reCAPTCHA의 다음 단계, Google Cloud Fraud Defense: AI 에이전트 시대의 보안 플랫폼 (cloud.google.com)
목차(4)
한줄 요약
reCAPTCHA가 AI 에이전트까지 검증하는 통합 사기 방어 플랫폼으로 진화했다.
Google이 Google Cloud Next '26에서 'Google Cloud Fraud Defense'를 공개했다. 기존 reCAPTCHA를 계승하면서도, 자율 AI 에이전트가 복잡한 거래를 수행하는 '에이전틱 웹' 환경에 대응하기 위해 설계된 차세대 보안 플랫폼이다. 봇 탐지 중심이었던 reCAPTCHA와 달리, Fraud Defense는 인간·봇·AI 에이전트 세 가지 행위자를 동시에 식별하고 신뢰 수준을 판단한다.
무엇이 달라지나?
에이전틱 웹이라는 새로운 위협 지형
AI 에이전트가 사용자 대신 쇼핑, 결제, 계정 관리 등을 자율적으로 수행하는 환경이 확산되면서, 기존의 "인간이냐 봇이냐"라는 이분법적 보안 모델은 한계에 부딪혔다. 합법적인 AI 쇼핑 어시스턴트와 악의적인 자동화 공격을 어떻게 구분할 것인가. Fraud Defense는 바로 이 질문에 답하기 위해 설계됐다.
3가지 핵심 신기능
첫째, 에이전틱 활동 측정 대시보드다. Web Bot Auth, SPIFFE 등 업계 표준 프로토콜과 기존 탐지 방식을 통합해 에이전틱 트래픽을 분류하고 분석한다. 에이전트와 사람의 신원을 연결해 리스크 맥락을 파악하는 구조다.
둘째, 에이전틱 정책 엔진이다. 리스크 점수, 자동화 유형, 에이전트 신원 등 다양한 조건을 기반으로 특정 에이전트나 사용자를 허용하거나 차단하는 세밀한 제어가 가능하다. 사용자 여정의 단계별로 정책을 다르게 적용할 수 있다는 점이 핵심이다.
셋째, AI 저항성 챌린지다. 의심스러운 에이전트 행동이 감지되면, QR 코드 기반 챌린지를 통해 실제 인간의 개입을 요구한다. 자동화된 공격을 경제적으로 실행 불가능하게 만드는 것이 목표다. 기존 텍스트 왜곡 방식의 CAPTCHA보다 AI 우회 시도에 강한 구조다.
기존 reCAPTCHA 고객에게 미치는 영향
reCAPTCHA는 Fraud Defense 플랫폼의 핵심 봇 방어 레이어로 그대로 유지된다. 기존 고객은 별도 마이그레이션 없이 자동으로 Fraud Defense 고객이 되며, 사이트 키, 가격 정책, 기존 통합 방식도 변경되지 않는다. 서비스 측면에서 즉각적인 조치가 필요하지 않다는 점은 현업 개발자에게 긍정적인 신호다.
실무에서 어떤 의미인가?
규모의 신뢰 그래프
Fraud Defense의 핵심 강점은 개별 사이트의 로컬 데이터를 넘어선 집단 면역 구조에 있다. Fortune 100 기업의 50%, 전 세계 1,400만 개 이상의 도메인을 이미 보호하고 있는 Google의 사기 인텔리전스 그래프를 기반으로 작동한다. 단일 서비스가 독자적으로 구축할 수 없는 수준의 신호 풍부도를 확보하는 것이다.
여정 전체를 바라보는 보안 모델
공격자는 단일 엔드포인트를 노리지 않는다. 회원가입 → 로그인 → 결제 → 체크아웃으로 이어지는 전체 여정을 노린다. Fraud Defense는 이 전 주기에 걸쳐 텔레메트리를 상관 분석해 멀티 스테이지 공격을 탐지한다. 이 통합 신뢰 모델은 계정 탈취(ATO)를 평균 51% 줄이는 효과를 보인 것으로 보고됐다.
전환율과 보안의 균형
보안 강화가 사용자 경험을 해친다는 고정관념에 대한 반론이기도 하다. 대다수 정상 사용자에게는 눈에 보이지 않는 백그라운드 검증만 적용되고, 의심 트래픽에만 선택적으로 챌린지가 발동된다. AI 쇼핑 어시스턴트처럼 합법적인 에이전트를 적극적으로 환영하는 구조는, 2025 Shopify Retail Report에서 언급된 평균 주문 금액 25% 상승 가능성과도 맞닿는다.
도입 전 체크포인트
Fraud Defense를 본격적으로 활용하려는 팀이라면 아래 사항을 먼저 점검하는 것이 현명하다.
1. 에이전틱 트래픽의 현황 파악부터 현재 서비스에 AI 에이전트 기반 트래픽이 얼마나 유입되고 있는지 정량적으로 파악하고 있는가. 새 대시보드를 도입하기 전에 기존 로그와 비교 기준선을 확보해 두어야 한다.
2. 정책 엔진의 조건 설계 준비 에이전틱 정책 엔진은 강력하지만, 조건 설계가 부실하면 정상 에이전트를 차단하는 오탐(False Positive)이 발생할 수 있다. 허용해야 할 에이전트 유형, 차단해야 할 시나리오를 사전에 문서화해야 한다.
3. QR 코드 챌린지의 UX 검토 모바일 환경과 데스크톱 환경에서 QR 코드 챌린지가 어떻게 노출되는지 실제 사용자 흐름을 기준으로 테스트해야 한다. 챌린지 발동 빈도가 너무 높으면 오히려 정상 사용자의 전환율을 낮출 수 있다.
4. Web Bot Auth / SPIFFE 통합 가능 여부 확인 Fraud Defense가 통합하는 업계 표준 프로토콜을 자사 인프라에서 지원 가능한지 미리 확인해두면 향후 정책 정밀도를 높이는 데 유리하다.
자주 묻는 질문
Q.기존 reCAPTCHA를 사용 중인데, Fraud Defense로 전환하려면 무엇을 해야 하나?
별도의 마이그레이션 작업이나 추가 조치는 필요하지 않다. 기존 reCAPTCHA 고객은 자동으로 Fraud Defense 고객으로 전환된다. 사이트 키, 기존 통합 코드, 가격 정책 모두 그대로 유지된다. 다만 에이전틱 대시보드나 정책 엔진 같은 신규 기능을 활용하려면 콘솔에서 직접 설정해야 한다.
Q.AI 에이전트가 우리 서비스에 접근하는 것을 완전히 차단할 수도 있나?
에이전틱 정책 엔진을 통해 특정 에이전트 유형을 조건에 따라 차단하는 것은 가능하다. 그러나 Fraud Defense의 설계 철학은 '모든 에이전트를 차단'이 아니라 '신뢰할 수 있는 에이전트는 허용하고, 악의적인 에이전트만 차단'하는 방향이다. 리스크 점수와 에이전트 신원을 기반으로 세밀하게 정책을 조정하는 것이 권장된다.
Q.QR 코드 챌린지는 기존 CAPTCHA 방식과 어떻게 다른가?
기존 텍스트 왜곡 방식의 CAPTCHA는 AI 기술 발전으로 자동 우회가 가능해졌다. QR 코드 챌린지는 화면에 표시된 코드를 실제 모바일 기기로 스캔해야 하므로, 순수 자동화 환경에서는 물리적으로 수행이 어렵다. 이를 통해 자동화 공격을 경제적으로 실행 불가능한 수준으로 만드는 것이 목표다. 다만 헤드리스 브라우저 환경이나 특수한 공격 시나리오에 대한 추가 검증은 시간을 두고 지켜볼 필요가 있다.
관련 아티클
관련 사례
이 글의 키워드와 맞닿은 실제 개발 사례를 함께 보세요.
반려견 헬스케어·커머스·보험 통합 올인원 펫 플랫폼
산책 활동 데이터 기반 리워드 생태계로 펫 용품 쇼핑과 보험 가입까지 완결되는 올인원 플랫폼
실시간 영상·GPS 추적 기반 반려동물 돌봄 O2O 중개 플랫폼
WebRTC 실시간 영상 스트리밍과 GPS 경로 추적을 결합해 반려동물 돌봄에 대한 신뢰 장벽을 허문 O2O 펫시터 매칭 서비스
캠핑카·세컨하우스 직거래 플랫폼 전면 리뉴얼
노후화된 PHP 레거시 코드를 정리하고, 동산(캠핑카)과 부동산(세컨하우스)이라는 이질적 매물을 하나의 플랫폼에서 통합 관리할 수 있도록 전면 개편한 직거래 플랫폼 리뉴얼 프로젝트