CAPTCHA 공급자 구매 안내서 2025
최신 CAPTCHA가 어떻게 작동하는지 알아보세요. 기능, 가격, 통합 팁 관점에서 Google reCAPTCHA, Cloudflare Turnstiles 및 기타 공급자들을 비교합니다.
Product & Design
CAPTCHA란 무엇인가요?
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart, 완전 자동화 공개 튜링 테스트)는 사람과 컴퓨터를 구분하는 챌린지-응답 방식의 시스템입니다. 사람에게는 쉽지만 기계에는 어려운 작업을 내세워 사용자가 인간인지 자동 프로그램(봇)인지 확인합니다.
예를 들어, 기존의 CAPTCHA는 왜곡된 글자나 숫자를 보여주고 사용자가 이를 입력하게 합니다. 이러한 인간의 패턴 인식 능력을 활용해, CAPTCHA는 대부분의 스크립트와 스팸 봇이 온라인 폼이나 서비스를 악용하는 것을 차단합니다.
CAPTCHA는 어떻게 작동할까요?
고전적인 CAPTCHA는 왜곡된 텍스트 해석, 특정 이미지를 선택하는 등의 방법을 사용합니다. 왜곡(예: 노이즈가 섞인 구부러진 글자 등)은 단순 OCR(광학 문자 인식) 알고리즘을 피해 갑니다.
현대 CAPTCHA 솔루션은 다음과 같은 여러 카테고리로 발전했습니다:
- 인터랙티브 CAPTCHA: 사용자가 직접 퍼즐을 풀거나 특정 동작을 수행해야 합니다. 예시로 "나는 로봇이 아닙니다" 체크박스 챌린지가 있습니다. 체크박스를 클릭하면 신호등, 상점 등 특정 이미지를 고르거나, 표시된 문자를 입력하거나, 오디오 테스트를 요청할 수 있습니다. 특히 Cloudflare Turnstile에서는 단순히 체크박스를 클릭하는 것만으로도 별도 복잡한 챌린지 없이 해당 작업이 사람인지 확인이 가능합니다.
- 비인터랙티브 CAPTCHA: 퍼즐이나 동작으로 사용자를 방해하지 않습니다. 예를 들어, Cloudflare Turnstile의 비인터랙티브 모드에서는 방문자가 자동 로딩 바가 있는 작은 위젯만 보게 됩니다. 백그라운드에서 점검을 수행한 뒤 조용히 성공/실패 결과를 반환합니다. 사용자 경험을 최우선으로 지향하는 방식입니다.
- 인비저블 또는 패시브 CAPTCHA: 완전히 백그라운드에서 동작하며, 사용자는 아무런 테스트도 보지 않습니다. 예를 들어, Google reCAPTCHA v3는 사용자의 행동(마우스 움직임, 타이밍, 쿠키 등)을 분석하여 위험 점수(0–1 사이)를 매깁니다. 점수가 지나치게 낮을 때만 사용자에게 챌린지가 보일 수 있습니다.
제품에 CAPTCHA를 도입해야 할까요?
CAPTCHA 활용은 보안과 사용자 경험 사이의 트레이드오프입니다. CAPTCHA 서비스를 선택할 때 핵심 고려사항은 다음과 같습니다:
AI가 CAPTCHA 챌린지를 우회할 수 있나요?
CAPTCHA는 기본적인 봇에는 효과적이지만, 결정적인 공격자들은 대책을 갖고 있습니다. 고도화된 스크립트나 AI 기반 봇은 OCR/이미지 인식, 머신러닝으로 CAPTCHA를 뚫어낼 수 있습니다. 심지어 *우회-서비스(bypass-as-a-service)*로 불리는 인간이나 AI가 대량의 CAPTCHA를 해결해주는 서비스도 있습니다. 예를 들어, Google은 예전에 오래된 텍스트 CAPTCHA가 봇에 99% 이상 뚫린다는 보고를 내놓기도 했습니다.
하지만 최신 비인터랙티브 및 인비저블 CAPTCHA(행동 기반, 암호학적 백그라운드 체크 등)는 AI 공격에 대한 방어력을 강화합니다. 참고로, 봇 트래픽은 이미 전체 인터넷 트래픽의 약 51%에 달하고, 이 중 37%는 악의적입니다. 완벽하지 않더라도 일부 봇 탐지/차단 시스템은 반드시 필요합니다.
또한 다중 계층의 봇 프로텍션(예: 패스키를 통한 디바이스 핑거프린팅, 레이트 리미팅, 다중 인증(MFA)) 추가가 필요합니다.
CAPTCHA가 사용자 경험에 악영향을 끼치나요?
모든 CAPTCHA는 사용자에게 마찰을 줍니다. 연구에 따르면 전체 인원의 약 66%만 처음 시도에서 CAPTCHA를 올바르게 입력한다고 하며, 이는 많은 이들이 중도 포기하거나 폼을 완성하지 못할 수 있다는 의미입니다. 긴 이미지 퍼즐이나 여러 번 재입력 요구는 전환률을 떨어뜨릴 수 있습니다.
이를 최소화하기 위해 현대 CAPTCHA 제공자들은 인간의 노력을 줄이는 데 집중합니다. 전략은 다음과 같습니다:
- 의심스러운 사용자에게만 선택적으로 챌린지를 부과
- 퍼즐 대신 마우스 움직임, 타이밍 등 비방해 신호 활용
- 백그라운드에서 작동하는 인비저블 CAPTCHA 도입
Cloudflare는 Turnstile이 “CAPTCHA로 인한 불편함을 제거한다”며 실제 사용자들은 “시각 퍼즐을 푸는 데 시간과 노력을 낭비하지 않아도 된다”고 강조합니다. 실제로 다수 사이트에서는 체크박스 또는 이미지 챌린지는 사용자 행동이 의심스러울 때만 등장하며, 일반 사용자는 아무것도 보지 않을 수 있습니다.
CAPTCHA가 AI 에이전트의 서드파티 서비스 접근을 막나요?
오늘날, 다양한 AI 에이전트가 등장하여 반복 작업 자동화 및 서드파티 서비스와의 상호작용을 시도하고 있습니다.
도메인별 AI 에이전트는 표준 프로토콜(OAuth, MCP 등)을 활용하여 서드파티 앱에 안전하고 정식으로 연결할 수 있습니다. 이는 사용자가 원활하게 권한을 부여할 수 있게 하는 정식 절차입니다.
반면, 어떤 야심찬 “범용” AI 에이전트들은 아예 브라우저에서 사람이 할 수 있는 모든 작업을 자동화하려고 합니다. 예를 들어, Manus는 입력 폼 작성, 아이디/비밀번호 로그인까지 웹브라우저 역할 전체를 대체하도록 설계되었습니다. 실제 테스트에서는 Manus가 사용자가 “세션을 실제 사람에게 넘겨서 직접 챌린지를 풀도록 해도** Cloudflare Turnstile, Google reCAPTCHA Enterprise 등 최신 고보안 CAPTCHA를 거의 통과하지 못하는 것으로 나타났습니다. 만약 AI 에이전트를 개발 중이라면 인증 플로우 설계를 신중히 하셔야 합니다. 인간처럼 브라우저 자동화로 로그인하는 것은 강력한 CAPTCHA가 점점 더 잘 차단하기 때문에 현실적으로 어려워지고 있습니다.
CAPTCHA 도입이 예산을 얼마나 늘리나요?
CAPTCHA 서비스는 무료부터 유료까지 다양합니다. 무료 플랜은 사용량이나 기능에 제한을 두는 경우가 많습니다. 예시:
- Cloudflare Turnstile은 무제한 사용이 가능한 무료 서비스입니다.
- Google reCAPTCHA Essentials는 월 1만 회까지 무료로 제공되며, 고용량/고급 기능은 Standard 또는 Enterprise로 업그레이드해야 합니다.
- hCaptcha는 무료 “Basic” 플랜이 있고 Pro/Enterprise는 유료(예: hCaptcha Pro는 월 10만 요청당 약 $99~$139)를 청구합니�다.
예상 트래픽과 목표 전환에 맞는 각 공급자별 플랜 제한/가격을 꼭 확인하세요.
CAPTCHA 사용 시나리오
CAPTCHA는 봇이 문제를 일으킬 수 있는 모든 곳에 배포됩니다. 대표적 활용 예시는 다음과 같습니다:
- 인증 플로우: 회원가입, 로그인, 비밀번호 재설정 등에서 봇 공격을 막아줍니다. CAPTCHA는 스크립트된 계정 공격에 대한 1차 방어선입니다. 이외에도 로그인 잠금(무차별 비밀번호 시도 차단), 어댑티브 MFA(위험 감지 시 추가 인증) 등으로 보안을 강화할 수 있습니다.
- 폼 제출: 문의, 피드백, 댓글, 리뷰 등 공개 웹 폼 보호. CAPTCHA가 없으면 스패머가 댓글/게시판을 도배할 수 있습니다.
- 고가치 행동: 온라인 투표, 티켓 판매, 프로모션, 쇼핑 결제 시 사기방지. 예를 들어 투표에 1인 1표, 티켓 판매에 1인 1매 등 대량 자동 투표나 매점매석을 막아줍니다.
이런 연결 지점에 CAPTCHA를 배치하면 합법 사용자 접근은 열어 두면서 자동화 남용을 대폭 줄일 수 있습니다.
CAPTCHA 공급자 비교
| CAPTCHA 공급자 | 사용자 경험 | 요금/플랜 |
|---|---|---|
| reCAPTCHA v2 (Google) | 사용자가 ”나는 로봇이 아닙니다“ 체크박스를 클릭. 이때 CAPTCHA 이미지 퍼즐이 나오기도, 안나오기도 함. | 무료(Essentials, 월 1만 회); 이후 유료(Standard/Enterprise). Enterprise: 10만 회 $8, 추가 1천 회당 $1. |
| reCAPTCHA v3 (Google) | 보이지 않는, 백그라운드 위험 점수(사용자에게 챌린지 없음). | v2와 동일한 요금제 |
| reCAPTCHA Enterprise (Google) | 1. 점수 기반(챌린지 없음) 2. 체크박스/적응형 시각 챌린지 두가지 인터랙티브 모드 제공 | 트래픽 기반 요금: 1만 까지 무료, 10만 $8, 이후 1천 회당 $1. 계정 방어, SMS 사기 방지 등 고급기능도 제공. |
| Cloudflare Turnstile | 1. 관리형: Cloudflare가 사용자의 체크박스 노출 여부를 결정. 2. 비인터랙티브: 모두 자동 로딩 위젯만, 직접 입력 없음. 3. 인비저블: 사용자가 아무 상호작용을 하지 않음. 챌린지는 몇초 내로 해결. | 거의 완전 무료. 무료: 20 CAPTCHA 위젯, 위젯당 15개 호스트, 무제한 요청. 엔터프라이즈는 무제한 위젯. |
| hCaptcha | reCAPTCHA v2와 유사한 이미지 분류형 챌린지. 개인정보 보호 중심이나 퍼즐이 어려울 수 있음. | 월 10만 요청까지 무료. Pro 약 $99/월, 엔터프라이즈 맞춤. |
| FunCaptcha (Arkose Labs) | 오브젝트 회전/슬라이드, 단순 퀴즈 등의 게임형 챌린지. 좀 더 흥미로운 퍼즐로 봇 분석을 견제. | 무료 없음. 전적으로 엔터프라이즈용 솔루션(Arkose Bot Management 포함). 별도 문의. |
| Friendly Captcha | 완전히 백그라운드에서 동작하는 proof-of-work 퍼즐. 사용자 동작 필요 없음. | 비상업적 무료(1도메인, 1000회). 유료: Starter €9/月(1K), Growth €39/月(5K), Advanced €200/月(5만), 엔터프라이즈 맞춤. |
| BotDetect (Captcha.com) | 전통적 이미지/음성 CAPTCHA(글자/숫자). | 셀프호스팅, 라이선스 기반, 무료 없음. API 라이선스 약 $99/년. |
이 중 Cloudflare Turnstile이 현재 돋보입니다. 무료면서도 통합이 쉬우며, 사용자에게 방해하지 않고 튼튼하게 봇을 차단합니다. 퍼즐로 데이터를 수집하거나 광고 타겟팅을 하지 않으니 개인정보도 존중합니다. 대다수 웹사이트에는 Turnstile이 보안, UX, 비용의 균형에서 최적의 선택입니다.
간단하게 가입 플로우에 CAPTCHA 넣는 법
CAPTCHA를 가장 쉽게 추가하는 방법은 통합된 IAM 플랫폼을 사용하는 것입니다.
Logto는 개발자 친화적인 IAM 솔루션으로, Google reCAPTCHA Enterprise 및 Cloudflare Turnstile 등 주요 공급자를 지원합니다. 클릭 몇 번 만으로 CAPTCHA를 활성화할 수 있습니다.
Logto와 함께라면 회원가입, 로그인, 계정 복구, SSO, MFA, 멀티테넌트 관리 등 전체 인증 플로우를 복잡한 구현 부담 없이 손쉽게 보호할 수 있습니다. Logto의 CAPTCHA 문서를 더 살펴보거나 팀에 문의하여 더 다양한 공급자 옵션을 경험해보세요.