reCAPTCHA 키(키라고도 함)를 사용하면 웹페이지와 모바일 애플리케이션에서 사용자 상호작용을 확인하여 엔드포인트를 보호할 수 있습니다.
적절한 reCAPTCHA 키 유형을 선택하려면 각 플랫폼에서 지원되는 키 유형과 각각의 차이점을 이해해야 합니다.
reCAPTCHA 키 유형
다음 표에는 각 플랫폼에서 지원되는 reCAPTCHA 키가 나열되어 있습니다.
| reCAPTCHA 키 유형 | 설명 | 지원되는 키 | 키 통합 유형 |
|---|---|---|---|
| 웹용 reCAPTCHA 키 | 웹페이지에 reCAPTCHA Enterprise를 통합하는 키입니다. | 점수 기반 키 | SCORE |
| 체크박스 키 | CHECKBOX |
||
| 모바일 애플리케이션용 reCAPTCHA 키 | Android 및 iOS 앱에 reCAPTCHA Enterprise를 통합하는 키입니다. | Android용 reCAPTCHA 키 | SCORE |
| iOS용 reCAPTCHA 키 | SCORE |
||
| WAF용 reCAPTCHA 키 | WAF 레이어에서 reCAPTCHA Enterprise를 통합하는 키입니다. | 작업 토큰 키 | SCORE, CHECKBOX |
| 세션 토큰 키 | SCORE |
||
| 챌린지 페이지 키 | INVISIBLE |
||
| 표현식 키 | SCORE |
웹용 reCAPTCHA 키 유형 선택
웹사이트의 경우 reCAPTCHA Enterprise는 사용자 상호작용을 확인하기 위해 점수 기반(챌린지 없음) 및 체크박스(체크박스 시각적 챌린지) 키를 제공합니다. 두 키 유형 모두 사이트와의 상호작용을 기준으로 각 요청에 대한 점수를 반환합니다. 이 점수를 통해 상호작용으로 인한 위험도를 이해하고 사이트에 적합한 조치를 취할 수 있습니다.
다음 표는 점수 기반 및 체크박스 키의 차이를 요약하고 사용 사례에 따라 적절한 키를 선택하는 데 도움이 됩니다.
| 비교 카테고리 | 점수 기반 키(권장) | 체크박스 키 |
|---|---|---|
| 설명 | 점수 기반 키를 사용하면 사용자 상호작용 없이 상호작용이 적절한지 확인할 수 있습니다. | 체크박스 키는 사용자가 로봇이 아닌지 확인하는 사용자 상호작용을 요구하는 체크박스 챌린지를 사용합니다. 또한 체크박스 키를 사용하여 보안문자 챌린지를 통해 특정 작업을 보호할 수 있습니다. |
| 작동 방식 | 점수 기반 키를 사용하면 reCAPTCHA Enterprise API가 점수를 반환하며, 이 점수를 사용하여 사이트의 컨텍스트에서 작업을 수행할 수 있습니다. 수행할 수 있는 작업의 예로는 인증 단계 추가, 게시물 검토, 콘텐츠 스크랩이 가능한 봇 차단 등이 있습니다. |
체크박스 키는 사용자가 로봇이 아님을 확인하기 위해 클릭해야 하는 로봇이 아닙니다 체크박스를 렌더링합니다. 이 체크박스 키는 보안문자 챌린지를 표시할 수도 있고, 표시하지 않을 수도 있습니다. 두 경우 모두 reCAPTCHA Enterprise API가 점수를 반환합니다. 보안문자 챌린지를 해결하려면 사용자가 여러 이미지 중에서 도로 표지판과 같은 특정 종류의 물체를 선택해야 합니다. 다음 애니메이션 GIF는 체크박스 키의 예시입니다. 다음 이미지는 샘플 보안문자 챌린지를 보여줍니다. 보안문자 챌린지를 사용하기 전에 보안문자 챌린지 유의사항을 알아야 합니다. |
| 지원되는 플랫폼 | 웹사이트 및 모바일 플랫폼 | 웹사이트만 |
| 사용 사례 |
점수 기반 키는 다음과 같은 사용 사례에 적합합니다.
|
체크박스 키는 웹페이지의 양식, 로그인, 가입에 적합합니다. 사용자에게 추가적인 마찰을 일으킬 수도 있지만, 보안문자 챌린지와 같은 추가 단계로 인해 초보 공격자를 방지할 수 있습니다. |
보안문자 챌린지의 주의사항
보안문자 챌린지와 함께 체크박스 키를 사용하여 자동 공격으로부터 보호하려면 다음 사항에 유의하세요.
- 보안문자에는 사용자 상호작용이 필요하므로 마찰이 증가하고 전환율이 감소할 수 있습니다.
- 컴퓨터 비전과 머신 인텔리전스의 발전으로 보안문자는 사람과 봇을 구분하는데 점점 덜 유용해지고 있습니다.
- 또한 보안문자는 모든 유형의 챌린지를 해결할 수 있는 유료 공격자의 위협에 취약합니다.
- 모든 사용자가 보안문자에 액세스할 수 있는 것은 아니므로 웹사이트에 접근성 요구사항이 있는 경우 적합하지 않을 수 있습니다.
WAF용 reCAPTCHA 키 유형 선택
다음 표에서는 reCAPTCHA 작업 토큰, reCAPTCHA 세션 토큰, reCAPTCHA 테스트 페이지, reCAPTCHA WAF 익스프레스 보호를 간단하게 비교합니다.
| 비교 카테고리 | reCAPTCHA 작업 토큰 | reCAPTCHA 세션 토큰 | reCAPTCHA 테스트 페이지 | reCAPTCHA WAF 익스프레스 보호 |
|---|---|---|---|---|
| 사용 사례 | 로그인 또는 게시물에 댓글 달기와 같은 사용자 작업을 보호하려면 reCAPTCHA 작업 토큰을 사용합니다. | 사이트 도메인의 전체 사용자 세션을 보호하려면 reCAPTCHA 세션 토큰을 사용합니다. | 사이트로 연결되는 스팸 활동이 의심되며 봇을 차단해야 하는 경우 reCAPTCHA 테스트 페이지를 사용합니다.
이 방법은 사용자가 보안문자 확인 정보를 확인해야 하므로 사용자 활동을 중단시킵니다. |
환경에서 reCAPTCHA 자바스크립트 또는 모바일 SDK의 통합을 지원하지 않는 경우 reCAPTCHA WAF 익스프레스 보호를 사용합니다. |
| 지원되는 플랫폼 | 웹사이트 및 모바일 애플리케이션 | 웹사이트 | 웹사이트 | API, 웹사이트, 모바일 애플리케이션, IoT 기기(예: TV 및 게임 콘솔) |
| 통합 노력 | 보통
통합하려면 다음을 수행해야 합니다.
|
보통
통합하려면 다음을 수행해야 합니다.
|
낮음
통합하려면 Google Cloud Armor의 보안 정책 규칙 또는 타사 WAF 서비스 제공업체의 reCAPTCHA 방화벽 정책을 구성해야 합니다. |
낮음
통합하려면 WAF 서비스 제공업체를 이용하여 reCAPTCHA WAF 익스프레스 보호를 구성하거나 애플리케이션 서버에서 reCAPTCHA Enterprise로 요청해야 합니다. |
| 감지 정확도 | 가장 높음
작업 토큰은 개별 사용자 작업을 보호합니다. |
높음
세션 토큰은 사이트 도메인의 전체 사용자 세션을 보호합니다. |
보통
이 프로세스에서는 reCAPTCHA 테스트 페이지로 리디렉션하므로 페이지별 신호를 모두 수신하지 못할 수 있습니다. 그 결과 봇 감지의 정확도가 떨어질 수 있습니다. |
낮음
클라이언트 측 신호를 사용할 수 없습니다. |
| 지원되는 reCAPTCHA 버전 | reCAPTCHA Enterprise 점수 기반 및 체크박스 키 | reCAPTCHA Enterprise 점수 기반 키 | reCAPTCHA 테스트 페이지에서는 최적화된 reCAPTCHA 버전을 사용하여 통합을 최소화합니다. | reCAPTCHA Enterprise 점수 기반 키 |
단일 애플리케이션에서 WAF용 reCAPTCHA Enterprise 기능을 하나 이상 사용할 수 있습니다. 예를 들어 모든 페이지에 세션 토큰을 적용할 수 있으며, 세션 토큰 점수를 바탕으로 의심스러운 요청을 reCAPTCHA 테스트 페이지로 리디렉션할 수 있습니다. 또한 작업 토큰을 결제와 같은 중요한 작업에 사용할 수 있습니다. 자세한 내용은 예시를 참조하세요.