비공개 상태 토큰

구현 상태

비공개 상태 토큰이란 무엇인가요?

   

비공개 상태 토큰을 사용하면 사용자 인증에 대한 신뢰를 다른 컨텍스트로 전달할 수 있으므로 사이트에서 패시브 추적 없이도 사기를 방지하고 실제 사람과 봇을 구분할 수 있습니다.

  • 발급기관 웹사이트는 계정 계속 사용, 거래 완료 또는 허용 가능한 reCAPTCHA 점수 획득 등을 통해 신뢰할 수 있음을 보여주는 사용자의 웹브라우저에 토큰을 발급할 수 있습니다.
  • 사용자 웹사이트는 사용자가 신뢰하는 발급기관의 토큰이 있는지 확인한 후 필요에 따라 토큰을 사용해 사용자가 가짜가 아닌지 확인할 수 있습니다.

비공개 상태 토큰은 암호화되므로 개인을 식별할 수 없으며 신뢰하는 인스턴스와 신뢰하지 않는 인스턴스를 연결해 사용자 ID를 알아내는 것이 불가능합니다.

비공개 상태 토큰이 필요한 이유는 무엇인가요?

웹에는 사용자가 자신이 주장하는 그대로의 인물이고 인간을 가장한 봇이나 실제 사용자 또는 서비스를 사기하는 악의적인 서드 파티가 아님을 보여주는 신뢰 신호를 설정하고 전달하는 방법이 필요합니다. 사기 방지는 광고주, 광고 제공업체, CDN에 특히 중요합니다.

안타깝게도 신뢰성을 측정하고 전파하는 기존의 많은 메커니즘(예: 사이트와의 상호작용이 실제 사람의 것인지 확인)은 지문 식별에도 사용할 수 있는 기법을 활용합니다. 신뢰를 전달하는 메커니즘은 개인 정보를 보호해야 하므로 개별 사용자 추적 없이 사이트 전반에 신뢰를 전파할 수 있습니다.

웹사이트는 Private State Token API를 사용하여 신뢰할 수 있는 사용자에게 암호화 토큰을 발급할 수 있으며, 이 토큰은 나중에 다른 곳에서 사용할 수 있습니다. 토큰은 사용자의 브라우저에 안전하게 저장되며, 다른 컨텍스트에서 사용자의 신원을 확인하기 위해 사용할 수 있습니다. 이렇게 하면 한 웹사이트 (예: 소셜 미디어 사이트 또는 이메일 서비스)에서 사용자의 신뢰를 다른 웹사이트 (예: 게시자 또는 온라인 상점)로 전달할 수 있습니다. 이때 사용자를 식별하거나 사이트 간에 ID를 연결하지 않아도 됩니다.

비공개 상태 토큰은 어떻게 작동하나요?

이 예에서는 게시자 웹사이트가 광고를 표시하기 전에 사용자가 봇이 아닌 실제 사람인지 확인하려고 합니다.

  1. 사용자가 웹사이트 (발급자라고 함)를 방문하고 구매, 이메일 계정 사용, reCAPTCHA 완료와 같이 사이트에서 사용자가 실제 인간이라고 생각하도록 하는 작업을 실행합니다.
  2. 발급자 사이트는 비공개 상태 토큰 JavaScript API를 사용하여 사용자의 브라우저에 대한 신뢰 토큰 요청을 트리거합니다.
  3. 발급기관 사이트가 토큰 데이터로 응답합니다.
  4. 사용자의 브라우저는 신뢰 토큰의 데이터를 안전하게 저장합니다.
  5. 사용자가 실제 인간인지 확인하려는 다른 웹사이트(예: 뉴스 게시자)를 방문합니다(예: 광고를 표시할 때).
  6. 사이트는 Private State Token API를 사용하여 사용자의 브라우저에 사이트에서 신뢰하는 발급자에 대해 저장된 신뢰 토큰이 있는지 확인합니다.
  7. 비공개 상태 토큰은 사용자가 이전에 방문한 발급자에 대해 찾을 수 있습니다.
  8. 게시자 사이트는 발급기관에 신뢰 토큰을 사용할 수 있도록 요청합니다.
  9. 발급기관 사이트에서 사용 기록으로 응답합니다.
  10. 게시자 사이트는 사용자가 발급기관에서 실제 사람으로 신뢰한다는 것을 보여주는 사용 기록을 포함하여 광고 플랫폼에 요청합니다.
  11. 광고 플랫폼은 광고를 표시하는 데 필요한 데이터를 제공합니다.
  12. 게시자 사이트에 광고가 표시됩니다.
  13. 광고 조회 노출수가 집계됩니다.

비공개 상태 토큰에 도구를 사용할 수 있나요?

Chrome DevTools에서는 네트워크 및 애플리케이션 탭에서 검사를 사용 설정합니다. 이 DevTools 통합비공개 상태 토큰에 대해 자세히 알아보세요.

웹사이트는 여러 신뢰할 수 있는 발급자의 토큰을 어떻게 처리하나요?

사이트는 한 번에 하나의 발급자에 대해 document.hasTrustToken()를 사용하여 사용자의 브라우저에서 유효한 토큰을 확인할 수 있습니다. true이 반환되고 토큰을 사용할 수 있는 경우 사이트는 토큰을 사용하고 다른 토큰을 찾는 것을 중지할 수 있습니다.

웹사이트는 확인할 토큰 발급기관과 순서를 결정해야 합니다.

사용 사례

비공개 상태 토큰 (PST)은 다양한 사기 방지 사용 사례를 지원합니다. 핵심적으로 PST는 API가 한 컨텍스트에서 다른 컨텍스트로 신뢰를 전달하는 데 도움이 되는 정보를 인코딩할 수 있으므로 추가 신뢰 신호 역할을 할 수 있습니다. 서드 파티 쿠키가 사라짐에 따라 다음과 같은 사용 사례가 계속 필요에 따라 작동할 수 있도록 하는 것이 중요하다는 점을 Google은 잘 알고 있습니다. 모든 PST 사용 사례에서는 발급자와 사용자가 함께 작업해야 합니다. 다음과 유사한 사용 사례가 있는 경우 PST를 고려해 볼 수 있습니다.

  • 사기 방지 서비스: 사기 방지는 웹에서 지원해야 하는 합법적인 사용 사례이지만 안정적인 전 세계 사용자별 식별자가 필요하지는 않습니다. 서드 파티 컨텍스트에서 PST는 사용자를 신뢰할 수 있는 세트와 신뢰할 수 없는 세트로 분류하는 데 사용할 수 있습니다.
  • 광고 사기 분석: PST는 광고 기술 서비스에서 발생하는 허위 클릭, 노출, 봇 스킴을 분석하는 데 유용할 수 있습니다.
  • 봇 감지: 브라우저가 봇인지 아닌지에 대한 분석을 실행한 후 PST를 사용하면 이 정보를 인코딩하여 한 컨텍스트에서 다른 컨텍스트로 공유할 수 있습니다.
  • 안전한 결제: 제한된 정보로 서드 파티 컨텍스트에서 식별하기 어려운 위협 (예: 카드 결제 사기)을 감지하기 위해 PST를 신뢰를 전달하는 추가 신호로 사용할 수 있습니다.
  • 전자상거래의 악용 방지 서비스: 전자상거래 상호작용 (클릭, 결제, 구매, 제품 평가, 채팅 봇, 반품)에서 봇을 감지하는 것은 페이지 스크래핑 및 비인간 상호작용을 방지하는 데 매우 중요합니다. 이는 전자상거래 플랫폼에서 서드 파티 사기 방지 제공업체의 자동화된 상담사를 감지하는 데 중요한 추가 신호가 될 수 있습니다.
  • CDN 서비스: PST는 허위 트래픽의 보고 및 감지를 돕는 메커니즘을 제공합니다.

이 사용 사례 목록은 비공개 상태 토큰의 이점을 누릴 수 있는 모든 사기 방지 기능을 모두 나열한 것은 아닙니다. 또한 이 목록은 상호 배타적이지 않으며 PST는 여러 사기 방지 워크플로에 도움이 될 수 있습니다.

사용자 여정

발행 및 사용은 비공개 상태 토큰의 핵심 구성요소입니다. 이전 사용 사례는 PST가 지원되는 주요 영역이지만 특정 사용자 여정에서 다음 순간을 토큰을 실제로 발급하거나 사용할 인스턴스로 생각할 수 있습니다.

  • 계정 관리 흐름 (로그인, 가입, 비밀번호 재설정 등) 중에 토큰 발행
  • 다중 인증 (MFA) 확인 후 토큰 발급
  • 결제 내역 삭제와 같은 고위험 작업 후 토큰 발행
  • 중간 위험 작업을 수행하기 전에 교차 사이트 확인을 위한 토큰을 사용
  • 고위험 작업 전에 교차 사이트 확인을 위해 토큰을 사용

참여 및 의견 공유

자세히 알아보기