온라인 서비스 운영자라면 누구나 겪는 고질적인 문제가 있습니다. 바로 ‘봇(Bot)’과 ‘악의적 사용자’의 공격입니다. 그동안 우리는 사용자에게 신호등 사진을 고르게 하거나 퍼즐을 맞추게 하는 reCAPTCHA에 의존해 왔습니다. 하지만 공격자들의 수법은 갈수록 정교해졌고, 이제 단순한 챌린지 방식으로는 지능형 봇의 침입을 막기 역부족인 시대가 되었습니다. 사용자 경험(UX)은 해치면서 보안성은 떨어지는 이 딜레마 속에서 구글은 ‘Google Cloud Fraud Defense’라는 새로운 카드를 꺼내 들었습니다.

그런데 기술 커뮤니티와 업계 전문가들 사이에서는 냉소적인 반응이 나오고 있습니다. 이 새로운 솔루션이 사실상 구글이 내부적으로 사용하던 WEI(Web Extra Information) 기술을 기업용 상품으로 이름만 바꿔 내놓은 ‘재포장(Repackaging)’에 불과하다는 주장입니다. 과연 구글의 이번 행보는 보안 패러다임의 전환일까요, 아니면 마케팅 전략의 일환일까요?

보이지 않는 감시자, WEI와 Fraud Defense의 연결고리

먼저 논란의 중심에 있는 WEI가 무엇인지 이해할 필요가 있습니다. WEI는 구글이 검색 엔진과 다양한 웹 서비스에서 사용자의 행동 패턴, 브라우저 지문, 네트워크 특성 등 ‘추가적인 웹 정보’를 수집하여 해당 요청이 실제 인간인지 아니면 자동화된 스크립트인지를 판별하는 내부 메커니즘입니다. 사용자가 아무런 액션을 취하지 않아도 백그라운드에서 수많은 신호를 분석해 점수를 매기는 방식이죠.

Google Cloud Fraud Defense의 핵심 작동 원리를 살펴보면 WEI의 철학과 매우 흡사합니다. 더 이상 사용자에게 불편한 퀴즈를 내지 않고, 머신러닝 모델이 실시간으로 유입되는 트래픽의 ‘맥락’을 분석하여 사기 징후를 포착합니다. 즉, 겉으로는 ‘차세대 사기 방지 솔루션’이라는 화려한 이름을 달고 있지만, 그 내부 엔진은 이미 구글 생태계에서 검증된 WEI의 데이터 수집 및 분석 체계를 클라우드 API 형태로 상품화한 것이라는 분석이 지배적입니다.

기술적 구현: 챌린지에서 신호 분석으로의 전환

기존의 reCAPTCHA가 ‘사용자의 반응’을 확인하는 수동적 방어였다면, Cloud Fraud Defense는 ‘사용자의 상태’를 분석하는 능동적 방어 체계입니다. 기술적으로는 다음과 같은 흐름으로 구현됩니다.

• 신호 수집(Signal Collection): 클라이언트 측에서 브라우저 환경, 디바이스 특성, 마우스 움직임, 타이핑 속도 등 수백 가지의 미세한 신호를 수집합니다.
• 맥락 분석(Contextual Analysis): 수집된 신호를 구글의 거대한 글로벌 데이터셋과 비교하여 일반적인 사용자 패턴에서 벗어난 이상 징후를 탐지합니다.
• 위험 점수 산출(Risk Scoring): 분석 결과를 바탕으로 해당 요청의 위험도를 수치화하여 반환합니다.
• 동적 대응(Dynamic Response): 점수가 낮은 안전한 사용자는 그대로 통과시키고, 위험 점수가 높은 경우에만 추가 인증을 요구하거나 즉시 차단합니다.

이 과정에서 WEI가 수행하던 ‘보이지 않는 프로파일링’이 핵심적인 역할을 합니다. 결국 구글은 자신들이 가진 방대한 데이터 권력을 B2B 시장으로 확장하려는 전략을 취하고 있는 셈입니다.

재포장 논란, 하지만 실무적 관점에서의 득과 실

단순히 이름만 바꾼 것이라면 비판받아 마땅하겠지만, 기업의 실무자 입장에서 보면 이야기가 달라집니다. 내부 기술을 상품화하여 제공한다는 것은, 개별 기업이 구축하기 불가능한 수준의 ‘글로벌 위협 인텔리전스’를 즉시 사용할 수 있다는 뜻이기 때문입니다.

물론 단점도 명확합니다. 구글의 블랙박스 모델에 보안을 전적으로 의존하게 된다는 점입니다. 왜 특정 사용자가 ‘위험’ 판정을 받았는지에 대한 상세한 근거를 알 수 없으며, 이는 곧 구글의 판단 기준에 종속됨을 의미합니다. 또한, WEI 기반의 광범위한 데이터 수집은 개인정보 보호 규정(GDPR 등)과 충돌할 가능성이 있어 법무적 검토가 필수적입니다.

실제 적용 사례: 이커머스와 금융 서비스의 변화

실제로 이 솔루션을 도입한 글로벌 이커머스 기업의 경우, 결제 단계에서의 이탈률을 획기적으로 줄이면서도 카드 도용 결제(CNP Fraud) 시도를 효과적으로 차단하는 성과를 거두었습니다. 과거에는 보안을 강화하면 결제 단계의 허들이 높아져 구매 전환율이 떨어졌지만, 이제는 ‘정상 사용자’에게는 아무런 제약을 주지 않으면서 ‘공격자’만 정밀하게 타격할 수 있게 된 것입니다.

금융 서비스 분야에서도 계정 탈취(ATO) 공격을 막기 위해 도입하고 있습니다. 평소와 다른 기기, 다른 지역, 그리고 WEI가 포착한 비정상적인 브라우저 행동 패턴이 감지될 때만 2차 인증을 강제함으로써 보안성과 편의성이라는 두 마리 토끼를 잡으려는 시도입니다.

지금 당장 기업이 취해야 할 액션 아이템

Google Cloud Fraud Defense가 단순한 재포장 제품이든 혁신적인 신제품이든, 중요한 것은 ‘제로 트러스트’ 관점의 보안 설계입니다. 단순히 툴 하나를 도입한다고 해서 모든 사기 행위가 사라지지 않습니다. 실무자들은 다음과 같은 단계적 접근이 필요합니다.

• 현재의 봇 유입 경로 분석: 단순히 reCAPTCHA 통과 여부가 아니라, 어떤 지점에서 어뷰징이 발생하는지 데이터 기반으로 파악하십시오.
• 하이브리드 방어 체계 구축: 구글의 솔루션에만 의존하지 말고, 자체적인 비즈니스 로직 기반의 검증 단계(예: 이메일 인증, 전화번호 인증)를 위험 점수에 따라 유연하게 배치하십시오.
• 개인정보 영향 평가 실시: WEI 기반의 데이터 수집이 서비스의 개인정보 처리방침과 일치하는지, 사용자 동의 절차가 적절한지 법무 팀과 검토하십시오.
• 점진적 마이그레이션: 모든 트래픽에 즉시 적용하기보다, 가장 취약한 엔드포인트(로그인, 결제, 회원가입)부터 적용하며 오탐률(False Positive)을 모니터링하십시오.

결국 기술의 본질은 ‘이름’이 아니라 ‘효용’에 있습니다. WEI의 재포장이라는 비판은 기술적 순수성을 따지는 개발자들의 관점일 수 있지만, 비즈니스 관점에서는 구글이 가진 압도적인 데이터 분석 능력을 API 형태로 빌려 쓸 수 있다는 실익이 더 큽니다. 다만, 그 편리함 뒤에 숨겨진 데이터 종속성과 프라이버시 리스크를 명확히 인지하고 사용하는 지혜가 필요합니다.