텔레메트리 비콘

CSD 텔레메트리는 두 단계로 작동합니다. 첫째, 계측 스크립트가 표준 GET 요청을 통해 애플리케이션 오리진에서 로드되며, 이를 통해 CSD의 모니터링 코드가 페이지에 주입됩니다. 스크립트 URL 패턴은 https://<collection-domain>/__imp_apg__/js/<tenant-script>.js 형식을 따르지만, 정확한 경로는 배포 방식에 따라 다를 수 있습니다. 초기화된 후, 스크립트는 주기적으로 비콘이라고 하는 POST 요청을 통해 F5로 텔레메트리를 전송합니다. 이 비콘은 애플리케이션 오리진이 아닌 F5가 운영하는 신호 수집 도메인(*.zeronaught.com)으로 전송됩니다.

속성	값
스크립트 로드	애플리케이션 오리진에서 `GET` 요청을 통해 로드되는 CSD 계측 스크립트 — DevTools에서 `__imp_apg__` 또는 `zeronaught`로 필터링하여 식별 가능
비콘 목적지	F5 신호 수집 인프라로의 `POST` 요청 (예: `us.gimp.zeronaught.com`, `csd.zeronaught.com`)
페이로드 형식	인코딩된 바이너리 — 사람이 읽을 수 있는 JSON 형식이 아님
전송 빈도	페이지 수명 동안 주기적으로 전송; 특정 이벤트(양식 필드 접근, 새 스크립트 로드) 발생 시 추가 비콘 전송

비콘이 보고하는 내용

CSD 비콘은 사용자 입력이 아닌 스크립트 동작 메타데이터를 전달합니다:

스크립트 인벤토리 — 페이지에 로드된 스크립트와 해당 스크립트의 출처 도메인
양식 필드 접근 이벤트 — 어떤 스크립트가 어떤 입력 필드를 읽거나 상호작용했는지 (필드 이름 및 유형)
페이지 메타데이터 — 현재 URL, 타임스탬프, 페이지 수명 주기 이벤트

CSD는 사용자가 입력한 양식 데이터가 아닌 스크립트 동작 메타데이터(필드 이름, 입력 유형, 접근 패턴)를 보고하도록 설계되었습니다. F5 CSD 개인정보 보호정책에서는 CSD가 “다양한 페이지 요소 또는 데이터 구조에 접근하는 자산에 대한 정보”를 수집한다고 설명하며, 사용자 입력 내용보다는 스크립트 동작에 초점을 맞추고 있습니다.

DevTools에서 비콘 관찰하기

Chrome DevTools(F12)를 열고 Network 탭으로 전환합니다
애플리케이션을 탐색하거나 양식 필드와 상호작용하여 트래픽을 생성합니다
필터 바에 zeronaught를 입력하여 CSD 트래픽을 분리합니다 — us.gimp.zeronaught.com으로의 스크립트 로드(GET)와 텔레메트리 비콘(POST)이 표시됩니다
Method 열을 확인합니다: GET 항목은 CSD 계측 코드 로딩이며, dip으로 표시된 POST 항목은 신호 데이터를 F5로 전송하는 텔레메트리 비콘입니다
dip 비콘을 클릭하여 헤더와 페이로드를 검사합니다; 요청 본문이 사람이 읽을 수 있는 JSON이 아닌 인코딩된 바이너리임을 확인합니다

DevTools Network tab filtered to zeronaught showing GET script load and POST telemetry beacons

CSD 텔레메트리 비콘은 F5가 운영하는 인프라(*.zeronaught.com 도메인)로 전송되는 POST 요청입니다. 반면, 악의적인 폼재킹 스크립트는 탈취한 데이터를 공격자가 제어하는 도메인으로 유출합니다 — 일반적으로 fetch(), XMLHttpRequest, 또는 이미지 비콘(new Image().src)을 통해 이루어집니다.

CSD 비콘과 공격 데이터 탈취 모두 교차 출처 요청이지만, 핵심 차이점은 목적지와 내용입니다: CSD는 알려진 F5 인프라로 스크립트 동작 메타데이터를 전송하는 반면, 데이터 탈취는 사용자가 입력한 데이터(비밀번호, 카드 번호)를 공격자 서버로 전송합니다. 이 차이점은 CSD가 공격을 감지하는 방식의 핵심입니다 — CSD가 관찰할 수 있는 것과 없는 것에 대해서는 CSD 기능 — 탐지 경계를 참조하십시오.