사용자를 추적하지 않으면서 사람과 봇이 정상적인 트래픽임을 증명하도록 돕는 인증 프로토콜이 공개됐다. 인터넷 이용 방식이 사람이 직접 클릭하는 활동에서 에이전트 중심으로 옮겨가면서, 웹사이트 운영자는 개인정보를 침해하는 추적 없이 자동화된 악성 트래픽을 차단해야 하는 과제에 직면해 있다.

클라우드플레어(Cloudflare)는 24일 모질라 파이어폭스(Mozilla Firefox), 구글 크롬(Google Chrome), 마이크로소프트 엣지(Microsoft Edge) 등 주요 웹 브라우저 기업과 쇼피파이(Shopify)와 함께 개인정보 보호 기반 프로토콜 ‘프라이빗 액세스 제어 토큰(Private Access Control Tokens; 이하 PACT)’을 개발하고, 이를 표준화하기 위한 이니셔티브를 발표했다고 밝혔다.

PACT는 사용자가 실제 사람임을 확인할 수 있는 정보를 가진 사이트가 익명 토큰을 발급하는 방식으로 설계됐다.

사용자의 브라우저는 이 토큰을 다른 사이트에 제시해 요청에 실제 사용자가 관여하고 있음을 입증한다.

이를 통해 캡차(CAPTCHA)나 개인정보를 침해할 수 있는 추적 기술에 대한 의존도를 줄일 수 있다고 회사 측은 설명했다.

또한 사용자를 추적하거나 브라우징 기록을 식별하지 않고도 검증이 가능하도록 설계됐다.

생성형 AI 확산으로 자동화 공격이 광범위하고 정교해지면서, 기존 방어 기법만으로는 대응이 어려워지고 있다는 것이 클라우드플레어의 진단이다.

강제 로그인이나 과도한 추적 같은 기존 방식은 사용자 신뢰를 저해할 수 있다는 점도 한계로 지목됐다.

PACT는 기업이 정상 방문자를 정확하게 식별해 중요한 트래픽에 자원을 집중하도록 지원한다.

신원을 이미 확인한 서비스의 검증 정보를 개인정보 보호 방식으로 활용해, 최소한의 사용자 불편으로 방문자 신뢰를 확보할 수 있다고 회사 측은 전했다.

데인 크네히트(Dane Knecht) 클라우드플레어 최고기술책임자(CTO)는 “AI 기반 트래픽이 보편화되면서 기존 도구만으로는 이를 효과적으로 돕기 어려워지고 있다”며 “이번 협력을 통해 사람과 에이전트를 포함한 모든 사용자는 개인정보를 보호하면서도 보안 절차로 인한 불편을 줄일 수 있게 될 것”이라고 말했다.