Firebase, Cloudflare 및 Custom JS를 활용한 프레임워크 없는 보안 강화 포트폴리오/CMS 구축 및 CDN 캐싱 이상 분석

핵심 기술: 이 글은 프레임워크나 라이브러리 없이 Firebase Hosting, Firestore, Cloudflare Proxy 및 커스텀 JavaScript 라우터만을 사용하여 모듈화되고 보안이 강화된 포트폴리오 및 CMS 시스템을 구축한 사례를 다룹니다. 특히, 엔드포인트 난독화와 허니팟 로직을 활용하여 CDN 캐시 불일치, 봇넷 패턴 감지, 스푸핑된 접근을 수동적으로 관찰하는 독창적인 보안 및 분석 기법을 소개합니다.

기술적 세부사항:
* 코어 스택: Firebase Hosting (정적 배포), Firestore (동적 콘텐츠), Cloudflare Proxy (보안 계층), Custom JavaScript 라우터 및 모듈식 콘텐츠 주입, Firebase Auth 기반 관리자 인증 CMS.
* 행동 기반 계층:
* 허니팟 스크립트 (superSecret.js)를 통한 봇 로깅 (botViews).
* 함정 라우팅을 위한 구조적 엔드포인트 난독화.
* 인라인 스크립트 금지 및 엄격한 소스 규칙을 포함한 CSP (Content Security Policy).
* YouTube, Spotify, SoundCloud 등 외부 콘텐츠의 지연 로딩(Lazy Loading).
* 봇 함정 메커니즘:
* 의도적으로 사용자에게 노출되지 않는 데코이 스크립트 파일 및 API 엔드포인트.
* 봇만 접근하도록 설계된 앵커 태그.
* 오래된 구조를 모방하도록 설계된 라우트.
* 의도된 사용자 경험 흐름 외부에서 접근 시 다르게 동작하는 조건부 로직.
* CDN 캐싱 이상 감지: 봇이 난독화된 경로에 접근했을 때 발생하는 혼합된 DNS 전파(WhatsMyDNS), Firebase CDN은 캐시를 깨끗하게 제거하지만 Cloudflare의 일부 지역에서는 오래된 에셋이 유지되는 TTL 불일치 및 CDN 발산(divergence) 현상.
* 수동 지문 인식 방법: 사용자에게는 최신 콘텐츠를 제공하고, 봇/스푸퍼에게는 존재하지 않는 데이터(ghost data), 404 또는 불일치하는 레이아웃을 제공하여 구분.

개발 임팩트: 이 시스템은 세션 지문 인식, 외부 분석 스크립트, 서드파티 쿠키 없이 접근 흐름 패턴, CDN 행동 이상, 스크립트 호출 동작 및 시퀀스 불일치를 추적하여 보안을 아키텍처 자체로 구현합니다. 이를 통해 개발자는 외부 도구나 추적 없이도 봇 행동, CDN 드리프트, 사용자 의도를 파악할 수 있으며, 빠르고 안전하며 효율적인 웹 시스템 구축 방법을 배울 수 있습니다.

커뮤니티 반응: (원문에 직접적인 커뮤니티 반응 언급은 없으나, 내용상 이러한 기법은 개발자들 사이에서 흥미로운 토론을 유발할 수 있습니다.)

톤앤매너: 전문적이고 기술 중심적이며, 간결하고 명확한 설명으로 개발자의 이해를 돕습니다.