본문으로 건너뛰기
J
피드

구글, 에이전트 웹 시대용 사기 방어 플랫폼 ‘Fraud Defense’ 공개

security 약 7분
tags
#recaptcha#fraud#ai-agent#bot#security
vote
0
댓글
북마크

구글 클라우드가 reCAPTCHA의 다음 단계로 Google Cloud Fraud Defense를 공개했어. 사람, 봇, AI 에이전트를 구분하고 위험도를 기반으로 허용·차단 정책을 걸 수 있게 만든 신뢰 플랫폼이 핵심이야. 기존 reCAPTCHA 고객은 별도 마이그레이션 없이 자동으로 Fraud Defense 고객이 되고, 가격이나 사이트 키도 그대로 유지돼.

  • 1

    AI 에이전트가 웹에서 구매·예약·결제까지 수행하는 흐름을 전제로 한 보안 플랫폼

  • 2

    Web Bot Auth, SPIFFE 같은 표준과 구글의 글로벌 신호를 활용해 에이전트 트래픽을 식별

  • 3

    위험 점수, 자동화 유형, 에이전트 신원 기반으로 여정 단계별 정책 제어 가능

  • 4

    QR 코드 기반 챌린지로 자동화 사기를 경제적으로 불리하게 만드는 접근

  • 5

    구글은 Fortune 100 기업의 50%, 전 세계 1,400만 개 이상 도메인을 보호하는 사기 인텔리전스를 강조

reCAPTCHA가 이제 ‘사람 확인’만 하는 시대는 끝났다는 얘기

  • 구글 클라우드가 Google Cloud Next에서 Google Cloud Fraud Defense를 공개함. 이름만 보면 사기 방어 제품 같지만, 실제 포지션은 reCAPTCHA의 다음 단계에 가까움

    • 기존 reCAPTCHA는 사람과 봇을 구분하는 데 초점이 있었고, Fraud Defense는 여기에 AI 에이전트까지 끼워 넣음
    • 구글이 말하는 전제는 ‘에이전트 웹’임. AI 에이전트가 웹에서 추론하고, 계획하고, 표준 프로토콜로 실제 거래까지 실행하는 환경을 말함

  • 핵심 문제는 이거임. 앞으로 웹사이트 입장에서는 “이 요청이 사람인가?”만 물어서는 부족함

    • 정상 사용자의 쇼핑 비서 AI일 수도 있고, 계정 탈취를 노리는 자동화 봇일 수도 있음
    • 심지어 사람이 직접 하는 사기, 봇 자동화, AI 기반 합성 신원 사기가 한 여정 안에서 섞일 수 있음

중요

> 구글은 Fraud Defense가 Fortune 100 기업의 50%와 전 세계 1,400만 개 이상 도메인을 보호하는 사기 인텔리전스 그래프를 기반으로 한다고 강조함. 로컬 로그만 보는 보안 솔루션과 차별화하려는 지점이 여기임.

새 기능은 에이전트 트래픽을 ‘측정하고, 정책으로 제어하고, 필요하면 사람을 끼워 넣는’ 쪽

  • 첫 번째는 에이전트 활동 측정 대시보드임

    • 사이트에 들어오는 에이전트 활동을 식별·분류·분석하는 기능을 제공함
    • Web Bot Auth, SPIFFE 같은 업계 표준을 통합하고, 기존 방식도 함께 써서 에이전트 트래픽을 판단함
    • 에이전트 신원과 사람 신원을 연결해 위험도와 신뢰도를 더 잘 보겠다는 방향임

  • 두 번째는 에이전트 정책 엔진임. 이제 봇 방어가 단일 차단 버튼이 아니라 여정별 정책 제어로 바뀌는 그림임

    • 회원가입, 로그인, 결제, 체크아웃 같은 단계마다 다른 정책을 둘 수 있음
    • 위험 점수, 자동화 유형, 에이전트 신원 같은 조건을 조합해 허용하거나 차단할 수 있음
    • 예를 들어 신뢰된 쇼핑 에이전트는 통과시키고, 이상한 자동화 패턴은 결제 직전에 막는 식의 운영이 가능해짐

  • 세 번째는 AI-resistant challenge, 즉 AI가 풀기 어렵게 만든 챌린지임

    • 구글은 QR 코드 기반 챌린지를 새로 제시함
    • 의심스러운 에이전트 요청이 들어오면 “진짜 사람이 루프 안에 있는지” 확인하는 방식임
    • 목적은 악성 자동화의 비용을 올려서, 대규모 사기를 경제적으로 안 맞게 만드는 것임

💡

> 기존 reCAPTCHA 고객은 마이그레이션이 필요 없다고 함. 사이트 키, 통합 방식, 가격이 그대로 유지되고 자동으로 Fraud Defense 고객이 되는 구조라 운영 부담을 낮추려는 메시지가 강함.

구글이 보는 사기 방어의 기준도 바뀌고 있음

  • 구글은 공격자가 더 이상 단일 엔드포인트만 노리지 않는다고 봄

    • 공격은 가입에서 로그인, 결제, 체크아웃까지 이어지는 전체 디지털 여정을 타깃으로 함
    • 에이전트가 end-to-end 작업을 수행하는 시대에는 이 문제가 더 커짐

  • 그래서 Fraud Defense는 전체 고객 여정의 텔레메트리를 묶어 하나의 신뢰 모델로 본다고 설명함

    • 분리된 포인트 솔루션이 놓치는 다단계 사기 캠페인을 잡겠다는 주장임
    • 구글은 이 접근으로 계정 탈취(ATO)를 평균 51% 줄인 사례를 제시함

  • 동시에 구글은 “마찰을 줄여야 전환율이 산다”는 커머스 쪽 논리도 같이 밀고 있음

    • 대부분의 정상 사용자는 조용한 백그라운드 검증만 거치게 만들겠다는 방향임
    • 퍼즐을 계속 던지는 대신, 악성 봇·사람·에이전트만 외과적으로 막겠다는 얘기임
    • 2025 Shopify Retail Report 기준으로 AI 쇼핑 어시스턴트가 평균 주문 금액을 25% 높일 것으로 전망된다는 숫자도 붙였음

  • 정리하면, Fraud Defense는 ‘AI 에이전트 = 무조건 차단’이 아니라 ‘좋은 에이전트는 받아들이고, 나쁜 자동화는 막자’는 제품임

    • 이게 꽤 중요함. 앞으로 커머스나 SaaS 서비스는 AI 에이전트를 막기만 하면 매출 기회를 놓칠 수 있음
    • 반대로 아무나 열어주면 계정 탈취, 결제 사기, 가짜 신원 공격이 더 싸고 빠르게 들어올 수 있음

기술 맥락

  • 여기서 구글이 고른 선택은 CAPTCHA를 더 어렵게 만드는 게 아니라, 신원과 리스크를 여정 전체에서 판단하는 쪽이에요. AI가 이미지 퍼즐을 잘 풀게 된 상황에서는 “문제를 더 꼬기”보다 “누가, 어떤 맥락에서, 어떤 행동을 하는가”를 보는 게 더 오래 가거든요.

  • Web Bot Auth나 SPIFFE 같은 표준을 언급한 것도 같은 맥락이에요. 모든 자동화를 악성으로 취급하면 쇼핑 에이전트 같은 정상 트래픽까지 날아가니까, 에이전트가 자신을 식별하고 서비스가 그 신뢰도를 정책에 반영하는 구조가 필요해요.

  • QR 코드 챌린지는 마지막 방어선에 가까워요. 의심스러운 요청에서 사람을 루프 안에 넣어 자동화 비용을 올리는 방식인데, 핵심은 사용자 전체에게 마찰을 주지 않고 위험한 요청에만 비용을 부과하는 거예요.

  • 개발팀 입장에서는 로그인이나 결제 API 하나만 막는 문제가 아니라, 가입부터 체크아웃까지 이벤트를 연결해 보는 관측 체계가 중요해져요. Fraud Defense가 말하는 51% 계정 탈취 감소도 이 여정 기반 상관분석이 있어야 가능한 숫자에 가까워요.

이건 단순히 CAPTCHA를 좀 더 똑똑하게 만든 수준이 아니라, AI 에이전트가 정상 고객인지 공격자인지 판별해야 하는 시대를 겨냥한 제품이야. 쇼핑 에이전트는 받아들이고 사기 자동화는 막아야 하니, 앞으로 보안팀과 커머스팀이 같은 리스크 모델을 보게 될 가능성이 커졌어.

prev

이전 기사 (P)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

플록 번호판 인식 시스템, 경찰서장들의 사적 추적 사례로 영장 논쟁 재점화

미국에서 경찰서장들이 플록의 번호판 인식 시스템을 이용해 전 연인, 경쟁자, 지인을 추적한 사례가 잇따라 드러났어. 원문은 이 문제가 단순한 일탈이 아니라, 강력한 위치 추적 기술에 사전 영장 심사가 필요한 이유를 보여준다고 주장해.

security

덴마크 프라이버시 활동가, 경찰 압수수색에서 카메라 전원부터 끊겼다고 주장

덴마크 프라이버시 활동가이자 전직 경찰인 라르스 안데르센은 무장·복면 경찰이 예고 없이 문을 부수고 들어와 체포했고, 먼저 차단기 패널로 가서 라우터 전원을 끊었다고 주장했어. 그는 총리의 사회보장번호와 전화번호를 암시적으로 공개한 일, 그리고 암호화 금지와 대량 감시 정책을 비판한 활동이 배경이라고 설명해.

security

“얼굴 인증”이라는 이름의 인터넷 신분증 검사를 거부해야 하는 이유

글쓴이는 온라인 연령 확인이 실제로는 모두에게 신분증과 얼굴 생체정보를 요구하는 인터넷 신원 추적 시스템이 되고 있다고 비판해. 아이들 보호라는 명분은 이해하지만, 그 방식이 얼굴·여권·운전면허증 같은 바꿀 수 없는 정보를 거대 데이터베이스에 쌓는 구조라 위험하다는 주장임.

security

정부, 개인정보 유출된 ‘모두의 창업’ 참가자 5천 명 아이디어 보호 지원

중소벤처기업부가 개인정보 유출 사고가 난 ‘모두의 창업’ 프로젝트와 관련해 선정자 5천 명 전원에게 아이디어 보호 대책을 제공하기로 했다. 영업비밀 원본증명 등록, 기술임치, 지식재산·특허 전문 변호사 상담, 보안 점검과 수사 의뢰까지 포함된 후속 조치다.

security

중국 AI 모델이 미국 정부 맥락에서 더 취약한 코드를 만든다는 보고서 논란

부즈앨런 해밀턴이 중국산 대규모 언어 모델(LLM)이 미국 정부 관련 작업이라고 인식할 때 더 많은 보안 취약점을 담은 코드를 생성할 수 있다고 주장했음. 큐원은 해당 맥락에서 취약점 수가 130% 늘었고, 미니맥스는 20%, 딥시크는 약 5% 증가했다는 결과가 나왔지만, 전문가들 사이에선 실험 설계와 일반화 가능성을 두고 의견이 갈림.