기업을 위해
사기 대응팀, 보안 엔지니어, 플랫폼 PM. 사기가 통과할 때 비용을 치르는 팀과, 진짜 고객이 떠날 때 비용을 치르는 팀입니다.
세 가지 청중. 하나의 신호.
브라우저 핑거프린팅은 한 팀만의 문제가 아닙니다. 동일한 신호가 기업, 플랫폼, 그리고 그것을 사용하는 사람들의 결과를 결정합니다.
-
-
플랫폼을 위해
마켓플레이스, 소셜 네트워크, 다자 플랫폼. 사용자 간 신뢰는 그 어느 때보다 중요하며, Sybil 저항성은 진짜 해자입니다.
-
사람들을 위해
최종 사용자. 충분히 논의되지 않는 이해관계자. Brave를 쓴다는 이유만으로 잘못 챌린지되거나 차단되거나 CAPTCHA를 풀라고 요구받는 사람들.
무엇을 할 수 있는지.
여섯 가지 역량. 모두 실제 비즈니스 성과에 뿌리내려 있습니다.
-
위험 점수
-
봇 탐지
-
운영자 콘솔
-
엣지 우선 지연시간
-
구조적 프라이버시
-
개방형 통합
신호에서 결정까지.
네 단계. 브라우저가 수집하고, 토큰이 신호를 운반하며, 점수는 서버 측에서 보정되고, 여러분의 코드가 결정합니다.
브라우저
SDK는 클라이언트 측에서 30개 이상의 브라우저 신호를 수집합니다 — canvas, WebGL, 오디오, 폰트, 하드웨어 마커. 비동기로 로드되며 DOMContentLoaded를 절대 차단하지 않습니다.
토큰
신호는 서명된 토큰(ES256)으로 래핑되어 백엔드로 전송됩니다. 토큰은 재생할 수 없으며, 전체 핑거프린트를 담고 있습니다.
점수
서버가 verify()를 호출합니다. 5단계 위험 + 신뢰도 + 플래그 추적을 반환합니다. DNS 조회 없음; 엣지에서 p99 12ms 미만.
결정
여러분의 코드가 위험 단계를 읽고 결정합니다. 차단, 챌린지, 관찰 또는 허용 — 여러분의 정책, 우리의 영수증.
무엇을 측정하는가.
네 개의 신호 레이어가 하나의 보정된 지문으로 합쳐집니다. 각 레이어는 서로 다른 질문에 답하며, 합쳐졌을 때 판결과 측정의 차이를 만들어냅니다.
-
브라우저 인텔리전스
브라우저는 진짜인가?
자동화된 트래픽, 가면을 쓴 브라우저, 합성 방문자를 도착하는 순간 잡아냅니다 — 가입, 로그인, 결제에 도달하기 전에. 진짜 고객은 통과하고, 가짜는 통과하지 못합니다.
→ 탐지 카테고리 -
네트워크 신호
네트워크는 안전한가?
정상 트래픽을 벌하지 않으면서 의심스러운 출처와 고위험 인프라를 포착합니다. 원격 근무자, VPN 사용자, 회사 네트워크는 계속 환영받습니다. 도매 사기 출처만 플래그됩니다.
→ 탐지 카테고리 -
하드웨어 검증
기기는 진짜인가?
세션 뒤의 진짜 기기를 검증합니다 — 그 위에서 도는 소프트웨어만이 아니라. 진짜 기기의 진짜 사용자는 매끄럽게 통과합니다. 공유·일회용 인프라에서 도는 봇은 즉시 드러납니다.
→ 탐지 카테고리 -
행동 지문
사용자는 진짜인가?
페이지와 상호작용하는 리듬으로 실제 사람과 스크립트를 구분합니다. 인간은 망설이고, 자신을 교정하고, 탐색합니다. 자동화는 숨길 수 없는 정밀함으로 움직입니다.
→ 탐지 카테고리
네 개의 신호 계층, 각각 다른 질문에 답합니다. 함께라면, 판단과 측정의 차이를 만듭니다.
무엇을 잡아내는가.
여섯 가지 위협 카테고리. 각각이 자동화·사기·남용을 잡아내도록 조정되어 있으며, 진짜 고객을 잘못 챌린지하지 않습니다.
브라우저 요청은 여섯 개의 탐지 카테고리로 분기되며, 가중치가 부여된 신호가 하나의 보정된 위험 점수로 결합됩니다.
- 자동화와 봇 자동화된 트래픽이 로그인·가입·결제에 도달하기 전에 인식합니다.
- 지문 변조 정직한 프라이버시 선택을 막지 않으면서 의도적 회피 시도를 표면화합니다.
- 인프라 남용 도매 사기 신호를 식별하면서 — 원격 근무자에게는 오발화하지 않습니다.
- 프라이버시 브라우저 처리 그 사이에 숨은 행위자를 잡아내면서 정당한 프라이버시 사용자는 환영합니다.
- 하드웨어 증명 기기가 주장하는 그대로인지 검증합니다 — 그 위에서 도는 브라우저뿐만 아니라.
- 행동 이상 서류상으로는 인간처럼 보이지만 사람처럼 행동하지 않는 세션을 잡아냅니다.
왜 우리는 '이건 봇입니다'라고 말하지 않는가.
대부분의 지문 서비스는 듣고 싶은 말을 합니다: 봇이냐 사람이냐. 이진. 깔끔. 틀림. 우리는 신호가 실제로 무엇을 말하는지, 신뢰도와 함께 말합니다 — 결정은 당신의 코드에 맡깁니다.
// 우리는 '이건 봇이다'라고 말하지 않습니다.
// 우리는 risk: medium, confidence: 0.87 이라고 말합니다.
// 결정은 여러분 몫입니다.
다섯 단계. 모집단 데이터에 대해 보정 — 이진이 아니며, 결코 침묵하지 않습니다.
운영 환경에서 확인하세요.
신호가 결정이 되는 곳. 운영자 콘솔 — 검색, 비교, 감사, 결정.
성공이란 이런 모습.
실제 통합에서 나온 실제 숫자. 거짓-음성 쪽으로 편향, 고객 유지 쪽으로 편향.
- 47%
- 차지백 중앙값 감소 (90일)
- 0.4%
- 기본 설정에서의 오탐률
- ~5ms
- 엣지에서의 verify 지연시간 중앙값
-
마켓플레이스
리뷰 폭탄이 일어나기 전에 Sybil 네트워크를 적발 — IP가 아닌 신호로.
-
금융 서비스
차단 대신 새 기기 챌린지. 진짜 고객은 아무것도 느끼지 않습니다.
-
신원에 민감한 플랫폼
매직 링크 클릭을 지문 일치로 검증. 피싱 키트는 여기서 멈춥니다.
정직한 신호. 검증 가능한 주장.
검수에서 버티는 여섯 가지 속성. 벤더의 마법은 없습니다 — 모두 제품 표면에 대해 감사 가능합니다.
-
EU 데이터 레지던시
-
GDPR 대응
-
오픈 SDK 소스
-
PII 미수집
-
p99 verify <12ms
-
마법이 아닌, 보정된 것
우리가 믿는 것.
SDK, API, 운영자 콘솔 — 어디에서나 드러나는 운영 제약.
-
판결보다 보정
정책은 당신 것입니다. 우리는 증거를 전달합니다.
-
소스가 곧 문서
모든 임계값은 문서화되어 있고 조정 가능합니다. 블랙박스 없음.
-
오탐은 받아들일 만한 손실이 아니다
차단된 고객은 절대 돌아오지 않습니다. 우리는 그것에 반대합니다.
-
구조적 프라이버시
PII 없음. 서드파티 호출 없음. 수집하지 않은 것은 팔 수 없습니다.
엔지니어가 묻는 질문.
실제 통합에서 나온 실제 질문들. 여기에 없다면 문서가 답할 가능성이 높습니다.
Tor에서도 동작하나요?
Tor 출구는 IP 신호(datacenter_asn + 알려진 출구 목록)에서 기본적으로 `medium` 위험을 받지만, 지문 자체는 여전히 계산됩니다. 애플리케이션이 Tor를 명시적으로 허용한다면 — 저널리즘, 민감한 검색, 학대 생존자 흐름 — verify 호출에서 `tor_policy: 'allow'`로 설정하면 다른 모든 신호는 활성 상태로 두고 IP 기반 점수만 억제할 수 있습니다. 플래그는 어쨌든 응답에 남으며, 점수에 셈할지 여부만 여러분이 결정합니다.
프라이버시 중심 브라우저 — Brave, LibreWolf, Tor는요?
모두 동작합니다. 각각 특징적인 지문이 있습니다 — Brave의 farbling, LibreWolf와 Tor Browser 프로파일은 우리의 모집단 데이터에 알려져 있습니다. 추적 방지 기능은 검증을 깨뜨리지 않으며, 다른(여전히 일관된) 지문을 만들 뿐입니다. 우리는 사용자를 조용히 벌하기보다 보호 수준을 정직한 신호로 플래그합니다.
오탐률은 어떻게 되나요?
발화하는 임계값에 따라 다릅니다. 기본값(risk ≥ high → challenge)에서 420만 실제 사용자 세션에 대한 사내 그라운드 트루스 벤치마크는 오탐률 약 0.4%를 측정합니다. risk = critical만 사용하면 FP 비율은 약 0.07%로 떨어집니다. 두 수치는 지속적으로 업데이트되며 운영자 대시보드에서 브라우저 패밀리와 국가별로 분해되어 보이므로, 어디에서 누락이 나오는지 확인할 수 있습니다.
백엔드를 운영해야 하나요?
네 — SDK는 브라우저에서 수집하여 서명된 토큰을 발행하고, 검증은 우리의 REST API를 통해 서버 쪽에서 일어납니다. 토큰에는 전체 지문이 임베드되어 암호학적으로 검증되므로(ES256, `kid: nox-2026-01`) `verify()`는 요청 중에 DNS 조회를 하지 않습니다. p99 verify 지연이 5ms 미만인 이유는 재수집이 아니라 서명 검증 + 캐시 조회이기 때문입니다.
GDPR / CCPA 준수는요?
여러분의 DPA 하의 하위처리자이며, 자체 DPA는 요청 시 제공합니다. 지문은 재방문자를 재식별할 수 있으므로 '개인 데이터'로 처리하며 — 제28조의 전면 통제가 적용됩니다. 제3국 이전 없음. 인프라는 EU 거주(Cloudflare EU 전용 라우팅). 백오피스를 통한 요청 시 하드 삭제 가능. DPA는 24시간 안에 서명 가능. 하위처리자 목록은 `/subprocessors`에 있습니다.
문서에 다섯 개의 질문이 더 있습니다 — 온프레미스, iframe, 네트워크 동작, 임계값 조정, Noxtica 대 CAPTCHA. → 문서에서 모든 질문 보기
오늘부터 사용자를 보호하세요.
사기가 도달하기 전에 차단하세요. 실제 고객은 막힘없이 흐르도록 합니다. 트래픽에 맞춘 보정과, 실제로 전화를 받아주는 팀을 만나보세요.
얻을 수 있는 것
단순한 가격 페이지가 아닌, 파트너.
자신 있게 출시하는 데 필요한 모든 것 — 그리고 불필요한 건 아무것도 없습니다.