엔지니어링 원칙

저희가 믿는 것 — 그리고 그것이 제품 전반에 어떻게 나타나는지.

이것들은 슬로건이 아니라 운영 제약입니다. 각각은 제품에 대해 테스트 가능합니다. 예외를 발견한다면, 원칙이 틀렸거나 구현이 틀린 것이며, 둘 다 버그입니다.

01. 판정보다 보정

여러분의 사기 방지 팀이 최종 결정을 내립니다 — Noxtica는 그들에게 증거를 제공합니다.

저희는 예/아니오 답변을 반환하지 않습니다. 위험 등급, 신뢰도 측정값, 그리고 그 뒤의 이유를 반환합니다. 청구 거절은 실패한 로그인이 아닙니다. 신규 가입은 쿠키를 초기화한 재방문 고객이 아닙니다. 여러분은 자신의 맥락을 압니다. 저희는 단지 더 나은 입력을 제공할 뿐입니다.

어디서 볼 수 있는가

• 모든 검증은 위험 등급, 신뢰도 측정값, 그리고 점수의 이유를 반환합니다 — “이것은 봇이다”라는 단일 플래그는 절대 없습니다.
• 운영자 대시보드는 최종 등급뿐만 아니라 카테고리별 점수 분석을 보여줍니다.
• 그 위에 자체 분류기를 구축하고 싶다면 기반 신호를 사용할 수 있습니다.

트레이드오프

Noxtica를 한 줄짜리 “봇이면 차단” 검사로 붙여넣을 수 없습니다. 정책을 작성해야 합니다. 정책은 짧지만 — 보통 10~20줄 — 여러분의 것입니다.

02. 방어 가능한 결정

세션이 실제 고객에게 플래그되면, 여러분의 엔지니어는 그 결정을 방어해야 합니다 — 법무에게, 제품에게, 고객 본인에게.

모든 탐지 카테고리는 /docs/threat-categories에 문서화되어 있으며, 모든 임계값은 감사 가능합니다. 결과가 놀랍다면 추적 가능합니다. 보정에 동의하지 않는다면 조정 가능합니다.

어디서 볼 수 있는가

• 검증 이유의 이름은 문서의 이름과 정확히 일치합니다. 코드명도, 마케팅 리브랜드도 없습니다.
• 모든 임계값은 그 근거와 배후의 모집단 데이터를 담고 있습니다.
• Noxtica가 보고하는 신호는 움직이는 목표가 아닌 문서화된 계약입니다.

트레이드오프

저희는 모델을 조용히 변경할 수 없습니다. 임계값을 조이려면 변경 사항을 작성하고, 변경 로그에서 정당화하고, 버전이 지정된 업데이트로 배포해야 합니다. 블랙박스 모델보다 느립니다. 저희는 그 거래가 가치 있다고 생각합니다.

03. 거짓 양성은 허용 가능한 손실이 아니다

차단된 고객은 결코 돌아오지 않습니다. 놓친 봇은 다툴 수 있는 단일 청구 거절이지만, 차단된 실제 고객은 이탈이며 — 이탈은 복리로 쌓입니다.

저희는 특이하지만 완전히 정당한 환경의 실제 고객을 차단하느니 봇을 놓치는 편을 택합니다. 임계값은 의도적으로 경계선 케이스를 통과시키는 방향으로 설정되어 있습니다. 위험 등급은 여러분이 자신의 트레이드오프를 선택할 수 있도록 존재하지만, 기본값이 보수적인 데는 이유가 있습니다.

어디서 볼 수 있는가

• “지켜보라”와 “챌린지하라” 등급은 의도적으로 멀리 떨어져 있어, 그 사이 모집단이 주로 봇이지 실제 사람이 아닙니다.
• 인식된 프라이버시 브라우저는 설계상 관대하게 처리되며, 사후 처리가 아닙니다.
• 저희 예제의 기본 정책은 챌린지이지 차단이 아닙니다 — 차단은 설계상 여러 신호가 동의할 때만 발동하는 최상위 등급을 위해 예약되어 있습니다.

트레이드오프

기본 설정에서의 적발률은 더 공격적으로 조정된 경쟁사보다 낮습니다. 저희는 처음부터 더 많은 실제 고객을 유지하기 때문에 1년에 걸쳐 절대적으로 더 많은 봇을 잡게 될 것이라고 생각합니다.

04. 설계에 의한 프라이버시

여러분의 개인정보 보호 책임자가 더 편히 자는 이유는 저희가 그들을 위해 이것을 만들었기 때문입니다.

collector는 개인 데이터를 수집하지 않습니다. 기본적으로 원시 네트워크 주소는 저장되지 않으며 — 국가 같은 대략적인 컨텍스트만 파생 후 삭제됩니다. 검증 중에 서드파티 호출이 발생하지 않습니다. 저희가 저장하는 것은 스크램블된 단방향 요약이며 원시 값이 아니고, 서명 키는 주기적으로 교체됩니다. 수집하지 않은 것은 팔 수 없습니다.

어디서 볼 수 있는가

• 수집 중 브라우저는 정확히 하나의 요청을 합니다: 봉인된 결과와 함께 여러분 자신의 백엔드로의 동일 출처 전송. 서드파티 텔레메트리 없음, 분석 비콘 없음, 외부에서 로드되는 폰트 없음.
• 저희 측 검증은 추가 조회가 필요 없습니다 — 전체 그림이 결과 안에 있어 다시 가져올 것이 없습니다.
• 데이터 보존 기본값은 플랜별로 다르며, 요청 시 완전 삭제는 소프트 플래그가 아닌 스토리지 레이어에서 적용됩니다.

트레이드오프

저희는 교차 고객 데이터로 모델을 강화할 수 없습니다. 한 고객 사이트에서 본 봇이 다른 고객의 검증에 자동으로 알려지지 않습니다. 저희는 보정을 위해 모집단 수준 집계를 사용하지만, 고객 간에 개인을 연결하지는 않습니다.

원칙들이 어떻게 구성되는가

이 네 가지 원칙은 독립적이지 않습니다 — 서로를 강화합니다.

• 판정보다 보정(01)은 결정이 방어 가능할 때(02)만 작동합니다. 문서화된 이유 없이는 보정을 읽을 수 없기 때문입니다.
• 방어 가능한 결정(02)이 거짓 양성 회피(03)를 검증 가능하게 만듭니다 — 임계값을 감사하고 기본값이 보수적임을 증명할 수 있습니다.
• 설계에 의한 프라이버시(04)가 모델을 읽기 쉽게 만듭니다. 저희는 수천 개의 교차 고객 특성을 갖지 않습니다. 수십 개를 가지며, 각각은 문서에서 읽을 수 있는 신호에 연결되어 있습니다.

다섯 번째 원칙을 추가한다면, 이 네 가지를 강화해야 합니다. 그렇지 않다면 배포하지 않을 것입니다.

관련 읽을거리

• 판정이 아닌 보정을 선택하는 이유 — 원칙 01을 이끄는 철학.
• 위협 카테고리 — 원칙 02가 약속하는 문서화된 화면.
• 활용 사례 — 원칙 03과 04가 실제 환경에서 어떻게 보이는지.