정의
reCAPTCHA v3는 2018년 10월에 출시된 구글 CAPTCHA 서비스의 세 번째 주요 반복판입니다. 사용자에게 체크박스를 누르거나 이미지 퍼즐을 풀라고 요구했던 이전 버전과 달리, v3는 완전히 수동적입니다. 브라우저 백그라운드에서 조용히 실행되면서 페이지 전반의 사용자 상호작용을 관찰하고, 사이트 소유자가 세션을 어떻게 다룰지 결정하는 데 사용하는 숫자 위험 점수를 만듭니다. 1.0은 방문자가 사람이라는 높은 확신을, 0.0은 거의 확실한 자동화 트래픽을 의미합니다.
이 시스템은 reCAPTCHA v2의 인프라 위에 구축되었지만 명시적 사용자 챌린지의 마찰을 제거합니다. 구글의 명시된 목표는 정상 사용자의 절대 다수에게서 “I’m not a robot” 상호작용을 완전히 없애 장바구니 이탈과 양식 이탈률을 줄이면서 봇 탐지 범위는 유지하거나 개선하는 것이었습니다.
reCAPTCHA v3의 작동 원리
reCAPTCHA v3는 https://www.google.com/recaptcha/api.js에서 로드되는 JavaScript 라이브러리를 통해 작동합니다. 로드된 후에는 현재 세션에 대한 행동 핑거프린트를 수동적으로 수집하기 시작합니다. 수집되는 신호에는 마우스 이동 궤적, 스크롤 행동, 키 입력 사이의 타이밍 패턴, DOM 상호작용 순서, 브라우저에 있는 Google 계정 쿠키의 연령과 활동(있는 경우), 출발지 연결의 네트워크 특성이 포함됩니다.
사이트 소유자가 특정 행동(양식 제출, 투표 버튼 클릭 등)을 평가하고자 할 때 grecaptcha.execute(siteKey, {action: 'vote'})를 호출합니다. 이는 구글의 위험 분석 인프라를 트리거해 세션의 점수를 계산하고 서명된 토큰(JSON 웹 토큰)을 브라우저에 반환합니다. 이 토큰은 양식 데이터와 함께 제출됩니다.
서버 측에서는 수신 애플리케이션이 사이트의 비밀 키와 함께 토큰을 구글의 검증 엔드포인트 https://www.google.com/recaptcha/api/siteverify로 보냅니다. 구글의 응답에는 숫자 점수, 타임스탬프, 행동 이름, 호스트 이름 확인이 포함됩니다. 애플리케이션 개발자는 임계값을 — 보통 0.5 — 설정하고, 그 아래의 제출은 차단되거나, 추가 검토를 위해 표시되거나, reCAPTCHA v2 같은 보조 챌린지로 보내집니다.
Google Cloud를 통해 사용 가능한 유료 등급인 reCAPTCHA Enterprise는 추가 신호, 기여 요인별로 분해된 점수 설명, 계정 디펜더 기능, 서비스 수준 협약 보증으로 v3를 확장합니다.
어디에서 마주치게 되나
reCAPTCHA v3는 마찰 없는 검증이 우선순위인 광범위한 웹 자산에 배포되어 있습니다. 콘테스트와 추첨 플랫폼은 투표 제출 엔드포인트와 계정 등록 양식에 통합합니다. 전자상거래 플랫폼은 자격 증명 도용을 방지하기 위해 결제 단계에서 사용합니다. 뉴스 매체는 댓글 제출 엔드포인트에 사용합니다. 금융 서비스 회사는 비밀번호 재설정과 자금 이체 흐름에 적용합니다. 티켓 판매 플랫폼은 수요가 높은 발매 시 암표상 봇을 늦추기 위해 사용합니다.
v3가 보이지 않기 때문에 페이지에서의 존재는 일반 사용자에게 명백하지 않습니다. 페이지 소스를 살피거나 네트워크 트래픽을 모니터링하는 개발자만이 recaptcha API 호출을 알아챕니다.
실무 예시
맞춤형 마이크로사이트에서 호스팅되는 한 지역 사진 콘테스트가 투표 엔드포인트에 reCAPTCHA v3를 통합합니다. 모든 투표 제출이 grecaptcha.execute 호출을 트리거합니다. 0.3 미만 점수의 제출은 조용히 폐기되고, 0.3에서 0.5 사이는 콘테스트 종료 시 일괄 검토를 위해 기록되며, 0.5 초과는 즉시 기록됩니다. 콘테스트 운영자는 보류된 제출을 검토해 기기 핑거프린트를 공유하거나 집중된 IP 범위에서 발생한 것을 실격 처리합니다.
전국 비영리 단체가 자금 배분의 일부를 결정하는 공개 투표 보조금 경연을 운영합니다. 플랫폼은 reCAPTCHA v3를 이메일 확인과 결합해 사용합니다. CAPTCHA 점수는 각 표 기록과 함께 저장되어, 관리자가 콘테스트 종료 후 데이터를 다시 임계값으로 분류할 수 있게 합니다. 관찰된 점수 분포에 기반해 봇 거부 민감도를 사후에 조정하는 효과를 가집니다.
대학 학생 시상 프로그램이 점수 설명을 활용하기 위해 reCAPTCHA Enterprise를 배포합니다. 감사 로그는 한 후보 출품작에 대한 낮은 점수 표 급증이 단일 서브넷에서 발생했음을 보여주고, 우승자가 발표되기 전에 해당 출품작의 표 수가 조정됩니다.
관련 개념
reCAPTCHA v3는 같은 탐지 생태계 안에서 이전 CAPTCHA 세대와 나란히 존재합니다. reCAPTCHA 기본 항목은 v1과 v2의 메커니즘을 자세히 다룹니다. hCaptcha와 Cloudflare Turnstile은 프라이버시, 챌린지 유형, 벤더 의존성 측면에서 다른 트레이드오프를 제공하는 경쟁 시스템입니다. 행동 생체 인식은 reCAPTCHA v3의 점수 접근법의 기반이 되는 수동 상호작용 측정의 더 넓은 카테고리를 설명합니다.
한계 및 주의사항
reCAPTCHA v3는 위험 임계값 결정을 사이트 운영자에게 완전히 위임하므로 배포에 따라 일관성이 떨어집니다. 임계값을 0.3으로 설정한 사이트는 0.7로 설정한 사이트보다 상당히 더 많은 봇 트래픽을 받아들입니다. 구글은 점수 뒤의 구체적 신호나 가중치를 공개하지 않으므로 독립적 감사가 불가능합니다. 또한 시스템이 부분적으로 Google 계정 텔레메트리에 의존하기 때문에, Google 계정에 로그인하지 않은 사용자나 Google 쿠키를 차단하는 브라우저 사용자는 자신의 행동이 마땅히 받아야 할 점수보다 낮은 점수를 받을 수 있어, 정상 유권자에게 오탐이 발생할 가능성이 있습니다.
