의성은 트레이드오프 관계입니다.
초기에는 20%의 느슨함을 허용하더라도,
80%의 유의미한 대화를 확보하는 것이 서비스 성장에 훨씬 유리하다고 판단했습니다.
