Question

구글 reCAPTCHA, Cloudflare Turnstile 같은 캡차 봇 인증 모듈들 전부 무료인가요? 무료로 쓸 수 있는 것들과 사용방법 정리 부탁드립니다.

회원가입/로그인/문의폼에 봇이 계속 들어와서 캡차를 붙이려고 합니다.
구글 reCAPTCHA, Cloudflare Turnstile, hCaptcha처럼 업체들이 여러 개 있던데 전부 무료인지 궁금합니다.

조건은 아래처럼 생각하고 있어요.

1. 가능하면 무료(또는 무료 구간이 충분한 것)

2. 사용자가 퍼즐 맞추는 방식은 최소화(가능하면 보이지 않게)

3. 프론트와 백엔드에서 어떻게 붙이는지 큰 흐름을 알고 싶음

무료로 쓸 수 있는 캡차/봇체크 서비스들을 정리해주시고,
각 서비스별로 어떻게 적용하는지 질문-답변 형식으로 쉽게 설명 부탁드립니다.

Answer 1

결론부터 말하면 전부 무료는 아닙니다.
무료인 것도 있고, 무료 플랜/무료 구간만 제공하는 것도 있고, 사실상 유료인 것도 있습니다.
아래는 실무에서 많이 쓰는 무료 또는 무료 구간 제공 옵션들과 적용 흐름입니다.

Q1. 완전 무료로 쓰기 좋은 캡차 대안이 있나요?
A1. Cloudflare Turnstile이 대표적인 무료 대안입니다.

• 특징: 사용자가 퍼즐을 푸는 형태가 아니라, 대부분 자동으로 판별되어 UX가 좋습니다.

• 제한: 계정에서 생성 가능한 위젯 개수 같은 운영 제한이 있을 수 있습니다(사이트/폼이 많으면 체크 필요).

• 추천 상황: 일반 웹서비스 폼(로그인, 회원가입, 문의폼)에 빠르게 붙이고 싶을 때

Q2. Google reCAPTCHA는 무료인가요?
A2. reCAPTCHA는 무료로 시작 가능한 구간이 있지만, 현재는 티어(등급) 체계로 운영되고 있어서 사용량/기능에 따라 비용이 발생할 수 있습니다.

• v2(체크박스, 이미지 선택) / v3(점수 기반) 방식이 있고,

• 대규모 트래픽, 고급 기능, 기업 요구사항(SLA 등)이 필요하면 유료 티어를 보게 되는 구조입니다.

• 추천 상황: 이미 구글 생태계를 쓰고 있고, 운영 정책/요금 구조까지 감당 가능한 경우

Q3. hCaptcha는 무료인가요?
A3. hCaptcha도 기본 무료 구간이 있고, 고급 기능(정밀 설정, 분석, 기업 기능)이 필요하면 유료로 확장하는 구조입니다.

• 특징: reCAPTCHA와 붙이는 방식이 유사해서 마이그레이션이 비교적 쉽습니다.

• 추천 상황: reCAPTCHA 대체재가 필요하고, 무료 구간으로 충분한 트래픽인 경우

Q4. Prosopo Procaptcha는 무료인가요?
A4. 무료 플랜(월 요청 수 제한, 보호 사이트 수 제한 등)이 있고, 트래픽이 늘면 유료 플랜으로 업그레이드하는 구조입니다.

• 특징: 비교적 프라이버시 친화적인 방향을 강조합니다.

• 추천 상황: 작은/중간 규모 사이트에서 무료 구간으로 시작해보고 싶을 때

Q5. Friendly Captcha 같은 것들도 무료인가요?
A5. 업체별로 다른데, Friendly Captcha는 보통 유료 플랜 중심으로 알려져 있습니다.
즉, 검색해보면 이름이 자주 보인다고 해서 무료라고 보면 안 되고, 플랜/제한을 꼭 확인해야 합니다.

Q6. 완전 무료로 쓰려면 오픈소스 자가호스팅도 가능한가요?
A6. 가능합니다. 대표적으로 ALTCHA, mCaptcha처럼 직접 서버에 올려서 쓰는 방식이 있습니다.

• 장점: 외부 업체 의존이 줄고, 비용이 서비스 요금이 아니라 내 서버 운영비로 바뀝니다.

• 단점: 배포/운영/모니터링을 직접 해야 하고, 트래픽이 커지면 인프라 비용과 운영 난이도가 올라갑니다.

• 추천 상황: 프라이버시/내부통제가 중요하거나, 외부 서비스 정책 변화가 부담일 때

Q7. 캡차는 프론트만 붙이면 되나요?
A7. 아닙니다. 핵심은 백엔드 검증입니다.
흐름은 거의 공통으로 아래처럼 갑니다.

1. 프론트에서 캡차 위젯 또는 스크립트를 로드

2. 사용자가 폼 제출을 누르면 토큰(또는 응답값)을 받음

3. 폼 데이터와 함께 토큰을 백엔드로 전송

4. 백엔드가 업체 검증 API 또는 검증 로직으로 토큰 유효성 확인

5. 유효하면 가입/로그인/문의 저장 처리, 아니면 차단

Q8. Cloudflare Turnstile 적용 흐름은 어떻게 되나요?
A8. 기본 흐름은 아래 5단계입니다.

1. 관리자 콘솔에서 사이트 등록 후 site key, secret key 발급

2. 프론트: 제출 폼에 Turnstile 위젯을 붙이거나 스크립트를 로드

3. 폼 제출 시 생성된 토큰을 함께 전송

4. 백엔드: secret key로 토큰 검증 요청

5. 검증 성공이면 정상 처리, 실패면 에러 응답

Q9. reCAPTCHA v2/v3 적용 흐름은 어떻게 달라요?
A9.

• v2(체크박스형): 사용자가 체크를 완료하면 토큰이 생성되고 그 토큰을 백엔드에서 검증합니다.

• v3(점수형): 사용자 행동 기반으로 점수가 나오고, 백엔드에서 점수 기준(예: 0.5 이상이면 통과)으로 판정합니다.
  운영 팁:

• v3는 UX가 좋지만, 점수 기준 튜닝이 필요합니다.

• v2는 사용자 마찰이 있지만 판단이 직관적입니다.

Q10. 어떤 걸 고르면 좋을까요?
A10. 실무 추천 가이드입니다.

• 최대한 무료 + UX 좋게: Cloudflare Turnstile

• 구글 기반 + 정책/요금까지 감당 가능: reCAPTCHA(v2 또는 v3)

• reCAPTCHA 대체 + 무료 구간으로 시작: hCaptcha 또는 Procaptcha

• 외부 서비스 의존 최소화: ALTCHA, mCaptcha 같은 자가호스팅

Q11. 캡차만 붙이면 봇이 다 막히나요?
A11. 캡차는 강력하지만 만능은 아닙니다. 같이 하면 효과가 훨씬 좋아집니다.

• 요청 빈도 제한(레이트 리밋)

• 동일 IP/디바이스 반복 시도 차단

• 회원가입/문의 폼에 이메일 인증 또는 휴대폰 인증(필요한 경우)

• 의심 트래픽만 캡차 요구(조건부 적용)

• 로그인에는 계정 잠금/지연(백오프) 정책

정리:
무료 캡차는 존재하지만 전부 무료는 아니고, 무료 구간에도 제한이 있습니다.
붙이는 방식은 거의 공통으로 프론트 토큰 생성 + 백엔드 검증이 핵심입니다.
처음 도입이면 Turnstile 같은 퍼즐 없는 방식부터 적용해보고, 트래픽과 운영 요구에 맞춰 확장하는 걸 추천합니다.