Private Access Tokens, 신뢰 신호로 읽습니다.
업계는 사용자를 식별하지 않으면서 요청이 실제 기기에서 왔음을 증명하는 암호학적 어테스테이션 토큰을 만들고 있습니다. CaptchaLa는 이 토큰을 수집하여 검증된 방문자가 챌린지 없이 통과하도록 하고, 그 외 모든 방문자에게는 리스크 기반 검증으로 대체합니다. 우리는 어테스테이션을 대체하는 것이 아니라 보완합니다.
어테스테이션 토큰이란
어테스테이션 토큰은 요청이 정품 브라우저나 기기에서 왔다는 것을 나타내는 서명된 진술입니다. 기기가 자신의 플랫폼에 스스로를 증명하면 플랫폼이 토큰을 발급하고, 사이트는 사람에게 CAPTCHA를 풀게 하는 대신 그 토큰을 받습니다. 토큰에는 신원 정보가 담기지 않으므로 사이트를 넘나들며 사용자를 추적하지 않습니다.
웹에서는 이것이 Private Access Tokens와 Privacy Pass(RFC 9576) 위에 구축됩니다. 더 새로운 확장인 PACT — Private Access Control Tokens — 는 이 토큰의 발급과 사용 방식을 넓히기 위해 2026년 6월 Cloudflare, Chrome, Firefox, Edge, Shopify가 제안했습니다.
목표는 실제 사용자가 챌린지를 더 자주 건너뛸 수 있게 하면서, 설계 단계에서부터 검증을 비공개로 유지하는 것입니다.
PACT는 초기 제안 단계이며 광범위한 배포까지는 수년이 걸립니다. CaptchaLa는 오늘날 이미 존재하는 Private Access Tokens / Privacy Pass 메커니즘을 지원하며, 제안이 발전하는 과정을 따라갑니다. 그 무엇도 기다릴 필요가 없습니다.
CaptchaLa가 이를 사용하는 방식
우리는 어테스테이션 토큰을 전체 판단이 아니라 여러 신뢰 신호 중 하나로 취급합니다. 흐름은 단순합니다:
검증된 토큰, 챌린지 건너뛰기
유효한 어테스테이션 토큰이 있으면 발급자의 공개 키로 검증합니다. 검증된 토큰을 가진 저위험 방문자는 대화형 챌린지 없이 통과합니다.
리스크 기반 검증으로 대체
토큰이 없거나 검증할 수 없는 경우, CaptchaLa는 기기·네트워크·행동 신호로 구성된 자체 리스크 엔진을 사용하며, 요청이 의심스러워 보일 때만 챌린지를 표시합니다.
어디서 동작하나: 웹 대 네이티브
어테스테이션은 모든 곳에서 동일하지 않습니다. 무엇이 자동으로 동작하고 무엇이 설정을 필요로 하는지에 대한 정확한 그림은 다음과 같습니다.
웹 — Private Access Tokens / Privacy Pass
자동웹에서 CaptchaLa는 발급자의 공개 키로 Private Access Tokens를 검증합니다. 별도로 설정할 것이 없습니다 — 지원되는 브라우저와 기기가 토큰을 생성하고, 우리는 그것을 읽습니다.
iOS App Attest / Android Play Integrity
선택, 직접 설정이 네이티브 어테스테이션은 공개 발급자가 아니라 앱 자체의 개발자 신원에 묶여 있습니다. 자신의 앱을 위해 직접 설정하는 선택적 신호로만 동작할 수 있으므로 모두에게 자동으로 적용되지는 않습니다.
그 외 네이티브 앱
자체 리스크 신호플랫폼 어테스테이션이 설정되지 않은 경우, 네이티브 앱은 CaptchaLa 자체의 기기 및 행동 리스크 신호 — 웹 대체 경로를 보호하는 것과 동일한 엔진 — 에 의존합니다.
어테스테이션은 "실제 기기"라고 말합니다. 우리는 "실제이면서 악용하지 않음"을 더합니다.
어테스테이션은 요청이 정품 기기에서 왔음을 확인할 수 있습니다. 하지만 그 기기가 서비스를 악용하는 데 쓰이고 있는지는 알려주지 못합니다. 그 간극이 바로 CaptchaLa의 지속적인 가치가 자리하는 곳이며, 어테스테이션이 출시되어도 사라지지 않습니다.
크리덴셜 스터핑
탈취한 아이디·비밀번호 목록을 돌리는 실제 기기도 어테스테이션 토큰에는 여전히 실제 기기로 보입니다. 우리의 리스크 엔진이 그 패턴을 잡아냅니다.
프록시 및 봇 팜
다수의 정품 기기에서 발생하는 분산 악용은 어테스테이션을 통과하지만 행동 및 네트워크 점수에서는 실패합니다.
OTP 및 가입 악용
대량 계정 생성과 일회용 비밀번호 파밍은 실제 휴대폰에서 발생합니다. 우리는 기기의 진위뿐 아니라 의도를 점수화합니다.
사기 및 콘텐츠 악용
결제 사기, 스팸, 유해 업로드는 어테스테이션이 측정하지 않는 행동에 관한 것이며, 우리의 리스크 엔진과 콘텐츠 모더레이션이 다루는 영역입니다.