reCAPTCHA가 'Google Cloud Fraud Defense'로 진화한다 — AI 에이전트 시대의 사기 탐지 (cloud.google.com)
목차(4)
한줄 요약
reCAPTCHA가 AI 에이전트까지 검증하는 통합 사기 방어 플랫폼 'Fraud Defense'로 진화했다.
Google은 2026년 Google Cloud Next에서 Google Cloud Fraud Defense를 공식 발표했다. 이는 단순히 reCAPTCHA의 이름을 바꾼 게 아니라, 자율 AI 에이전트가 웹에서 직접 거래를 수행하는 '에이전틱 웹(Agentic Web)' 환경에 대응하기 위해 플랫폼 자체의 역할을 재정의한 것이다. 기존 봇 탐지에서 나아가, AI 에이전트의 신원 검증과 행동 제어까지 범위가 확장됐다.
무엇이 달라지나?
reCAPTCHA는 본래 '사람인지 봇인지'를 구분하는 데 초점이 맞춰져 있었다. 그런데 AI 에이전트가 쇼핑, 예약, 결제 같은 엔드투엔드 여정을 직접 수행하기 시작하면서, 기존 이분법적 구분은 더 이상 유효하지 않다. Fraud Defense는 이 세 가지 주체 — 봇, 인간, AI 에이전트 — 를 모두 식별하고 각각에 맞는 신뢰 정책을 적용한다.
핵심 기능은 세 가지다.
에이전틱 활동 측정(Agentic Activity Measurement): Web Bot Auth, SPIFFE 같은 업계 표준 프로토콜을 통합해 에이전트 트래픽을 분류하고 분석하는 전용 대시보드를 제공한다. 단순한 트래픽 집계가 아니라, 에이전트 신원과 실제 사용자 신원을 연결해 리스크를 입체적으로 파악할 수 있다.
에이전틱 정책 엔진(Agentic Policy Engine): 사용자 여정의 각 단계마다 리스크 점수, 자동화 유형, 에이전트 신원을 기준으로 허용·차단 정책을 세밀하게 설정할 수 있다. 단일 엔드포인트 방어가 아닌, 전체 디지털 여정을 아우르는 통합 제어가 가능해진다.
AI 저항형 챌린지(AI-Resistant Challenge): 악성 에이전트로 판단될 경우, QR 코드 기반 챌린지를 통해 사람이 직접 개입하도록 요구한다. 자동화된 사기 시도를 경제적으로 비효율적으로 만드는 게 목적이다. 기존 CAPTCHA 퍼즐보다 AI 우회가 어렵도록 설계됐다.
실무에서 어떤 의미인가?
보안 담당자 입장에서 가장 주목할 부분은 기존 reCAPTCHA 통합이 그대로 유지된다는 점이다. 기존 사이트 키와 연동 코드를 바꿀 필요가 없고, 별도 마이그레이션 작업도 없다. 기존 reCAPTCHA 고객은 자동으로 Fraud Defense 고객이 된다. 운영 중인 서비스에 즉각적인 변경 비용이 발생하지 않는다는 의미다.
비즈니스 관점에서는 '마찰 최소화'가 핵심 가치다. Fraud Defense는 대다수 정상 사용자에게는 인증 과정 자체를 보이지 않게 처리하고, 의심스러운 트래픽에만 선택적으로 개입한다. Google에 따르면, 이 접근 방식이 계정 탈취(ATO) 사고를 평균 51% 줄이는 효과를 보였다고 한다. 또한 AI 쇼핑 에이전트를 신뢰된 주체로 인식해 정상 처리할 경우, 평균 주문 금액이 증가한다는 분석도 있다.
개발자 입장에서는 새로운 정책 엔진 API를 어떻게 설계에 녹여낼지가 과제다. 에이전트 트래픽을 '차단할 대상'이 아니라 '인증된 주체'로 다루는 아키텍처 전환이 필요하고, 이는 기존 보안 설계 관행과 꽤 다른 접근이다.
도입 전 체크포인트
Fraud Defense가 강력한 플랫폼이라도, 도입 전에 실무에서 짚어봐야 할 지점들이 있다.
에이전트 트래픽의 규모와 유형 파악부터 시작해야 한다. 현재 서비스에 AI 에이전트가 실제로 얼마나 접근하고 있는지 먼저 측정해야 정책 엔진 설정에 의미 있는 기준을 만들 수 있다. Fraud Defense 대시보드는 이 첫 단계 파악에 바로 활용 가능하다.
정책 설계는 점진적으로 적용해야 한다. 처음부터 공격적인 차단 정책을 설정하면 정상적인 AI 쇼핑 에이전트나 서드파티 자동화 도구까지 막힐 수 있다. 먼저 측정 모드로 운영하면서 트래픽 패턴을 파악하고, 단계적으로 정책을 강화하는 접근이 현실적이다.
QR 코드 챌린지의 UX 영향을 사전에 검토해야 한다. AI 저항형 챌린지는 사람의 개입을 요구하는 방식이므로, 모바일 환경이나 키오스크 기반 서비스에서는 사용자 경험에 미치는 영향을 별도로 평가해야 한다.
Web Bot Auth, SPIFFE 같은 표준 프로토콜 지원 여부를 확인해야 한다. Fraud Defense가 이 표준들을 통해 에이전트를 식별하므로, 자사 혹은 파트너사의 AI 에이전트가 해당 프로토콜을 지원하는지 확인이 필요하다.
자주 묻는 질문
Q.기존 reCAPTCHA를 사용 중이라면 Fraud Defense로 전환하기 위해 뭔가 해야 하나?
아무것도 하지 않아도 된다. 기존 reCAPTCHA 고객은 자동으로 Fraud Defense 플랫폼 고객이 되며, 사이트 키와 기존 연동 코드는 그대로 유지된다. 별도 마이그레이션이나 가격 변경도 없다. 다만 에이전틱 대시보드나 정책 엔진 같은 신규 기능을 활용하려면 콘솔에 접속해 추가 설정을 진행해야 한다.
Q.AI 에이전트가 QR 코드 챌린지를 우회할 수 없나?
QR 코드 챌린지는 스마트폰으로 QR을 스캔한 뒤 별도 기기에서 인증하는 구조다. 이 과정에서 물리적인 사람의 개입이 필요하기 때문에, 현재의 자동화 기술로는 직접 우회가 어렵다. 완전히 불가능하다고 단언할 수는 없지만, 자동화 공격의 경제적 비용을 크게 높이는 방향으로 설계된 것이다.
Q.Fraud Defense는 AI 에이전트를 기본적으로 차단하나, 허용하나?
기본 방향은 '검증된 에이전트는 허용'이다. Fraud Defense는 AI 쇼핑 에이전트처럼 정상적인 자동화 트래픽을 신뢰된 주체로 인식하고 통과시키는 것을 목표로 한다. 악의적인 에이전트와 합법적인 에이전트를 구분하는 것이 핵심이며, 일괄 차단이 아닌 리스크 기반 개별 판단을 적용한다. 정책 엔진을 통해 관리자가 기준을 직접 설정할 수 있다. 📌 원문: [Google Cloud Blog](https://cloud.google.com/blog/products/identity-security/introducing-google-cloud-fraud-defense-the-next-evolution-of-recaptcha/) 🔗 새로운 기술 도입이나 기술 검토가 필요하다면 → [삼태연구소에 문의하기](/contact)
관련 아티클
관련 사례
이 글의 키워드와 맞닿은 실제 개발 사례를 함께 보세요.
