--- title: "구글, 에이전트 웹 시대용 사기 방어 플랫폼 ‘Fraud Defense’ 공개" published: 2026-05-06T17:59:33.000Z canonical: https://jeff.news/article/2294 --- # 구글, 에이전트 웹 시대용 사기 방어 플랫폼 ‘Fraud Defense’ 공개 구글 클라우드가 reCAPTCHA의 다음 단계로 Google Cloud Fraud Defense를 공개했어. 사람, 봇, AI 에이전트를 구분하고 위험도를 기반으로 허용·차단 정책을 걸 수 있게 만든 신뢰 플랫폼이 핵심이야. 기존 reCAPTCHA 고객은 별도 마이그레이션 없이 자동으로 Fraud Defense 고객이 되고, 가격이나 사이트 키도 그대로 유지돼. ## reCAPTCHA가 이제 ‘사람 확인’만 하는 시대는 끝났다는 얘기 - 구글 클라우드가 Google Cloud Next에서 Google Cloud Fraud Defense를 공개함. 이름만 보면 사기 방어 제품 같지만, 실제 포지션은 reCAPTCHA의 다음 단계에 가까움 - 기존 reCAPTCHA는 사람과 봇을 구분하는 데 초점이 있었고, Fraud Defense는 여기에 AI 에이전트까지 끼워 넣음 - 구글이 말하는 전제는 ‘에이전트 웹’임. AI 에이전트가 웹에서 추론하고, 계획하고, 표준 프로토콜로 실제 거래까지 실행하는 환경을 말함 - 핵심 문제는 이거임. 앞으로 웹사이트 입장에서는 “이 요청이 사람인가?”만 물어서는 부족함 - 정상 사용자의 쇼핑 비서 AI일 수도 있고, 계정 탈취를 노리는 자동화 봇일 수도 있음 - 심지어 사람이 직접 하는 사기, 봇 자동화, AI 기반 합성 신원 사기가 한 여정 안에서 섞일 수 있음 > [!IMPORTANT] > 구글은 Fraud Defense가 Fortune 100 기업의 50%와 전 세계 1,400만 개 이상 도메인을 보호하는 사기 인텔리전스 그래프를 기반으로 한다고 강조함. 로컬 로그만 보는 보안 솔루션과 차별화하려는 지점이 여기임. ## 새 기능은 에이전트 트래픽을 ‘측정하고, 정책으로 제어하고, 필요하면 사람을 끼워 넣는’ 쪽 - 첫 번째는 에이전트 활동 측정 대시보드임 - 사이트에 들어오는 에이전트 활동을 식별·분류·분석하는 기능을 제공함 - Web Bot Auth, SPIFFE 같은 업계 표준을 통합하고, 기존 방식도 함께 써서 에이전트 트래픽을 판단함 - 에이전트 신원과 사람 신원을 연결해 위험도와 신뢰도를 더 잘 보겠다는 방향임 - 두 번째는 에이전트 정책 엔진임. 이제 봇 방어가 단일 차단 버튼이 아니라 여정별 정책 제어로 바뀌는 그림임 - 회원가입, 로그인, 결제, 체크아웃 같은 단계마다 다른 정책을 둘 수 있음 - 위험 점수, 자동화 유형, 에이전트 신원 같은 조건을 조합해 허용하거나 차단할 수 있음 - 예를 들어 신뢰된 쇼핑 에이전트는 통과시키고, 이상한 자동화 패턴은 결제 직전에 막는 식의 운영이 가능해짐 - 세 번째는 AI-resistant challenge, 즉 AI가 풀기 어렵게 만든 챌린지임 - 구글은 QR 코드 기반 챌린지를 새로 제시함 - 의심스러운 에이전트 요청이 들어오면 “진짜 사람이 루프 안에 있는지” 확인하는 방식임 - 목적은 악성 자동화의 비용을 올려서, 대규모 사기를 경제적으로 안 맞게 만드는 것임 > [!TIP] > 기존 reCAPTCHA 고객은 마이그레이션이 필요 없다고 함. 사이트 키, 통합 방식, 가격이 그대로 유지되고 자동으로 Fraud Defense 고객이 되는 구조라 운영 부담을 낮추려는 메시지가 강함. ## 구글이 보는 사기 방어의 기준도 바뀌고 있음 - 구글은 공격자가 더 이상 단일 엔드포인트만 노리지 않는다고 봄 - 공격은 가입에서 로그인, 결제, 체크아웃까지 이어지는 전체 디지털 여정을 타깃으로 함 - 에이전트가 end-to-end 작업을 수행하는 시대에는 이 문제가 더 커짐 - 그래서 Fraud Defense는 전체 고객 여정의 텔레메트리를 묶어 하나의 신뢰 모델로 본다고 설명함 - 분리된 포인트 솔루션이 놓치는 다단계 사기 캠페인을 잡겠다는 주장임 - 구글은 이 접근으로 계정 탈취(ATO)를 평균 51% 줄인 사례를 제시함 - 동시에 구글은 “마찰을 줄여야 전환율이 산다”는 커머스 쪽 논리도 같이 밀고 있음 - 대부분의 정상 사용자는 조용한 백그라운드 검증만 거치게 만들겠다는 방향임 - 퍼즐을 계속 던지는 대신, 악성 봇·사람·에이전트만 외과적으로 막겠다는 얘기임 - 2025 Shopify Retail Report 기준으로 AI 쇼핑 어시스턴트가 평균 주문 금액을 25% 높일 것으로 전망된다는 숫자도 붙였음 - 정리하면, Fraud Defense는 ‘AI 에이전트 = 무조건 차단’이 아니라 ‘좋은 에이전트는 받아들이고, 나쁜 자동화는 막자’는 제품임 - 이게 꽤 중요함. 앞으로 커머스나 SaaS 서비스는 AI 에이전트를 막기만 하면 매출 기회를 놓칠 수 있음 - 반대로 아무나 열어주면 계정 탈취, 결제 사기, 가짜 신원 공격이 더 싸고 빠르게 들어올 수 있음 --- ## 기술 맥락 - 여기서 구글이 고른 선택은 CAPTCHA를 더 어렵게 만드는 게 아니라, 신원과 리스크를 여정 전체에서 판단하는 쪽이에요. AI가 이미지 퍼즐을 잘 풀게 된 상황에서는 “문제를 더 꼬기”보다 “누가, 어떤 맥락에서, 어떤 행동을 하는가”를 보는 게 더 오래 가거든요. - Web Bot Auth나 SPIFFE 같은 표준을 언급한 것도 같은 맥락이에요. 모든 자동화를 악성으로 취급하면 쇼핑 에이전트 같은 정상 트래픽까지 날아가니까, 에이전트가 자신을 식별하고 서비스가 그 신뢰도를 정책에 반영하는 구조가 필요해요. - QR 코드 챌린지는 마지막 방어선에 가까워요. 의심스러운 요청에서 사람을 루프 안에 넣어 자동화 비용을 올리는 방식인데, 핵심은 사용자 전체에게 마찰을 주지 않고 위험한 요청에만 비용을 부과하는 거예요. - 개발팀 입장에서는 로그인이나 결제 API 하나만 막는 문제가 아니라, 가입부터 체크아웃까지 이벤트를 연결해 보는 관측 체계가 중요해져요. Fraud Defense가 말하는 51% 계정 탈취 감소도 이 여정 기반 상관분석이 있어야 가능한 숫자에 가까워요. ## 핵심 포인트 - AI 에이전트가 웹에서 구매·예약·결제까지 수행하는 흐름을 전제로 한 보안 플랫폼 - Web Bot Auth, SPIFFE 같은 표준과 구글의 글로벌 신호를 활용해 에이전트 트래픽을 식별 - 위험 점수, 자동화 유형, 에이전트 신원 기반으로 여정 단계별 정책 제어 가능 - QR 코드 기반 챌린지로 자동화 사기를 경제적으로 불리하게 만드는 접근 - 구글은 Fortune 100 기업의 50%, 전 세계 1,400만 개 이상 도메인을 보호하는 사기 인텔리전스를 강조 ## 인사이트 이건 단순히 CAPTCHA를 좀 더 똑똑하게 만든 수준이 아니라, AI 에이전트가 정상 고객인지 공격자인지 판별해야 하는 시대를 겨냥한 제품이야. 쇼핑 에이전트는 받아들이고 사기 자동화는 막아야 하니, 앞으로 보안팀과 커머스팀이 같은 리스크 모델을 보게 될 가능성이 커졌어.