다음 달부터, 당신의 무료 체험 쿠폰을 가장 빠르게 소진하는 건 사람이 아니라 봇일 거예요. 인기 시술 예약 슬롯도, 한정판 드롭도 마찬가지고요. 차이는 하나예요. 예전 봇은 어설퍼서 막을 수 있었지만, 지금 봇은 사람이 시킨 'AI 에이전트'라 사람과 구분이 안 된다는 것. 막으면 진짜 고객까지 막히고, 풀면 봇이 쓸어가요.
이 글은 그 딜레마를 푸는 새 인프라 한 가지에 대한 거예요. 멀리 있는 크립토 뉴스가 아니라, 에이전트가 결제하는 시대에 "한 명당 한 번"을 어떻게 다시 보장할 것인가라는, 모든 이커머스·예약·구독 사업자의 문제예요.
왜 이게 당장 당신의 문제냐면
지금까지 사업자가 봇을 막는 방식은 단순했어요. 자동화 트래픽이면 일단 차단. CAPTCHA를 띄우고, 속도를 제한하고, 의심스러우면 끊었죠. 이게 통했던 건 "자동화 = 나쁜 봇"이라는 등식이 대체로 맞았기 때문이에요.
그런데 이 등식이 지금 깨지고 있어요. 사용자가 AI 에이전트에게 "이거 대신 사줘", "예약 잡아줘"라고 시키면, 그 에이전트는 합법적인 사람의 의뢰를 받았지만, 사이트 입장에선 여전히 자동화 트래픽이에요. 매킨지는 이 에이전트 커머스 시장이 2030년까지 3~5조 달러 규모가 될 거라 보고, Bain은 2030년까지 AI 에이전트가 미국 이커머스의 최대 25%를 차지할 수 있다고 전망했어요. 즉 당신이 막아야 할 자동화 트래픽의 1/4이 사실은 진짜 고객이 보낸 거라는 뜻이에요.
비용은 이미 나오고 있어요. PYMNTS 리서치에 따르면 글로벌 기업의 56.3%가 봇·에이전트 위협을 경험했고, 디지털 신원 시스템 결함으로 연매출의 평균 3.1%를 잃고 있어요. 조사 대상 기업 합산으로 연 949억 달러 규모예요. 막아도 손해(고객 이탈), 안 막아도 손해(봇 악용)인 상황이죠.
해결의 핵심: 트래픽을 막지 말고, "사람"을 증명하게 하라
발상의 전환은 간단해요. 에이전트인지 아닌지를 따지지 말고, 그 에이전트 뒤에 진짜 고유한 사람이 한 명 있는지를 묻는 거예요. 이걸 가능하게 하는 도구가 Sam Altman이 공동 창업한 신원 프로젝트 World(구 Worldcoin)가 출시한 AgentKit이에요.
작동 원리는 이래요. 사용자가 Orb라는 기기로 홍채를 한 번 스캔하면 고유한 World ID가 생겨요. 이 ID를 자기 AI 에이전트에 위임하면, 에이전트가 사이트에 접근할 때 "나는 검증된 고유 인간이 보낸 에이전트입니다"라고 암호학적으로 증명할 수 있어요. 중요한 건, 영지식 증명(zero-knowledge proof)을 쓰기 때문에 "한 명의 진짜 사람"이라는 사실만 전달되고 그 사람이 누구인지는 노출되지 않는다는 점이에요.
이 위에 결제가 얹혀요. AgentKit은 Coinbase와 Cloudflare가 만든 x402 프로토콜과 연동되는데, x402는 AI 에이전트가 소액결제를 하게 해주는 인터넷 결제 계층이에요. 여기에 "사람 증명"을 붙인 거죠. Coinbase 개발자 플랫폼 엔지니어링 총괄 Erik Reppel의 한 줄이 정확해요.
"결제는 에이전트 커머스의 'how'이고, 신원은 'who'입니다."
신원 인증이 진화하는 3단계
KYC(고객 확인) → KYA(에이전트 확인) → Know Your Human(에이전트 뒤의 인간 확인). 사람이 직접 결제하던 시대엔 KYC면 충분했지만, 에이전트가 결제하는 시대엔 "이 에이전트가 진짜 사람 한 명을 대리하는가"가 마지막 관문이 돼요.
규모도 장난감이 아니에요. 현재 World 네트워크엔 약 1,800만 명의 인증된 사용자가 160개국 이상에 분포해 있고, 이게 AgentKit이 즉시 작동할 수 있는 기반이에요.
그래서 무엇이 가능해지나 — 사업자 관점 비교
핵심은 "착한 에이전트와 나쁜 에이전트를 구분하는 인프라"라는 거예요. 에이전트를 막는 게 아니라요. 당신이 운영하는 서비스 유형별로 무엇이 달라지는지 보세요.
| 당신의 고민 | 지금 방식 | AgentKit 적용 후 |
|---|---|---|
| 봇 대응 | 모든 자동화 트래픽 차단 (고객도 같이 막힘) | 사람 증명된 에이전트만 통과 |
| 예약·티켓 독점 | CAPTCHA·전화 인증으로도 뚫림 | 고유 인간 1명 = 1예약 보장 |
| 무료 체험 악용 | 이메일 무한 생성으로 무력화 | 고유 인간 1명당 N회로 제한 |
| 사기 방지 | 소액결제 속도 제한이 전부 | 1인당 에이전트 수까지 제한 가능 |
| 프라이버시 | 결제 기록으로 사용자 추적됨 | 영지식 증명으로 익명 유지 |
구체적으로 그려볼게요. 인기 레스토랑·시술 예약 플랫폼(Resy, 캐치테이블 같은)이 AgentKit을 도입하면, AI 에이전트가 대신 예약을 잡는 건 허용하면서도 한 사람이 에이전트 100개를 돌려 좌석을 독점하는 건 막혀요. 콘서트 암표상도, 무료 체험을 이메일 무한 생성으로 빨아먹는 어뷰저도 같은 원리로 차단되고요. "한 명당 한 번"이라는, CAPTCHA가 끝내 지키지 못했던 규칙이 다시 강제되는 거예요.
지금 시작하는 법
읽고 끝내면 남는 게 없어요. 개발자(에이전트를 쓰는 쪽)와 사업자(검증을 요구하는 쪽), 두 입장 모두를 위한 순서예요.
- World ID부터 만들기
world.org에서 가까운 Orb 위치를 찾아 홍채 스캔을 완료하세요. 전 세계 주요 도시에 Orb가 배치돼 있어요. 이게 모든 것의 출발점이에요. - AgentKit 개발자 프리뷰 열기
docs.world.org/agents/agent-kit에서 문서와 프리뷰에 접근하세요. 현재 베타 단계예요. - 에이전트에 World ID 위임 (에이전트 쓰는 쪽)
인증 후 자기 에이전트를 등록하면, 그 에이전트가 x402 지원 사이트에서 "사람 증명"을 제시할 수 있게 돼요. - x402 위에 검증 레이어 얹기 (사업자)
x402를 이미 쓰고 있다면 AgentKit을 추가 레이어로 얹으면 돼요. 소액결제와 사람 증명을 동시에 요구할지, 둘 중 하나만 받을지 택할 수 있어요. - 정책 한도 설정 (사업자)
여기가 진짜 효과가 나는 지점이에요. 고유 인간 1명당 에이전트 수, 일일 거래 횟수, 무료 체험 횟수를 플랫폼 레벨에서 직접 정하세요. 예약·구독·체험 어뷰징을 정책으로 끊는 거예요.
도입 전 반드시 체크
AgentKit은 현재 베타이고, Orb 기반 생체 인증이 필수예요. 향후 NFC 여권·신분증 기반 인증도 추가될 예정이지만, 지금은 Orb 접근이 가능한 지역에서만 실사용이 됩니다. 한국·아시아 사용자 커버리지가 충분한지부터 확인하고 파일럿 범위를 잡으세요.
당장 못 붙여도, 지금 해야 할 한 가지
Orb 커버리지나 베타 제약으로 바로 도입이 어렵다면, 최소한 "합법적 에이전트 트래픽을 무조건 차단하는 현재 정책"부터 재검토하세요. 곧 들어올 고객의 1/4이 에이전트라면, 무차별 차단은 매출을 스스로 막는 일이 돼요. 사람 증명 인프라가 성숙하기 전까지의 임시 화이트리스트·완화 정책을 지금 설계해두는 게 실질적인 준비예요.
