API LIMIT

Question

안녕하세요. 항상 좋은 강의 감사합니다. API LIMIT을 보면 ABUSING이랑 비슷한 개념이라고 느꼈습니다. 예를 들어, 어떤 유튜브 라이브에서 좋아요 리액션을 너무 많이 눌렸을 때, API LIMIT 알고리즘으로 고정 윈도우 방식이 적절하다고 생각했습니다. INCR 이 빈번한 작업이기 때문이죠. 근데 악성 BOT(봇)으로 좋아요를 악의적으로 누를 수도 있는데 이때는 ABUSING(어뷰징) 처리를 해야한다면 API LIMIT과 동일하게 가져가는게 맞을지 설명주신 API LIMIT도 제한 구간 10초당 몇개 를 구간과 임계치를 설정하는데, 보통 어떤 기준으로 실무에서 설정하는지 궁금합니다. 운영하면서도 모니터링하면서 조절할거 같은데 유튜브 라이브의 임계치 구간을 설명한다고 가정하면 인간의 마우스나 손으로 눌렸을 때 1초당 10번 이하? 이렇게 추상적인 실험 데이터도 정하는게 맞는지도 궁금합니다. 감사합니다.

codingpe · Answer

안녕하세요. 😊 1. Rate Limiting과 어뷰징 부분적으로는 비슷해 보이지만, 이 둘은 목적과 대응이 다릅니다. a. Rate Limiting 사용량 제한 리소스 보호와 공정한 사용이 주 목적입니다. 즉 너무 많이 사용하지 말라는 거죠. b. Abusing 탐지 악의적인 행위 탐지 단순히 횟수 초과를 넘어 호출 패턴, 속도, 분포 등을 함께 봐야 합니다. 그래서 일반적으로 Rate Limiting을 먼저 적용하고, 사용량을 초과하면서 특정한 이상 호출 패턴이 보이면 어뷰징 처리를 추가로 하는 형태로 구현합니다. 즉 Rate Limiting은 1차 방어선이고 Abusing 탐지는 그 다음 레이어로 처리하는 게 일반적입니다. 따라서 이 둘을 완전히 동일하게 가져가지는 마시고 계층을 분리해서 설계하는 것을 권장드립니다. 2. API Rate Limiting 실무 임계치 말씀하신 대로 보통 인간이 초당 빠르게 클릭할 수 있는 경험적 최대치(도메인 상식 기반)를 우선 감안합니다. 그리고 실제 정상적인 유저의 해당 액션 빈도를 보고 조정할 수 있습니다.(정상적인 의도를 가진 사용자가 막히면 안 되니까요) 그리고 '좋아요'와 같은 비교적 가벼운 액션은 좀 관대하게 잡기도 하지만, 중요한 행위일 경우 좀 더 타이트하게 설정하는 것이 좋습니다. 화이팅입니다. 👍