Visa, AI 쇼핑 보호 위한 Trusted Agent Protocol 공개: 상인 신뢰 구축 본격화

AI 에이전트 쇼핑 보안의 분기점

Visa가 에이전틱 커머스의 핵심 과제인 “합법 AI 쇼핑 에이전트와 악성 봇의 식별”을 해결하기 위해 새로운 보안 프레임워크를 내놨다. 이 프로토콜은 상거래 현장에서 합법적 AI 트래픽을 막지 않으면서도 가격 스크래핑, 도난 카드 테스트 등 자동화된 사기 시도를 걸러내도록 설계됐다. Adobe 데이터에 따르면 미국 리테일 웹사이트의 AI 주도 트래픽은 1년 새 4,700% 이상 급증해 기존 봇 차단 시스템이 합법 AI까지 오탐지할 위험이 커졌다.

에이전틱 커머스의 급부상과 Trusted Agent Protocol의 출현

Visa는 “에이전틱 커머스” 확산을 뒷받침할 기반 인프라로 Trusted Agent Protocol을 발표했다. AI 에이전트가 상품 탐색, 가격 비교, 결제까지 자율 수행하는 흐름이 커지면서, 상인은 누가 사이트를 방문하는지에 대한 투명성을 요구하고 있다. Visa는 2022년 10월~2023년 9월 사이 400억 달러 규모의 사기를 차단했다고 밝히며, 특히 카드 번호 조합을 자동 대입하는 ‘열거 공격’의 AI 고도화를 지적했다. 동시에 AI로 쇼핑한 소비자의 85%가 경험 개선을 보고하는 등 상업적 기회도 크다.

암호학적 신뢰 악수: Trusted Agent Protocol 동작 원리

프로토콜은 세 단계로 작동한다. (1) AI 에이전트는 Visa의 Intelligent Commerce 프로그램을 거쳐 신뢰·안정성 심사를 통과하고, 고유한 디지털 서명 키(암호학적 자격)를 부여받는다. (2) 승인 에이전트가 상점 사이트에 접근하면 키로 서명을 생성해 세 가지 정보를 보낸다: 에이전트 의도(상품 조회/구매 의사), 소비자 인식(해당 상점의 기존 계정 보유 여부), 결제 정보(선택적). (3) 상인 또는 CDN 등의 인프라 사업자는 Visa의 승인 에이전트 레지스트리로 서명을 검증해 합법 에이전트임을 확인한다. 이 프로토콜은 HTTP Message Signature 표준을 기반으로 하고 Web Both Auth와의 정렬을 표방해, 기존 웹 인프라와 호환되며 체크아웃 페이지 전면 개편 없이도 도입이 가능하다. Visa는 “노코드에 가깝다”고 강조하지만, 검증 시스템 사용을 위해 Developer Center 연동이 필요할 수 있다.

표준 경쟁 구도와 협력: TAP(Trusted Agent Protocol) vs AP2

Visa는 Cloudflare와 협력해 기존 봇 관리에 ‘에이전트 맥락’을 보완한다. 에이전트는 자신의 의도, 실제 소비자 정보, 결제 맥락을 제공해 상인이 합법 트래픽을 안심하고 수용하도록 돕는다. 한편 Google은 Agent Protocol for Payments(AP2)를 제안했고, OpenAI와 Stripe도 결제 에이전트 접근법을 논의 중이다. Microsoft, Shopify, Adyen, Ant International, Checkout.com, Cybersource, Elavon, Fiserv, Nuvei, Worldpay 등이 개발 과정에 피드백을 제공했다. Visa는 IETF, OpenID Foundation, EMVCo 등과 협력해 상호운용성을 목표로 하며, Google·OpenAI·Stripe와의 생태계 호환성도 모색하고 있다.

책임과 관문 기능: Trusted Agent Protocol의 쟁점

AI 에이전트가 위임 범위를 오해해 ‘원치 않는 구매’를 발생시킨 경우 책임 소재는 어떻게 될까? 프로토콜은 상인에게 더 안전한 체크아웃과 기존 고객 관계 연계를 위한 정보를 제공하지만, 에이전트 기인 분쟁 처리 세부지침은 아직 공개되지 않았다. 기존 사기 방지·차지백 체계가 적용될 가능성이 크다. 또 Visa는 Intelligent Commerce 승인·자격 발급을 통해 사실상 생태계의 ‘게이트키퍼’가 된다. 심사 기준·수수료 등은 비공개이며, 심사가 대형 기술사에 유리하게 작동하거나 경쟁사·논쟁적 주체를 배제한다는 논란이 불거질 소지도 있다.

법적 환경과 도입 로드맵: 신뢰 에이전트 프로토콜 확산의 관건

Visa는 2025회계연도 3분기 순매출 92억 달러(전년 대비 +10%), 2024회계연도(9월 30일 종료) 결제액 15.2조 달러·2890억 건 처리 등 견조한 실적을 내고 있다. 그러나 2025년 7월, 300억 달러 규모의 가맹점 수수료 합의안이 연방법원에서 기각됐고, 미국 법무부의 직불카드 라우팅 규정 조사 및 유럽의 반독점 감시도 이어지고 있다. Visa는 2025년까지 신뢰 구축과 실제 가치 입증에 집중하겠다고 밝혔으며, 현재 Developer Center·GitHub에서 프로토콜과 온보딩·통합 자료를 제공 중이다. 업계는 ‘브라우징’ 위주의 AI 트래픽이 ‘실결제’ 비중으로 전환될수록 상인의 도입 유인이 커질 것으로 본다.

AI 투자와 전략: TAP로 이어지는 Visa의 행보

Visa는 지난 5년간 100억 달러를 기술에 투자하며 사기 감소와 네트워크 보안을 강화해 왔다. 거래당 500개 이상 속성을 분석하는 AI 모델로 연 3,000억 건 트랜잭션에 실시간 위험 점수를 부여한다. 새로운 사기 유형이 나타나면 모델이 감지·고위험으로 평가하고, 고객사가 승인 여부를 결정하는 식이다. 2025년 1월에는 X(구 트위터)와 협력해 디지털 월렛·P2P 결제 ‘X 머니 어카운트’ 인프라를 제공하는 등 비전통 채널로도 보폭을 넓혔다. 에이전틱 커머스에서도 Visa는 결제 흐름의 중심을 지키려는 전략을 지속 중이다.

정치적 시험대: 누가 AI 쇼핑의 관문을 쥐는가

기술적 과제보다 어려운 것은 권한 배분이다. 검증 인프라를 통제하는 주체가 수천억 달러 규모 상거래 접근권을 좌우한다. 수수료 구조에 민감한 상인들은 Visa의 영향력 확대에 반발할 수 있고, Google·OpenAI 등 경쟁사도 단일 표준 지배를 용인하지 않을 것이다. 규제 당국은 승인 절차가 특정 플레이어에 유리한지 면밀히 들여다볼 전망이다. 결국 “어떤 알고리즘이 우리의 돈을 쓸 권한을 갖는가”라는 질문에 대한 사회적 합의가 에이전틱 커머스의 구조를 가를 것이다.