본문으로 건너뛰기
J
피드

구글, 에이전트 웹 시대용 사기 방어 플랫폼 ‘Fraud Defense’ 공개

security 약 7분
tags
#recaptcha#fraud#ai-agent#bot#security
vote
0
댓글
북마크
원문 보기

구글 클라우드가 reCAPTCHA의 다음 단계로 Google Cloud Fraud Defense를 공개했어. 사람, 봇, AI 에이전트를 구분하고 위험도를 기반으로 허용·차단 정책을 걸 수 있게 만든 신뢰 플랫폼이 핵심이야. 기존 reCAPTCHA 고객은 별도 마이그레이션 없이 자동으로 Fraud Defense 고객이 되고, 가격이나 사이트 키도 그대로 유지돼.

  • 1

    AI 에이전트가 웹에서 구매·예약·결제까지 수행하는 흐름을 전제로 한 보안 플랫폼

  • 2

    Web Bot Auth, SPIFFE 같은 표준과 구글의 글로벌 신호를 활용해 에이전트 트래픽을 식별

  • 3

    위험 점수, 자동화 유형, 에이전트 신원 기반으로 여정 단계별 정책 제어 가능

  • 4

    QR 코드 기반 챌린지로 자동화 사기를 경제적으로 불리하게 만드는 접근

  • 5

    구글은 Fortune 100 기업의 50%, 전 세계 1,400만 개 이상 도메인을 보호하는 사기 인텔리전스를 강조

reCAPTCHA가 이제 ‘사람 확인’만 하는 시대는 끝났다는 얘기

  • 구글 클라우드가 Google Cloud Next에서 Google Cloud Fraud Defense를 공개함. 이름만 보면 사기 방어 제품 같지만, 실제 포지션은 reCAPTCHA의 다음 단계에 가까움

    • 기존 reCAPTCHA는 사람과 봇을 구분하는 데 초점이 있었고, Fraud Defense는 여기에 AI 에이전트까지 끼워 넣음
    • 구글이 말하는 전제는 ‘에이전트 웹’임. AI 에이전트가 웹에서 추론하고, 계획하고, 표준 프로토콜로 실제 거래까지 실행하는 환경을 말함

  • 핵심 문제는 이거임. 앞으로 웹사이트 입장에서는 “이 요청이 사람인가?”만 물어서는 부족함

    • 정상 사용자의 쇼핑 비서 AI일 수도 있고, 계정 탈취를 노리는 자동화 봇일 수도 있음
    • 심지어 사람이 직접 하는 사기, 봇 자동화, AI 기반 합성 신원 사기가 한 여정 안에서 섞일 수 있음

중요

> 구글은 Fraud Defense가 Fortune 100 기업의 50%와 전 세계 1,400만 개 이상 도메인을 보호하는 사기 인텔리전스 그래프를 기반으로 한다고 강조함. 로컬 로그만 보는 보안 솔루션과 차별화하려는 지점이 여기임.

새 기능은 에이전트 트래픽을 ‘측정하고, 정책으로 제어하고, 필요하면 사람을 끼워 넣는’ 쪽

  • 첫 번째는 에이전트 활동 측정 대시보드임

    • 사이트에 들어오는 에이전트 활동을 식별·분류·분석하는 기능을 제공함
    • Web Bot Auth, SPIFFE 같은 업계 표준을 통합하고, 기존 방식도 함께 써서 에이전트 트래픽을 판단함
    • 에이전트 신원과 사람 신원을 연결해 위험도와 신뢰도를 더 잘 보겠다는 방향임

  • 두 번째는 에이전트 정책 엔진임. 이제 봇 방어가 단일 차단 버튼이 아니라 여정별 정책 제어로 바뀌는 그림임

    • 회원가입, 로그인, 결제, 체크아웃 같은 단계마다 다른 정책을 둘 수 있음
    • 위험 점수, 자동화 유형, 에이전트 신원 같은 조건을 조합해 허용하거나 차단할 수 있음
    • 예를 들어 신뢰된 쇼핑 에이전트는 통과시키고, 이상한 자동화 패턴은 결제 직전에 막는 식의 운영이 가능해짐

  • 세 번째는 AI-resistant challenge, 즉 AI가 풀기 어렵게 만든 챌린지임

    • 구글은 QR 코드 기반 챌린지를 새로 제시함
    • 의심스러운 에이전트 요청이 들어오면 “진짜 사람이 루프 안에 있는지” 확인하는 방식임
    • 목적은 악성 자동화의 비용을 올려서, 대규모 사기를 경제적으로 안 맞게 만드는 것임

💡

> 기존 reCAPTCHA 고객은 마이그레이션이 필요 없다고 함. 사이트 키, 통합 방식, 가격이 그대로 유지되고 자동으로 Fraud Defense 고객이 되는 구조라 운영 부담을 낮추려는 메시지가 강함.

구글이 보는 사기 방어의 기준도 바뀌고 있음

  • 구글은 공격자가 더 이상 단일 엔드포인트만 노리지 않는다고 봄

    • 공격은 가입에서 로그인, 결제, 체크아웃까지 이어지는 전체 디지털 여정을 타깃으로 함
    • 에이전트가 end-to-end 작업을 수행하는 시대에는 이 문제가 더 커짐

  • 그래서 Fraud Defense는 전체 고객 여정의 텔레메트리를 묶어 하나의 신뢰 모델로 본다고 설명함

    • 분리된 포인트 솔루션이 놓치는 다단계 사기 캠페인을 잡겠다는 주장임
    • 구글은 이 접근으로 계정 탈취(ATO)를 평균 51% 줄인 사례를 제시함

  • 동시에 구글은 “마찰을 줄여야 전환율이 산다”는 커머스 쪽 논리도 같이 밀고 있음

    • 대부분의 정상 사용자는 조용한 백그라운드 검증만 거치게 만들겠다는 방향임
    • 퍼즐을 계속 던지는 대신, 악성 봇·사람·에이전트만 외과적으로 막겠다는 얘기임
    • 2025 Shopify Retail Report 기준으로 AI 쇼핑 어시스턴트가 평균 주문 금액을 25% 높일 것으로 전망된다는 숫자도 붙였음

  • 정리하면, Fraud Defense는 ‘AI 에이전트 = 무조건 차단’이 아니라 ‘좋은 에이전트는 받아들이고, 나쁜 자동화는 막자’는 제품임

    • 이게 꽤 중요함. 앞으로 커머스나 SaaS 서비스는 AI 에이전트를 막기만 하면 매출 기회를 놓칠 수 있음
    • 반대로 아무나 열어주면 계정 탈취, 결제 사기, 가짜 신원 공격이 더 싸고 빠르게 들어올 수 있음

기술 맥락

  • 여기서 구글이 고른 선택은 CAPTCHA를 더 어렵게 만드는 게 아니라, 신원과 리스크를 여정 전체에서 판단하는 쪽이에요. AI가 이미지 퍼즐을 잘 풀게 된 상황에서는 “문제를 더 꼬기”보다 “누가, 어떤 맥락에서, 어떤 행동을 하는가”를 보는 게 더 오래 가거든요.

  • Web Bot Auth나 SPIFFE 같은 표준을 언급한 것도 같은 맥락이에요. 모든 자동화를 악성으로 취급하면 쇼핑 에이전트 같은 정상 트래픽까지 날아가니까, 에이전트가 자신을 식별하고 서비스가 그 신뢰도를 정책에 반영하는 구조가 필요해요.

  • QR 코드 챌린지는 마지막 방어선에 가까워요. 의심스러운 요청에서 사람을 루프 안에 넣어 자동화 비용을 올리는 방식인데, 핵심은 사용자 전체에게 마찰을 주지 않고 위험한 요청에만 비용을 부과하는 거예요.

  • 개발팀 입장에서는 로그인이나 결제 API 하나만 막는 문제가 아니라, 가입부터 체크아웃까지 이벤트를 연결해 보는 관측 체계가 중요해져요. Fraud Defense가 말하는 51% 계정 탈취 감소도 이 여정 기반 상관분석이 있어야 가능한 숫자에 가까워요.

이건 단순히 CAPTCHA를 좀 더 똑똑하게 만든 수준이 아니라, AI 에이전트가 정상 고객인지 공격자인지 판별해야 하는 시대를 겨냥한 제품이야. 쇼핑 에이전트는 받아들이고 사기 자동화는 막아야 하니, 앞으로 보안팀과 커머스팀이 같은 리스크 모델을 보게 될 가능성이 커졌어.

prev

이전 기사 (P)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

크롬, 온디바이스 AI의 '구글 서버로 데이터 안 보냄' 문구 삭제 논란

크롬 설정 문구에서 온디바이스 AI가 데이터를 구글 서버로 보내지 않는다는 설명이 사라졌다는 레딧 제보가 올라옴. 제보자는 크롬 147 버전에는 해당 문구가 있었고, 148 버전에서는 삭제됐다고 주장함. 공식 해명이나 실제 데이터 전송 방식 변경 여부는 본문만으로 확인되지 않지만, 브라우저 내장 AI 기능의 프라이버시 설명이 얼마나 민감한 이슈인지 보여주는 사례임.

security

클라우드 방화벽도 이제 포스트 양자 암호 검증 대상임

시큐어아이큐랩이 클라우드 네이티브 방화벽(CNFW)을 대상으로 한 포스트 양자 암호(PQC) 독립 검증 방법론을 공개했음. TLS, 쿠버네티스 정책 집행, 생성AI 추론 엔드포인트, MCP 서버 보안까지 같이 본다는 점이 핵심임.

security

서비스나우 CTO “미토스급 AI가 오픈소스로 풀리면 해킹 속도 더 빨라진다”

서비스나우 CTO 펫 케이시는 앤스로픽의 AI 모델 ‘미토스’가 중국에서 재현돼 핵심 소스가 공개될 경우 사이버 공격 위험이 크게 커질 수 있다고 경고했다. 취약점이 발견된 뒤 실제 악용까지 이어지는 시간이 짧아지는 만큼, 자동화된 보안 대응 도구 없이는 상황이 빠르게 악화될 수 있다는 주장이다.

security

네이버클라우드, SSL/TLS 인증서 자동 갱신용 ACME 기능 출시

네이버클라우드가 Certificate Manager에 SSL/TLS 인증서 발급·갱신·폐지를 자동화하는 ACME 기능을 추가했다. 인증서 유효기간이 2029년 47일까지 줄어들 전망이라, 수동 갱신 운영은 점점 위험해지는 상황이다. 기존 유료 인증서 고객은 추가 비용 없이 사용할 수 있고, Certbot과 Win-acme 같은 오픈소스 클라이언트도 연동된다.

security

네이버클라우드, SSL/TLS 인증서 자동 관리 ACME 출시

네이버클라우드가 인증서 자동 발급, 갱신, 폐지를 지원하는 ACME 기능을 출시했다. 인증서 유효기간이 2029년 47일까지 줄어드는 흐름 속에서, 갱신 누락으로 인한 장애를 줄이고 온프레미스와 멀티 클라우드까지 자동화 범위를 넓히려는 서비스다.