캡차 비교 2026: Turnstile vs hCaptcha vs reCAPTCHA vs PrivateStater
예전에는 reCAPTCHA만 붙이면 모든것이 완벽했습니다. 하지만 Google은 역시 Google입니다. 무료 한도가 대폭 줄어들고, 프라이버시 문제는 여전히 남아있으며, 모바일에서는 Play Services 의존성까지 생겼습니다.
이제 그 기본값은 다시 검토할 이유가 많아졌습니다. reCAPTCHA는 프라이버시 문제가 있고, 안드로이드에서는 Play Services 의존성까지 생겼습니다. hCaptcha는 대부분의 사람의 뇌로는 푸는데 30초가 넘게 걸립니다. Turnstile은 잘 될 때는 편하지만 Cloudflare가 보는 브라우저 신호에 기대고 있습니다. PrivateStater는 추적과 플랫폼 락인 없이 봇을 막고 싶은 사이트를 위해 제가 만든 선택지입니다.
Turnstile
Turnstile은 성공할 때 사용자 경험이 가장 좋습니다. 사용자는 "버스가 포함된 이미지를 모두 선택하세요" 대신 체크박스 하나만 체크하면 끝입니다. Cloudflare가 브라우저 신호를 보고 요청이 사람처럼 보이는지 판단한 뒤 폼을 계속 진행시킵니다.
대규모가 아니라면 완전히 무료인것이 가장 큰 강점입니다.
하지만 단점이 큽니다. Turnstile과 Frendly Captcha는 서비스들은 작업 증명(PoW)에만 의존하는데, 이건 공격 비용을 증가시키지만 그것만 감수한다면 봇도 충분히 통과 가능합니다.
가격과 사용자 경험 vs 봇 차단 성능의 트레이드오프가 있습니다.
hCaptcha
hCaptcha는 가장 잘 알려진 reCAPTCHA 대안입니다.
무료 Basic 플랜은 많은 작은 사이트를 커버합니다.Pro 플랜은 월 $99부터 시작하고 100,000회 인증을 포함하며, 초과분은 1,000회당 $0.99입니다. 규모가 커질수록 가격이 급격하게 증가합니다.
가장 큰 문제는 너무 어렵습니다. 저 또한 hCaptcha를 풀때마다 30초 이상이 걸리고 대부분의 사람들도 마찬가지일 것입니다. 단순히 봇이 아님을 확인하는게 아니라, 인간으로써 독해력과 사고력이 충분한지 시험을 보는 수준입니다.
reCAPTCHA
reCAPTCHA는 익숙해서 기본값으로 남아 있습니다. v2, v3, Enterprise 모두 구글의 위험 분석 시스템에 연결됩니다.
그 시스템이 문제입니다. 구글은 reCAPTCHA가 로드되는 페이지에서 마우스 움직임, 스크롤, 브라우저 패턴 같은 행동 데이터를 수집합니다. EU 결정들은 이런 데이터 수집을 GDPR 문제로 반복해서 지적했습니다.
가격도 바뀌었습니다. 무료 티어는 월 10,000회 평가입니다. Standard는 월 $8로 100,000회까지 커버합니다. 그 이후 Enterprise는 추가 1,000회당 $1입니다.
만약 큰 금액을 지불할수 있을 만큼 돈이 충분히 많고, 프라이버시를 중요하게 생각하는 사용자가 거의 없다면 reCAPTCHA를 쓸 수 있습니다.
PrivateStater Captcha
PrivateStater Captcha는 제가 만든 서비스이며 중간 수준의 사용자 경험과 중간 수준의 봇 차단을 목표로 합니다. Turnstile과 Friendly Captcha는 작업 증명에만 의존하는 반면, PrivateStater Captcha는 세 가지 계층을 사용하여 봇을 차단합니다.
- 슬라이딩 퍼즐: 먼저 드래그 챌린지를 보여줍니다. 어렵지 않으며 푸는데 약 5초정도 걸립니다.
- 작업 증명: 폼 제출 전에 브라우저가 작은 Argon2id 챌린지를 풉니다.
- 허니팟: 기초적인 수준의 봇이 사람에게는 보이지 않는 숨은 필드를 채우면 다른걸 잘 풀었든 못풀었든 실패로 처리합니다.
쿠키, 행동 프로필, Play Services 강제가 없습니다.
무료 티어는 월 20,000회 성공 인증입니다. 실패한 시도는 카운트하지 않습니다. 유료 애드온은 200,000회 성공 인증당 $3.99부터 시작합니다.
예측 가능한 가격, 쉬운 통합, 좋은 사용자 경험, 실제로 작동을 하는 봇 차단, 프라이버시 우선 검증, De-Googled 기기 지원이 중요하면 가장 좋은 선택입니다.
비교표
| 항목 | Turnstile | hCaptcha | reCAPTCHA | PrivateStater |
|---|---|---|---|---|
| 무료 티어 | 무제한 | 월 100,000회 | 월 10,000회 | 월 20,000회 |
| 실패시 무료 | 예 | 아니요 | 아니요 | 예 |
| 사용자 상호작용 | 체크박스 클릭 | 어려운 문제 풀기 | 일반적인 문제 풀기 | 퍼즐 드래그 |
| 프라이버시 | 보통 | 보통 | 낮음 | 높음 |
| GDPR 관점 | 예 | 예 | 문제 있음 | 예 |
| De-Googled 안드로이드 | 예 | 예 | 아니오 | 예 |
큰 트래픽에서 비용
아래는 정상 트래픽과 공개 가격 기준입니다.
| 사용량 | Turnstile | hCaptcha | reCAPTCHA | PrivateStater |
|---|---|---|---|---|
| 월 20,000회 | 무료 | 무료 | $8 | 무료 |
| 월 50,000회 | 무료 | 무료 | $8 | 무료 |
| 월 100,000회 | 무료 | 무료 | $8 | 무료 |
| 월 200,000회 | 무료 | $99 | ~$108 | $3.99 |
| 월 500,000회 | 무료 | ~$495 | ~$408 | $11.97 |
| 월 1,000,000회 | 무료 | ~$990 | ~$908 | $19.95 |
가격만 보면 Turnstile이 가장 강합니다. 성공 인증 기준 과금, 실패 시도 처리, 기기 지원까지 함께 보면 PrivateStater가 가장 강력합니다.
그래서 무엇을 사용할까요
제가 만든거니 당연하지만 저라면 무료 사용량이 많고, 쉬우며, 사용자 경험이 크게 저하되지 않는 PrivateStater Captcha를 사용할겁나다.
이미 Cloudflare를 쓰고 사용자 마찰을 가장 줄이고 싶으면 Turnstile도 좋은 선택입니다.
인지도 있는 reCAPTCHA 대안이 필요하고 사용자 경험이 낮아져도 괜찮은 환경이라면 hCaptcha도 추천합니다.
reCAPTCHA는 어떤 경우에도 추천하지 않습니다. 애초에 저는 구글을 혐호하는 사람중 한명입니다. 구글의 프라이버시 침해, 가격 정책, Play Services 의존성 강제는 모두 reCAPTCHA를 사용하지 말아야 할 이유입니다.