reCAPTCHA 키(키라고도 함)를 사용하면 웹페이지와 모바일 애플리케이션에서 사용자 상호작용을 확인하여 엔드포인트를 보호할 수 있습니다.
적절한 reCAPTCHA 키 유형을 선택하려면 각 플랫폼에서 지원되는 키 유형과 각각의 차이점을 이해해야 합니다.
reCAPTCHA 키 유형
다음 표에는 각 플랫폼에서 지원되는 reCAPTCHA 키가 나열되어 있습니다.
| 플랫폼 | 설명 | 지원되는 키 | 과제 유형 |
|---|---|---|---|
| 웹 | 웹페이지 통합용입니다. | 점수 기반 키 | SCORE |
| 체크박스 키 | CHECKBOX |
||
| 정책 기반 챌린지 키(미리보기) | POLICY_BASED_CHALLENGE |
||
| 모바일 | Android 및 iOS 앱과의 통합 | Android용 reCAPTCHA 키 | SCORE |
| iOS용 reCAPTCHA 키 | SCORE |
||
| WAF | WAF 또는 에지 컴퓨팅 서버를 통해 제공되는 웹페이지 및 API | 작업 토큰 키 | SCORE 및 CHECKBOX |
| 세션 토큰 키 | SCORE |
||
| 챌린지 페이지 키 | INVISIBLE |
||
| API | reCAPTCHA JavaScript 또는 모바일 SDK를 지원하지 않는 API 또는 IoT 기기와 같은 클라이언트와의 통합 | 표현식 키 | SCORE |
웹용 reCAPTCHA 키 유형 선택
웹사이트에서 사용자 상호작용을 확인하기 위해 reCAPTCHA는 보안문자 챌린지를 트리거하지 않는 점수 기반 키, 비결정적 보안문자 챌린지를 트리거하는 체크박스 키, 결정적 보안문자 챌린지를 트리거하는 정책 기반 챌린지 키를 제공합니다.
모든 키 유형은 사이트와의 사용자 상호작용을 기반으로 각 요청에 대한 점수를 반환합니다. 이 점수를 통해 상호작용으로 인한 위험도를 이해하고 사이트에 적합한 조치를 취할 수 있습니다.
다음 표는 점수 기반 키, 체크박스 키, 정책 기반 챌린지 키의 차이점을 요약합니다.
| 비교 카테고리 | 점수 기반 키(권장) | 체크박스 키 | 정책 기반 챌린지 키(미리보기) |
|---|---|---|---|
| 설명 | 점수 기반 키를 사용하면 사용자 상호작용 없이 상호작용이 적절한지 확인할 수 있습니다. | 체크박스 키는 사용자가 로봇이 아닌지 확인하는 사용자 상호작용을 요구하는 체크박스 챌린지를 사용합니다. 또한 체크박스 키를 사용하여 보안문자 챌린지를 통해 특정 작업을 보호할 수 있습니다. |
정책 기반 테스트 키는 구성된 점수 기준에 따라 보안문자 테스트를 트리거합니다. 정책 기반 챌린지 키를 사용하여 보안문자 챌린지를 통해 특정 작업을 보호할 수 있습니다. |
| 작동 방식 | 점수 기반 키를 사용하면 reCAPTCHA Enterprise API가 점수를 반환하며, 이 점수를 사용하여 사이트의 컨텍스트에서 작업을 수행할 수 있습니다. 수행할 수 있는 작업의 예로는 인증 단계 추가, 게시물 검토, 콘텐츠 스크랩이 가능한 봇 차단 등이 있습니다. |
체크박스 키는 사용자가 로봇이 아님을 확인하기 위해 클릭해야 하는 로봇이 아닙니다 체크박스를 렌더링합니다. 이 체크박스 키는 보안문자 챌린지를 표시할 수도 있고, 표시하지 않을 수도 있습니다. 두 경우 모두 reCAPTCHA Enterprise API가 점수를 반환합니다. 보안문자 챌린지를 해결하려면 사용자가 여러 이미지 중에서 도로 표지판과 같은 특정 종류의 물체를 선택해야 합니다. 다음 애니메이션 GIF는 체크박스 키의 예시입니다. 다음 이미지는 샘플 보안문자 챌린지를 보여줍니다. 
보안문자 챌린지를 사용하기 전에 보안문자 챌린지 유의사항을 알아야 합니다. |
정책 기반 테스트 키를 사용하면 reCAPTCHA에서 계산한 초기 점수가 구성된 점수 기준점 미만인 경우 보안문자 테스트가 트리거됩니다. 정책 기반 챌린지 키는 보안문자 챌린지를 결정론적으로 트리거할 수 있으므로 체크박스 키와 다릅니다. 보안문자 챌린지를 해결하려면 사용자가 여러 이미지 중에서 도로 표지판과 같은 특정 종류의 물체를 선택해야 합니다. 다음 이미지는 샘플 보안문자 챌린지를 보여줍니다.
보안문자 챌린지를 사용하기 전에 보안문자 챌린지 유의사항을 알아야 합니다. |
| 지원되는 플랫폼 | 웹사이트 및 모바일 플랫폼 | 웹사이트만 | 웹사이트만 |
| 사용 사례 |
점수 기반 키는 다음과 같은 사용 사례에 적합합니다.
|
체크박스 키는 웹페이지의 양식, 로그인, 가입에 적합합니다. 사용자에게 추가적인 마찰을 일으킬 수도 있지만, 보안문자 챌린지와 같은 추가 단계로 인해 초보 공격자를 방지할 수 있습니다. | 정책 기반 챌린지 키는 웹페이지의 양식, 로그인, 가입에 적합합니다. 사용자에게 추가적인 마찰을 일으킬 수도 있지만, 보안문자 챌린지와 같은 추가 단계로 인해 초보 공격자를 방지할 수 있습니다. |
보안문자 챌린지의 주의사항
보안문자 챌린지와 함께 체크박스 키를 사용하여 자동 공격으로부터 보호하려면 다음 사항에 유의하세요.
- 보안문자에는 사용자 상호작용이 필요하므로 마찰이 증가하고 전환율이 감소할 수 있습니다.
- 컴퓨터 비전과 머신 인텔리전스의 발전으로 보안문자는 사람과 봇을 구분하는데 점점 덜 유용해지고 있습니다.
- 또한 보안문자는 모든 유형의 챌린지를 해결할 수 있는 유료 공격자의 위협에 취약합니다.
- 모든 사용자가 보안문자에 액세스할 수 있는 것은 아니므로 웹사이트에 접근성 요구사항이 있는 경우 적합하지 않을 수 있습니다.
WAF용 reCAPTCHA 키 유형 선택
Google Cloud Armor 통합을 위한 reCAPTCHA는 작업 토큰, 세션 토큰, 챌린지 페이지, reCAPTCHA 익스프레스를 지원합니다.
단일 애플리케이션에서 Google Cloud Armor용 reCAPTCHA 기능을 하나 이상 사용할 수 있습니다. 예를 들어 모든 페이지에 세션 토큰을 적용할 수 있으며, 세션 토큰 점수를 바탕으로 의심스러운 요청을 reCAPTCHA 테스트 페이지로 리디렉션할 수 있습니다. 또한 작업 토큰을 결제와 같은 중요한 작업에 사용할 수 있습니다. 자세한 내용은 예시를 참조하세요.
다음 표에서는 Google Cloud Armor에 사용할 수 있는 reCAPTCHA 기능을 간단하게 비교합니다.
| 비교 카테고리 | reCAPTCHA 작업 토큰 | reCAPTCHA 세션 토큰 | reCAPTCHA 테스트 페이지 | reCAPTCHA 익스프레스 |
|---|---|---|---|---|
| 사용 사례 | 로그인 또는 게시물에 댓글 달기와 같은 사용자 작업을 보호하는 데 사용합니다. | 사이트 도메인의 전체 사용자 세션을 보호하는 데 사용됩니다. | 사이트로 연결되는 스팸 활동이 의심되며 봇을 차단해야 하는 경우 사용합니다.
이 방법은 사용자가 보안문자 확인 정보를 확인해야 하므로 사용자 활동을 중단시킵니다. |
환경에서 reCAPTCHA JavaScript 또는 모바일 SDK의 통합을 지원하지 않는 경우 reCAPTCHA 익스프레스를 사용합니다. |
| 지원되는 플랫폼 | 웹사이트 및 모바일 애플리케이션 | 웹사이트 | 웹사이트 | 모든 HTTP 요청입니다. 예: API, 웹사이트, 모바일 애플리케이션, IoT 기기(예: TV 및 게임 콘솔) |
| 클라이언트 통합 노력 | 중간
수동 클라이언트 측 통합 |
중간
WAF에 수동으로 또는 삽입을 통해 reCAPTCHA JavaScript를 설치합니다. |
낮음
보안 정책에 의해 트리거된 전체 화면 광고 |
낮음
클라이언트 통합이 없습니다. |
| 감지 정확도 | 가장 높음
클라이언트, 서버, 작업별 신호를 사용할 수 있습니다. |
높음
클라이언트 및 서버별 신호를 사용할 수 있습니다. |
중간
클라이언트 및 서버별 신호를 사용할 수 있습니다. 클라이언트 신호는 전면 광고 페이지에서만 사용할 수 있습니다. |
낮음
서버 측 신호만 사용할 수 있습니다. |
| 지원되는 reCAPTCHA 버전 | reCAPTCHA 점수 기반 및 체크박스 키 | reCAPTCHA 점수 기반 키 | 인터스티셜 페이지에 삽입된 reCAPTCHA 챌린지 기반 키 | reCAPTCHA 익스프레스 키 |
API용 reCAPTCHA 익스프레스 키 선택
환경에서 JavaScript API 또는 모바일 SDK와 같은 reCAPTCHA 클라이언트 통합을 지원하지 않는 경우 reCAPTCHA 익스프레스를 사용합니다. reCAPTCHA 익스프레스는 API, 웹사이트, 모바일 애플리케이션, IoT 기기(예: TV 및 게임 콘솔)에 적합하지만 클라이언트 측 통합이 불가능한 경우 웹사이트 또는 모바일 애플리케이션을 보호하는 데도 사용할 수 있습니다.
reCAPTCHA 익스프레스는 서버 측 전용 통합이므로 클라이언트 측 신호 수집이 없습니다. 일반적으로 클라이언트 측 구성요소가 포함된 통합보다 감지 정확도가 낮습니다.
다음 단계
- 웹사이트용 reCAPTCHA 키 만들기
- 모바일 애플리케이션용 reCAPTCHA 키 만들기
- WAF용 reCAPTCHA 키 자세히 알아보기
- API용 reCAPTCHA 익스프레스 키에 대해 자세히 알아보세요.