90초 요약
캡차 보호된 콘테스트는 완전한 브라우저 세션이 필요합니다. 페이지 로드, 사용자 상호작용, 퍼즐 풀이, 서버 인증 토큰까지. OCR과 AI 우회 도구는 기계 패턴을 남겨 reCAPTCHA v3 Enterprise에 2초 내에 감지됩니다. 신뢰할 수 있는 유일한 방법은 주거용 IP의 실제 인간입니다.
캡차 보호 투표란
콘테스트는 투표 폼을 캡차로 보호하여 자동화된 부정 행위를 막습니다. 투표 제출 시 유효한 토큰이 필요하며, 서버에서 검증되어야만 투표가 기록됩니다.
일반 IP 투표는 단순한 HTTP POST입니다. 캡차 투표는 전체 브라우저 세션이 필요합니다: 페이지 로드, JavaScript 실행, 캡차 위젯 초기화, 행동 신호 수집, 실시간 퍼즐 풀이, 토큰 검증. 매 단계가 실패할 수 있고, 비용이 들어갑니다.
캡차는 중복 제거를 대체하지 않습니다. 그 앞 단계의 사전 필터입니다. 캡차를 통과한 투표자도 IP, 기기 지문, 이메일로 중복 확인을 받습니다. 일부 콘테스트는 3단계를 쌓습니다: 캡차, IP 중복 제거, 이메일 확인. 각 단계가 복잡도와 비용을 높입니다.
reCAPTCHA v2: 체크박스와 이미지 그리드
reCAPTCHA v2(2014년)는 “I’m not a robot” 체크박스를 도입했습니다. 겉보기 상호작용은 최소하지만, 뒤에서는 풍부한 행동 위험 채점 시스템이 작동합니다.
클릭 궤적, 페이지 로드 이후 경과 시간, 키보드 상호작용 기록, Google 통합 사이트 활동, 기기 지문(사용자 에이전트, 화면 해상도, 플러그인)을 평가합니다.
위험 평가를 통과한 세션은 체크박스가 즉시 해제됩니다. 의심 임계값을 초과한 세션에는 보조 도전이 나타납니다: 특정 카테고리의 이미지를 선택하는 이미지 그리드(신호등, 횡단보도, 소화전, 자동차 등). 일반적으로 3×3 또는 4×4 배열입니다. 일부는 동적으로 새 이미지로 새로고침됩니다.
서버 검증은 필수이며 우회할 수 없습니다. 토큰은 사이트 키에 암호화적으로 바인딩되어 위조할 수 없습니다. 위조 토큰을 주입하려는 시도는 siteverify 엔드포인트에서 거부됩니다.
투표 서비스는 실제 인간이 필요합니다. 브라우저를 콘테스트 페이지로 탐색하고, 충분한 워밍업 시간 후 자연스럽게 상호작용한 후 체크박스를 클릭해야 합니다. 이미지 그리드 도전은 보이는 부분 중 가장 시간이 많이 걸립니다. 숙련된 솔버는 15-60초 내에 완료합니다. 우리는 시간당 30-40개의 캡차 세션으로 제한하여 피로를 방지합니다.
중요한 기술 주의: Google은 의도적으로 모호한 이미지를 도입합니다 (소화전이 부분적으로 트럭에 가려짐, 신호등이 어두운 조건 등). 인간의 정확성이 100% 미만으로 예상됩니다. 그러나 일관되게 이상한 패턴을 보이는 솔버(항상 같은 위치 선택, 기계적 속도, 비현실적인 타이밍)는 행동 이상으로 플래그됩니다. 우리는 솔버들에게 자연스러운 타이밍을 교육합니다.
reCAPTCHA v3: 보이지 않는 점수 엔진
reCAPTCHA v3(2018년 10월)는 아키텍처가 다릅니다. 체크박스도 없고, 이미지 그리드도 없고, 사용자 상호작용도 필요 없습니다. 백그라운드에서 페이지 로드부터 투표 제출까지 모든 상호작용을 모니터링하고 0.0(봇일 가능성)부터 1.0(인간일 가능성)의 연속 점수를 반환합니다.
콘테스트 운영자는 임계값(0.5 권장, 0.7 일반적)을 설정하고, 그 아래 세션에 대한 결과를 구성합니다: 조용히 차단, reCAPTCHA v2로 리다이렉트, 또는 수동 검토를 위해 플래그합니다.
v3 점수에는 어떤 신호가 포함됩니까? Google 계정 상호작용 기록, 마우스 움직임 궤적과 속도, 스크롤 행동, 클릭 타이밍, 탭 포커스, 기기 지문 일관성, IP 주소 평판. 주거용 ISP의 소비자 IP는 신선한 주거용 프록시보다 훨씬 높은 점수를 받습니다.
이는 자동화된 시스템에 구조적 도전을 만듭니다. 헤드리스 Chromium은 마우스 움직임 시뮬레이션에도 불구하고 0.1-0.3 점수를 받습니다. 스크립트 상호작용은 인간 상호작용과 통계적으로 다릅니다.
Puppeteer 스텔스 플러그인도 0.3-0.5 범위에 머물러 있습니다. 0.7 임계값에는 미치지 못합니다.
유일한 신뢰할 수 있는 방법은 실제 인간입니다. 진정한 브라우저, 주거용 IP, 확립된 웹 브라우징 기록. 우리는 실시간으로 v3 점수를 모니터링하고 0.7 이하는 제출 전 로테이션합니다.
reCAPTCHA Enterprise: 적응형 난이도
reCAPTCHA Enterprise(Google Cloud)는 최고 보안 티어입니다. v3를 확장하여 추가 신호, 세밀한 점수 설명, 적응형 도전 난이도, SLA 보장을 제공합니다.
적응형 난이도가 가장 중요합니다. 엔터프라이즈는 알려진 봇 패턴과 일치하는 세션에 난이도를 상향합니다. 주거용 프록시 IP 범위는 특정 콘테스트에 이전에 투표하지 않았더라도 높은 스크루티니를 받습니다.
우리는 엔터프라이즈 전에 콘테스트 URL 상담을 요청합니다. 프록시 인프라 패턴 일치로 인해 효과적으로 풀 수 없는 조건이 생길 수 있기 때문입니다. 소비자 대상 사이트는 적응형 난이도를 덜 에스컬레이션합니다. 금융 서비스는 더 많이 합니다.
hCaptcha: 개인정보 보호 중심
hCaptcha(Intuition Machines)는 GDPR/CCPA 준수 bot 감지를 제공하며 Google의 광고 네트워크에 행동 데이터를 공유하지 않습니다. 유럽과 개인정보 보호에 민감한 조직의 기본 선택입니다.
기술적으로, hCaptcha의 이미지 그리드는 reCAPTCHA v2와 유사합니다. 4×4 또는 3×3 그리드에서 특정 카테고리를 선택합니다. hCaptcha의 이미지는 computer vision AI 모델의 학습 데이터로도 사용되어 이미지 세트가 더 크고 다양하여 자동 솔버가 더 어렵습니다.
패시브 행동 계층은 reCAPTCHA v3과 유사하게 작동합니다. 무료 티어에서는 이진 결정을 반환합니다 (통과 또는 도전). 엔터프라이즈는 연속 점수를 반환합니다.
통합은 reCAPTCHA v2와 유사합니다: JavaScript 위젯, 응답 토큰, 서버 검증.
접근성 쿠키 프로그램(docs.hcaptcha.com/accessibility)은 시각 장애가 있는 사용자에게 오디오 도전을 제공합니다. 우리는 시각적 도전 난이도가 특히 높을 때 오디오 경로를 정당한 대체 경로로 사용합니다.
hCaptcha는 Cloudflare CDN에서 가장 일반적인 구현입니다. Cloudflare는 웹의 중요한 부분을 처리하므로, Cloudflare 기반 콘테스트는 위험 신호 감지 시 hCaptcha를 표시할 수 있습니다.
Cloudflare Turnstile: 퍼즐 없는 검증
Cloudflare Turnstile(2022년 9월)은 이미지 그리드 없는 bot 감지를 목표로 합니다. 사용자 경험 저하 없이 invisible 봇 감지입니다.
세 가지 검증 메커니즘이 있습니다. 첫 번째는 Private Access Tokens: iOS 16+와 macOS Ventura+에서 장치 제조업체(Apple)가 정당한 비해킹 장치임을 암호화적으로 증명합니다. 하나의 신호로 충분할 수 있습니다.
두 번째는 JavaScript 환경 프로브입니다. 헤드리스 브라우저(Puppeteer, Playwright, Selenium)는 진정한 브라우저와 다르게 특정 계산을 처리합니다. 우리 솔버는 진정한 Chromium, Firefox, Safari를 사용하므로 이를 쉽게 통과합니다. 우리의 Turnstile 완료율은 99.8% 이상입니다.
Arkose Labs / FunCaptcha: 3D 퍼즐
Arkose Labs는 가장 공격적인 bot 차단 접근입니다. 사기성 상호작용을 경제적으로 불가능하게 만들어 시간과 계산 비용을 극대화합니다.
3단계 파이프라인: Arkose Detect는 수동으로 행동과 기기 지문을 수집합니다. 위험도가 높은 세션은 3D 도전을 받습니다. 회전 퍼즐(임의의 방향인 3D 객체를 대상과 일치하도록 회전)이 가장 일반적입니다. WebGL 렌더링으로 정적 이미지 캡처는 효과가 없습니다.
자동화된 솔버는 각 변형에 대해 ML 추론을 실행해야 합니다. 비용이 높습니다. 인간 솔버는 3-8초 내에 회전을 완료합니다. 더 저렴합니다.
우리는 Arkose를 가장 노동 집약적인 것으로 가격을 책정합니다. 최소 50표, 일반 100표 주문부터. 우리의 완료율은 99.7%입니다.
다른 캡차 유형: 슬라이더, 수학, 이미지 라벨
슬라이더 캡차는 조각을 간격에 드래그합니다. 2-5초. ML 솔버는 회전 변형에서 실패합니다. 우리는 모든 변형을 처리합니다.
수학 캡차는 “3 + 7 = ?”입니다. OCR이 잘 작동합니다. 이러한 플랫폼은 중복 제거도 약합니다.
이미지 라벨은 이미지 내 특정 지점을 클릭합니다. 인간 판단이 필요합니다. 자동 도구는 신뢰성이 없습니다.
문자 왜곡 캡차는 거의 배포되지 않습니다. ML OCR이 이미 99% 해결했으며, Google은 2018년에 reCAPTCHA v1을 중단했습니다.
오디오 캡차: 접근성 백업
모든 주요 캡차 제공자는 시각 도전에 대한 대체 경로를 제공해야 합니다. W3C 웹 콘텐츠 접근성 지침 2.2, 성공 기준 1.1.1이 필수입니다.
오디오 캡차: 헤드폰 아이콘을 클릭하면 음성 숫자 녹음이 재생됩니다. 배경 오디오로 자동 음성 인식을 어렵게 합니다. 사용자는 들은 숫자를 입력합니다. 맞으면 토큰이 발급됩니다.
우리는 시각 도전 난이도가 높을 때 오디오를 사용합니다. 예측 가능한 시간입니다. 이미지 그리드는 45-90초, 오디오는 15-30초.
오디오 경로는 해결책이 아니라 정당한 대체입니다. 2019년 이후 Google은 오디오 왜곡을 증가시켜 자동 음성 인식을 불가능하게 했습니다.
실제 인간 솔버가 필요한 이유
우리의 99.7% 완료율의 핵심: 모든 캡차는 실제 인간이 풉니다.
OCR 솔버는 이미지 분류 파이프라인을 사용합니다. 답변 패턴이 인간 패턴과 다릅니다. 타이밍이 다릅니다. Google은 이를 감지합니다. 실패율 15-40%.
헤드리스 브라우저는 reCAPTCHA v3로 감지됩니다. GPU가 없고, WebGL이 다르고, navigator 프로필이 다릅니다. 점수는 0.5 이하입니다.
ML 주입 도구는 작동하지만 신뢰할 수 없습니다. 캡차 제공자는 지속적으로 도전을 업데이트합니다. 모델 유지는 비용이 높습니다.
인간의 이점: 진정한 인간 상호작용 패턴, 자연스러운 마우스 궤적, 시선 주도 주의, 인간 인지 처리 속도와 일치하는 타이밍, 긍정적 기준선을 기여하는 사전 브라우징 기록. 0.3% 미만 감지율.
이것이 캡차 투표가 일반 투표보다 2-3배 더 비싼 이유입니다. 가격은 인건비입니다. 투표당 30-120초의 인간 시간.
브라우저 지문 일관성: 숨겨진 기술 장벽
성공적인 캡차 투표 제공의 가장 자주 간과되고 직접적인 책임: 브라우저 지문 일관성.
지문은 웹 API에서 수집된 수십 개 속성으로 구성됩니다: Canvas, WebGL, WebRTC, navigator 언어, 화면 해상도, 시간대, IP 일관성.
Canvas 지문: 특정 canvas 요소의 렌더링이 GPU 드라이버, OS, 브라우저 버전에 따라 다릅니다.
WebGL 문자열: GPU 벤더와 모델.
WebRTC 누출: 로컬 IP가 VPN/프록시를 통해 노출됩니다. 미스매치는 VPN 사용으로 플래그됩니다.
Navigator: 언어, 플랫폼, 스레드 수. 콘테스트 IP의 지리와 일관되어야 합니다.
화면 해상도와 기기 픽셀 비율: 지리와 상관관계.
시간대와 로케일: 일관성 확인.
우리는 지리별 지문 일치 시스템을 개발했습니다. 각 솔버는 대상 국가 주거용 IP, canvas 지문(실제 소비자 하드웨어), WebRTC 설정, navigator 언어, 화면 해상도, 시간대를 받습니다. 이것이 0.3% 미만 감지율의 핵심입니다.
속도 제어: 속도 트리거 회피
완벽하게 지문 일관된 투표도 이상한 속도 패턴이면 감지될 수 있습니다. 콘테스트는 제출 속도를 모니터링합니다. 갑작스러운 캡차 투표 급증은 빨간 깃발입니다.
유기적 참여는 Poisson 프로세스를 따릅니다. 불규칙한 도착 간격. 1,000표가 1시간에 균일하게 분포하면 감지됩니다.
우리의 속도 제어는 두 계층입니다.
매크로: 전체 배달 시간. 1,000표를 6시간에 추가하면(시간당 167) 감지됩니다. 72시간에(시간당 14) 감지되지 않습니다.
마이크로: 도착 간격 분포. Poisson 프로세스에서 샘플링합니다. 유기적과 통계적으로 구별 불가능합니다. 낮/밤 리듬도 주입합니다.
v3의 경우: 단시간 내 높은 새 세션 밀도는 개별 세션 점수를 영향줍니다. 더 긴 배달 시간이 더 안정적입니다.
99.7% 완료율
우리의 99.7% 완료율은 구체적으로 측정됩니다: (검증, 중복 제거, 기록된 투표) / (개시된 주문의 전체 투표).
0.3% 실패: 기술 중단(1/3), reCAPTCHA 엔터프라이즈 에스컬레이션(1/3), 제출 후 무효화(1/3).
OCR 솔버 15-40% 실패 vs. 우리 0.3%. Arkose 60-80% vs. 우리 99.7%.
주문 프로세스
Step 1: 콘테스트 URL 검토 (필수). 30분 내에 캡차 유형 확인.
Step 2: 패키지 선택과 지리적 타겟팅. 100표 .99부터 20,000표 ,249.99까지.
Step 3: 결제. PayPal, 카드, 암호. 5분 내 확인.
Step 4: 솔버 조립 및 배달. reCAPTCHA v2/hCaptcha 2-4시간, v3/Enterprise 최대 6시간, Arkose 4-8시간. 최소 배달 6시간, 기본 24-48시간 (1,000 미만), 48-120시간 (더 큼). 12-18시간 급행 +15% 추가 비용.
Step 5: 모니터링 및 보장. 실시간 대시보드. 7일 내 실패 또는 감지 시 대체.
마지막 업데이트: 2026-04-27. 내용은 reCAPTCHA, hCaptcha, Cloudflare Turnstile, Arkose Labs의 문서화된 행동을 반영합니다. 시스템은 지속적으로 업데이트됩니다.
