Google Cloud Fraud Defense, reCAPTCHA의 다음 진화 단계

 (cloud.google.com)
1P by GN⁺ 3시간전 | ★ favorite | 댓글 1개
  • Google Cloud가 Google Cloud Fraud Defense를 출시했으며, reCAPTCHA의 다음 진화 단계로 에이전트형 웹을 위한 신뢰 플랫폼을 내세움
  • Fraud Defense는 봇, 사람, AI 에이전트의 정당성을 검증하고, 기업이 디지털 상호작용과 상거래를 보호하는 데 필요한 인텔리전스를 제공하도록 설계됨
  • 새로운 대시보드와 에이전트형 정책 엔진으로 웹사이트의 에이전트형 활동을 측정·분류·제어하고, 위험 점수·자동화 유형·에이전트 신원에 따라 허용이나 차단이 가능함
  • 에이전트에서 잠재적 사기 행위가 식별되면 QR 코드 기반 챌린지로 사람이 개입해 존재를 증명하게 하며, 자동화된 사기를 경제적으로 어렵게 만드는 것을 목표로 함
  • 기존 reCAPTCHA 고객은 자동으로 Fraud Defense 고객이 되며, 마이그레이션·별도 조치·가격 변경 없이 기존 사이트 키와 통합이 그대로 유지됨

에이전트형 웹의 신뢰 플랫폼

  • Google Cloud가 Google Cloud Next에서 Google Cloud Fraud Defense를 출시함
  • Fraud Defense는 reCAPTCHA의 다음 진화 단계로, 에이전트형 웹(agentic web) 을 위한 신뢰 플랫폼임
  • 자율 AI 에이전트가 공개 웹과 업계 표준 프로토콜을 사용해 추론, 계획, 복잡한 거래를 실행하면서 온라인 상호작용을 강화할 수 있지만, 새로운 남용과 사기 벡터도 만들어냄
  • Fraud Defense는 Google 자체 생태계를 보호하는 전역 신호를 활용해 기업이 사람 사용자와 AI 에이전트 모두에게 신뢰할 수 있는 경험을 제공할 수 있게 함

에이전트형 트래픽 측정과 제어

  • Fraud Defense는 고객이 웹사이트의 에이전트형 활동을 측정하고 제어할 수 있는 기능 묶음을 제공함

  • 에이전트형 활동 측정

    • 새로운 대시보드로 에이전트형 활동을 측정하고 이해할 수 있게 함
    • Web Bot Auth, SPIFEE 같은 업계 표준과 기존 방식을 함께 사용해 에이전트형 트래픽을 식별, 분류, 분석함
    • 에이전트 신원과 사람 신원을 연결해 위험과 신뢰를 더 잘 파악할 수 있게 함

  • 에이전트형 정책 엔진

    • 최종 사용자 상호작용의 여러 단계와 전체 여정에서 더 세밀한 제어를 제공함
    • Fraud Defense의 에이전트형 정책 엔진은 위험 점수, 자동화 유형, 에이전트 신원 같은 조건을 기반으로 에이전트와 사용자를 허용하거나 차단할 수 있게 함

  • AI 저항형 챌린지

    • 에이전트에서 잠재적 사기 행위가 식별되면 애플리케이션 제공자가 새 QR 코드 기반 챌린지로 악성 요청을 억제하고 완화할 수 있게 함
    • 이 챌린지는 사람이 개입해 존재를 증명하도록 요청하며, 자동화된 사기를 경제적으로 불가능하게 만드는 것을 목표로 설계됨

기존 reCAPTCHA 고객에게 미치는 영향

  • reCAPTCHA는 더 넓은 Fraud Defense 플랫폼의 핵심 봇 방어 축으로 계속 유지됨
  • 기존 reCAPTCHA 고객은 자동으로 Fraud Defense 고객이 됨
  • 마이그레이션이 필요 없고, 별도 조치도 필요 없으며, 가격 변경도 없음
  • 기존 사이트 키와 통합은 현재와 정확히 동일하게 유지됨

에이전트형 웹을 위한 세 가지 접근

  • 에이전트형 웹에서 사기와 남용을 막는 일은 근본적으로 더 단순한 고객 경험으로 이어져야 함
  • Fraud Defense는 안전한 에이전트형 웹을 가능하게 하고 비즈니스 성장을 지원하기 위해 세 가지 접근을 사용함

  • 진화하는 위협 방지

    • Fraud Defense는 Google의 여러 서비스를 보호하는 데 쓰이는 사기 인텔리전스로 기업을 보호함
    • 위협이 봇 자동화와 무효 트래픽에서 에이전트 탈취, 대규모 AI 기반 합성 신원 사기로 이동하는 가운데, 사이트에 도달하기 전에 새롭게 등장하는 위협을 식별함
    • 이 가시성은 Fortune 100 기업의 50%와 전 세계 1,400만 개 이상 도메인을 이미 보호하는 대규모 사기 인텔리전스 그래프에 기반함
    • 로컬 데이터만으로는 맞추기 어려운 수준의 집단 면역과 검증된 신뢰를 제공함

  • 고객 여정 보호

    • 공격자는 엔드포인트를 따로 노리지 않고 디지털 여정을 노림
    • 에이전트가 엔드투엔드 여정을 수행하도록 맡겨지는 에이전트형 웹에서는 이 성격이 더 강해짐
    • Fraud Defense는 등록, 로그인, 결제, 체크아웃까지 위험을 통합적으로 볼 수 있게 함
    • 전체 생명주기에서 원격 측정 데이터를 상관분석해 분리된 포인트 솔루션이 놓치는 복잡한 다단계 사기 캠페인을 식별함
    • 이 통합 신뢰 모델은 합법적인 고객 활동과 정교한 남용을 구분해 계정 탈취(ATO)를 평균 51% 줄인 것으로 나타남

  • 비즈니스 성장 가속

    • 에이전트형 경제에서는 마찰이 전환을 떨어뜨림
    • Fraud Defense는 대부분의 사용자에게 보이지 않도록 설계됐으며, 방해가 되는 퍼즐을 조용한 백그라운드 검증으로 대체함
    • 지능형 신뢰 모델을 사용해 악성 봇, 사람, 에이전트를 정밀하게 차단하면서 합법적인 사용자를 받아들일 수 있게 함
    • 2025 Shopify Retail Report에 따르면 AI 쇼핑 어시스턴트는 평균 주문 금액을 25% 높일 것으로 전망됨

추가 확인 경로

함께 보면 좋은 글 β

GN⁺ 3시간전  [-]
Hacker News 의견들

  • 모바일 기기 요구사항은 여기 나와 있음: https://support.google.com/recaptcha/answer/16609652
    앞으로 웹을 탐색하려면 Google Play Services가 설치된 최신 Android 기기나 최신 iPhone/iPad가 필요해질 것처럼 보임
    아직 기기 무결성 검증은 언급되지 않았지만, 방향은 이미 뻔해 보임

    • Google Play Services가 요구사항에 들어가 있다면, Play Integrity 증명이 가능한 인증된 Android 기기가 필요하다는 뜻으로 봐야 함
      Google Play Services를 얻는 공식 지원 경로가 그것뿐이기 때문임
      이런 소비자용 지원 문서에서는 어떤 API를 쓰는지 같은 세부 구현까지 쓰지 않는 편이고, MEETS_DEVICE_INTEGRITY가 필요하더라도 여기 명시되지 않을 가능성이 큼
      예를 들어 Google Pay 소비자 문서도 “인증된” Android 기기와 화면 잠금이 필요하다고만 씀: https://support.google.com/wallet/answer/12200245
      FAQ 끝까지 파고들면 루팅한 휴대폰에서는 탭 결제를 못 쓴다고 나오긴 하지만, 그 요구사항은 인증 요구사항에 이미 포함된 셈임 [1]
      Google의 관점에서도, Google이 등록한 상표 때문에 법적으로도 Android == Google Android임
      이 기능이 기기 증명을 쓰지 않는다면 쉽게 속일 수 있어서 별 의미가 없고, 처음에는 안 쓰다가 앞으로 몇 년 안에 A/B 테스트로 기기 증명을 넣기 시작할 것 같음
      [1] “What to do if you see device is not certified” -> “Reset device to fix issue” 펼치기 https://support.google.com/android/answer/7165974
    • GrapheneOS 여정이 더 흥미진진해지겠음
      웹 탐색을 위해 사용자를 공식 Google 신원 확인 절차로 밀어 넣는다는 게 정말 거칠다
      iPhone용 reCAPTCHA 앱도 Google 계정 로그인을 강제하나?
      웹이 익명성을 잃는 데 신분증 검증까지는 필요 없었던 셈임
    • 이 방식도 두 기기 모두에서 Bluetooth를 켜야 할 것 같음
      적어도 컴퓨터에 표시된 QR 코드를 스캔해 휴대폰의 passkey로 인증하는 기능은 그렇고, 이 기능도 비슷해 보임
      Bluetooth는 두 기기가 실제로 물리적으로 같은 장소에 있는지 확인하는 데 쓰임
    • 웹사이트 트래픽을 받고 싶다면 이제 reCAPTCHA 사용을 중단해야 할 수도 있음
      물론 다들 순순히 굴복하겠지만, 몇 분만이라도 꿈꾸게 해 달라
    • 몇 년 전부터 스마트폰으로 웹을 탐색하는 건 말이 안 된다고 해왔음
      결국 상황이 충분히 나빠지면 사람들이 내 말에 동의하게 될 것임

  • QR 코드 기반 챌린지를 사기 방어의 “에이전트식” 방법으로 홍보한다는 게 믿기지 않음
    사람이 읽을 수 없는 데이터를 입력하게 만드는 건 위험하고, QR 코드가 제로데이 URL로 오염되기라도 하면 끝장임
    요즘 QR 코드가 어디에나 있다는 건 알지만, URL에 접근하려고 QR 코드를 눈감고 스캔하는 건 인터넷에서 내려받은 바이너리를 실행하는 것과 비슷함
    curl $URL | bash 설치 방식도 본질적으로 딱 그렇지만, 어쩐지 널리 퍼져버렸음

  • 구매하려면 QR 코드를 스캔하라고 요구하는 회사에서는 구매하지 않을 것

    • 중국에서는 오래 못 버틸 듯함
      거긴 사실상 어디서나 QR 코드를 스캔해서 결제함
    • 많은 매장 식당이 QR 코드 주문을 강제함
      코로나 때 시작됐지만 계속 남아 있고, 내 경험상 특히 미국 밖에서 더 자주 봄
    • 곧 올 것임
      Poshmark 멍청이들은 35달러짜리 셔츠를 사는데 정부 발급 신분증을 요구했음
      오래된 계정이고, 주소도 신용카드와 일치했는데도 그랬음
      답은 계정 삭제뿐임

  • QR 코드 기능은 사람들이 익숙해지고 나면 속여서 Pegasus 배포 수단으로 만들 수 있어 보임

    • QR 코드 스캔 → “captcha 앱”이 설치되어 있지 않다며 Play Store로 자동 리디렉션 → Google Play의 형편없는 심사 때문에 악성코드 다운로드 → 이득
      이 생각을 내가 처음 한 건 아닐 텐데?
    • 전반적으로 한숨이 나오고, 모든 걸 조금씩 더 나쁘게 만든 우리의 “선구적인 리더들”에게 감사하게 됨
      그래도 그 대가로 AI 낙원이 오고 있는 거 맞지?
      맞지?

  • 진지하게 묻고 싶은데, 스마트폰이 없으면 어떻게 됨?

    • 그건 네가 농노라서 중요하지 않다는 뜻임
      걱정할 필요는 없음
      통신사들과 협력해서 네 예산에 맞는 기기를 보조금으로 제공하고, 가능한 모든 기회에 살 수 있게 만들 것임
    • 사회 전반의 태도는 대충 “알아서 꺼져라”에 가까워 보임
      그리고 새 기기도 사야 할 것임
      많은 것들이 앱 전용이거나 그 방향으로 이동 중이고, 특정 국가로 여행하는 것까지 포함됨

  • 모바일 기기가 이제 “인간임”을 증명하는 데 필수가 됐다는 건, Google이 더 이상 데스크톱/개방형 플랫폼을 신뢰하지 않는다는 뜻임

    • 그게 어디에 명시돼 있음?
      원문에서는 못 찾겠음
    • 누가 그걸 신뢰하긴 하나?
      내가 보기엔 신뢰받는 데스크톱 플랫폼은 macOS 정도뿐임

  • 타이밍이 참 웃김
    지난 일주일 동안 주소창에서 검색할 때마다 CAPTCHA에 시달리다가, 두 시간도 안 전에 전부 DuckDuckGo로 바꿨음
    잘했다, Google!

  • 휴대폰 사용을 점점 줄이려고 하는 중임
    이상적으로는 피처폰으로 바꾸고 싶기까지 함
    하지만 모든 웹사이트가 인증된 스마트폰으로 QR 코드 스캔을 요구하기 시작하면 이런 전략 때문에 거의 불가능해질 것임

    • 그래서 더 많은 사람들이 자신들이 사는 휴대폰 중심 생활에도 대안이 있다는 걸 빨리 깨달아야 함
      휴대폰 보유는 의무가 아니고, 의무가 되어서도 안 됨
      정치인들도 좀 깨어나야 함

  • Google은 분명히 Google이 승인한 모델만 웹을 돌아다니게 만들고 싶어 함

답변달기