같은 트랙의 두 Layer
AI 봇이 인터넷 트래픽의 절반을 넘었다. AI 에이전트가 사람 대신 결제하기 시작했다. 두 흐름은 따로 보이지만 같은 인프라 문제로 수렴한다. “이 행위자가 누구이고, 그 행위가 누구의 위임 안에 있는가.”
이 질문이 신원 인증 시장을 두 layer로 갈라놓는다. Layer 1은 사람 증명(Proof of Personhood) — 이 사용자가 진짜 사람인가, 다른 사람과 구분되는 고유한 인간인가. Layer 2는 위임 신원(delegated identity) — AI 에이전트가 행위할 때 어느 사람의 위임 안에서 움직이는가. 둘은 따로 자라는 것 같지만 결국 같은 인프라 위에서 결합한다.
이 글은 두 layer를 한 흐름으로 본다. Layer 1에서 World ID 1,800만 인증, Apple·Google·Microsoft Passkey 30억+ 잠재 풀, EU EUDI Wallet 정부 인프라까지. Layer 2에서 NHI(비인간 신원) 머신:인간 144:1 시대, Defakto·t54 Labs·Indicio의 자본 흐름, Visa·Mastercard 결제 네트워크 진입까지. 시리즈 Pillar의 3층 구조 중 Layer 2와 3을 통째로 다룬다.
왜 갑자기 “사람 증명”인가
인터넷은 30년 가까이 “이 계정이 진짜 사람인가”를 깊이 묻지 않아도 굴러갔다. 이메일 인증과 휴대전화 인증, CAPTCHA 같은 가벼운 검증으로 충분했다. AI 모델이 사람보다 빨리 자연어를 생성하기 시작하면서 그 전제가 흔들렸다.
Imperva의 2026 Bad Bot Report 기준 자동화된 봇 트래픽이 전체 인터넷 트래픽의 절반을 넘었다(약 51%). 그중 일부는 LLM(Large Language Model, 대규모 언어 모델) 기반 콘텐츠를 사람처럼 생성·게시하는 정교한 봇이다. 단순 스크래핑 봇과 달리 SNS 댓글, 리뷰, Q&A 사이트, 정치 캠페인 댓글 등에서 진위 식별이 어려워졌다. CAPTCHA 같은 기존 차단 메커니즘은 GPT-4 수준 모델에 90% 이상 우회된다는 학술 보고가 이어진다.
여기서 인증 인프라가 두 갈래로 자라기 시작했다. 한쪽은 생체 인증(biometric authentication) 기반의 OS 표준 — Apple Face ID·Touch ID·Passkey, Google·Microsoft Passkey. 다른 쪽은 분산 신원(decentralized identity)과 영지식증명 — World ID, Privado, Indicio, 그리고 EU EUDI Wallet 같은 정부 주도 인프라. 두 갈래 모두 같은 가정에서 출발한다 — 계정은 더 이상 사람을 의미하지 않는다는 가정.
World ID — Sam Altman이 만든 홍채 인증 네트워크
World(2021년 출범, 구 Worldcoin)는 Sam Altman이 OpenAI CEO를 겸직하면서 공동 창업한 프로젝트다. Altman의 설명을 한 줄로 옮기면 — “인터넷에 AI 콘텐츠가 넘쳐날 때 인간이 특별하고 중심에 남도록 하기 위한 도구.”
작동 방식과 채택 곡선
| 단계 | 메커니즘 |
|---|---|
| 1. 검증 | Orb 홍채 스캐너가 홍채 패턴을 스캔, 고유한 인간임을 확인 |
| 2. 토큰 발급 | World Chain(자체 블록체인) 위에 World ID 발급 |
| 3. 프라이버시 | ZKP(Zero-Knowledge Proof, 영지식증명)로 보호 — 정보를 노출하지 않고 사실만 증명 |
| 4. 추적 차단 | 제3자가 사용자의 World ID 공개키나 앱 간 행동을 추적할 수 없도록 설계 |
채택 곡선:
| 시점 | 누적 인증자 | 지원 국가 | 주요 이벤트 |
|---|---|---|---|
| 2021 | 0 | 0 | 비공개 베타 |
| 2023.07 | 약 200만 | 35+ | Worldcoin 공식 런칭, $WLD 토큰 발행 |
| 2024 말 | 약 900만 | 100+ | Orb 운영국 확대, OpenAI 협업 보도 |
| 2025 말 | 약 1,500만 | 140+ | World ID 2.0 발표 |
| 2026.05 | 1,800만+ | 160+ | World ID Full-Stack Proof of Human 발표 |
채택 곡선은 2024년부터 가팔라지기 시작했다. ChatGPT 이후 AI 봇 트래픽이 본격 증가하면서 “고유 인간 증명”이라는 카테고리 자체에 시장 인식이 생긴 시점과 겹친다.
Full-Stack Proof of Human — Layer 2로의 확장
2026년 발표된 Full-Stack Proof of Human은 단순 1회 인증을 넘어 AI 에이전트 행위마다 “이건 인간 X가 시킨 것”임을 증명하는 프로토콜로 확장됐다. 이 부분이 이 글의 핵심이다. World ID는 Layer 1(사람 증명)을 만들고, 그 위에 Layer 2(에이전트 위임 검증)를 쌓는다. 핵심 변화:
- 사람이 World ID로 자기 신원을 한 번 증명
- 그 신원의 일부 권한을 AI 에이전트에 위임
- 에이전트가 행위할 때마다 “이 행위는 인간 X가 위임한 권한 안에서 실행 중”이라는 증명을 자동으로 첨부
결제, API 호출, SNS 포스팅 같은 행위가 모두 사람 → 에이전트 위임 체인 안에 묶인다. 다음 섹션에서 다룰 Defakto·t54 Labs와 같은 카테고리에 World가 들어와 있다는 의미다.
Forbes 보도(2026.04)에 따르면 OpenAI는 봇 문제 해결을 정면으로 다루는 신규 SNS를 개발 중이고, World ID와 Apple Face ID를 통합 인증 후보로 평가 중이다. Coinbase의 오픈 프로토콜과도 연동해 “AI 에이전트 뒤에 있는 인간”을 검증하려는 시도가 진행되고 있다.
Apple·Google·Microsoft Passkey — OS 레벨 default
홍채·블록체인 같은 신규 인프라와는 다른 축에서 OS 레벨 인증도 같은 방향으로 움직인다. Passkey는 FIDO Alliance + W3C WebAuthn 기반 비밀번호 대체 표준이다.
| 사업자 | 잠재 풀 | 등록 계정 (2025 말) | 채택 채널 |
|---|---|---|---|
| Apple | iCloud 사용자 약 11억 | 미공개, 활성 사용자 수억 추정 | iOS·macOS 기본 (16.x 이후) |
| Google Account 사용자 약 30억 | 8억+ (2025 말 공식 발표) | Chrome·Android·Workspace | |
| Microsoft | Entra ID + Microsoft 365 전 사용자 | 미공개, 엔터프라이즈 우선 채택 | Windows Hello, Outlook, OneDrive |
| FIDO Alliance | 회원 250+ 기업 | 누적 50억+ Passkey 전 세계 등록 | 회원사 자체 서비스 |
채택 곡선은 2023년 이후 빠르게 가팔라졌다. Apple이 iOS 16에 Passkey를 기본 탑재한 시점(2022.09)부터 Google·Microsoft가 1년 안에 모두 따라붙으면서 OS·브라우저·검색 진영의 default가 됐다. 한국에서도 KakaoTalk, NAVER, Toss, 카카오뱅크가 단계적으로 Passkey를 도입하면서 PASS·NICE 기존 인증의 default 이동이 시작됐다.
한 가지 짚을 점
Passkey와 World ID는 같은 “인간 증명” 시장처럼 보이지만 답하는 질문이 다르다. Passkey는 “이 디바이스를 쥔 사람이 계정 주인 본인 맞는가”를 푼다. World ID는 “이 사람이 다른 사람과 구분되는 고유한 인간 1명이 맞는가”를 푼다. 첫 번째는 phishing 방지에 강하고, 두 번째는 Sybil attack(한 사람이 여러 계정으로 위장) 방지에 강하다. AI 봇이 들어오는 시기에 두 질문 모두 답이 필요해졌다 — 두 표준이 다른 사용 맥락을 점유하는 이유다.
Decentralized Identity — 정부 인프라가 깔리는 중
분산 신원(DID, Decentralized Identity)은 사용자가 자신의 신원 데이터를 통제하고 필요할 때만 부분적으로 공개하는 방식이다. World ID도 넓게는 이 카테고리에 속하지만, 시장조사사들은 일반적으로 Privado, Indicio, Microsoft Entra Verified ID, Sphereon 같은 엔터프라이즈 솔루션과 EU EUDI Wallet 같은 정부 인프라를 DID 카테고리로 묶는다.
| Decentralized Identity 시장 (2026 추정) | 수치 |
|---|---|
| 시장 규모 | $7.4B |
| CAGR(연평균 성장률, 다음 5년) | 25%+ |
| 핵심 사용 사례 | 디지털 ID 카드, KYC 자동화, 학력·자격 검증, 의료 기록 공유 |
| 주요 채택국 | EU 회원국(EUDI Wallet 의무화), 한국(모바일 운전면허증·신분증), 싱가포르(Singpass) |
| 표준화 기구 | W3C VC(Verifiable Credentials), DIF(Decentralized Identity Foundation) |
EU EUDI Wallet — 2027 의무화
| EUDI Wallet 주요 일정 | 내용 |
|---|---|
| 2024.06 | eIDAS 2.0 규정 발효 |
| 2025–26 | 회원국별 파일럿 운영 (Germany, France, Italy, Spain 등) |
| 2026.11 | 회원국 의무 제공 deadline |
| 2027 이후 | 사용자 채택률 KPI 도입 |
EU는 EUDI Wallet을 단순 디지털 신분증을 넘어 KYC·계약 서명·자격 증명·결제·여행 인증 통합 인프라로 설계했다. 의무화 시점부터 EU 사용자는 본인 EUDI Wallet으로 은행 KYC, 항공권 발급, 의료 기록 공유, 자격 증명까지 한 인프라에서 처리 가능하다. 한국의 모바일 운전면허증(2022 시작)도 유사 방향이고, 2027년경 학력·자격·의료 분야 확대 검토 중이다.
Layer 전환 — 사람 증명에서 에이전트 위임으로
여기까지가 Layer 1(사람 증명). 같은 인프라 위에서 한 단계 더 들어가면 Layer 2(에이전트 위임 신원)다. 사람 한 명을 증명하는 것을 넘어, 그 사람이 위임한 AI 에이전트가 행위할 때마다 책임 추적 가능한 신원이 필요해진다.
2025년부터 본격화된 AI 에이전트 흐름은 신원 인프라에 새 카테고리를 만들었다. AI 에이전트가 사람 대신 검색하고, 예약하고, 결제하고, API를 호출하기 시작하면서 “이 행위는 누가 시킨 것인가”라는 질문이 운영·법적·결제 인프라의 공백을 건드렸다.
이전까지 IAM(Identity and Access Management, 신원 접근 관리)은 사람과 머신을 비교적 단순하게 분리해왔다. 사람은 SSO 로그인, 머신은 API 키나 서비스 계정. AI 에이전트는 그 둘 사이에 끼인다. 사람이 위임한 머신이라는 새로운 신원 타입이다. 자동으로 행동하지만 그 행동의 책임은 사람에게 있어야 하는 구조다.
NHI 폭증 — 머신:인간 144:1
NHI(Non-Human Identity, 비인간 신원)는 2022년경부터 IAM 업계에서 사용된 용어다. 사람이 아닌 행위자(서비스 계정, API 키, 클라우드 리소스, 컨테이너, RPA 봇, AI 에이전트)가 시스템에서 갖는 신원을 통칭한다.
| Non-Human Identity 데이터 | 수치 |
|---|---|
| NHI 연간 성장률 (YoY) | +44% |
| 머신:인간 비율 (일부 클라우드 환경) | 144:1 |
| 평균 기업 NHI 수 (Aembit 기준) | 50,000+ |
| 주요 NHI 타입 | 서비스 계정, API 키, 클라우드 리소스, 컨테이너, RPA 봇, AI 에이전트 |
| 자격 증명 유출 사고 중 NHI 비중 | 60%+ (CrowdStrike 2025 Global Threat Report) |
144:1이라는 비율은 일부 클라우드 네이티브 환경의 측정값이다. 모든 환경에 적용되지는 않지만, 시장 평균이 머신 신원 쪽으로 빠르게 기울고 있다는 사실은 여러 보고서가 일관되게 보고한다. 문제는 보안 모델 전반이 사람 중심으로 설계됐다는 점이다. SSO, MFA(Multi-Factor Authentication), 행위 로그, 권한 리뷰 모두 사람 사용자를 가정한다. AI 에이전트가 이 흐름을 가속한다.
OpenAI Operator는 사용자 위임을 받아 웹 사이트에서 자동 행위(폼 입력, 결제, 예약)를 한다. 이 행위마다 “이건 사용자 X가 위임한 것”이라는 증명이 자동 첨부되어야 결제·법적 책임이 흘러갈 수 있다. 현재는 OAuth 토큰 기반 임시 위임이 default지만, 한계가 명확해지면서 새 카테고리(Identity for AI Agents)가 자라기 시작했다.
Defakto · t54 Labs · Indicio — 자본 집중의 세 갈래
| 라운드 | 시점 | 규모 | 카테고리 | 주요 투자자 |
|---|---|---|---|---|
| Defakto Series B | 2026 | $30.75M (누적 $50M) | NHI 라이프사이클 관리 | Ballistic Ventures, Forgepoint |
| t54 Labs Seed | 2025 | $5M | AI 에이전트 결제·컴플라이언스 | Anagram (리드), Ripple, Franklin Templeton |
| Indicio | 2025 Strategic | NEC X 투자 | 사람·기관·기기·AI 통합 DID | NEC Group |
세 회사가 같은 카테고리 안에서 다른 위치를 점유한다.
Defakto는 NHI를 사람 중심 IAM이 아니라 머신 중심으로 재설계한다. 서비스 계정 발급, 권한 부여, 회전(rotation), 만료, 모니터링까지 전체 라이프사이클 관리. Okta, Ping Identity, Microsoft Entra가 채우지 못하는 머신 신원 전용 영역을 점유한다. Series B $30.75M은 카테고리가 사이버 보안 단독 시장에서 인프라 시장으로 확장되고 있음을 보여주는 시그널이다.
t54 Labs는 AI 에이전트 결제·컴플라이언스에 특화된다. 2025년 1월 창업, 같은 해 시드 $5M. 시드 라운드에서 가장 주목할 부분은 Ripple과 Franklin Templeton의 참여다. Ripple은 결제 인프라(특히 국제 송금) 진영, Franklin Templeton은 글로벌 자산 운용사. 두 회사가 시드 단계 스타트업에 들어왔다는 것은 AI 에이전트 신원이 결제·금융 인프라의 인접 시장으로 인식되기 시작했음을 의미한다.
Indicio는 분산 신원(DID) 인프라를 사람·기관·기기·AI 에이전트가 모두 사용할 수 있도록 확장한다. NEC X 투자(2025)는 일본 대기업 진영이 이 카테고리를 인프라 수준에서 보고 있음을 의미한다. 한국에서는 KT, SK텔레콤, LG U+ 같은 통신사가 비슷한 방향 검토를 시작했다는 보도가 있다.
한 가지 짚을 점
Defakto와 t54의 차이는 layer다. Defakto는 사람 IAM이 다루지 않는 머신 신원 라이프사이클 자체를 다루고, t54는 그 머신 신원이 “사람 대신 결제·트랜잭션할 때” 필요한 검증·컴플라이언스를 다룬다. 같은 NHI 카테고리지만 점유하는 위치가 다르다. 이 분업 구조가 굳어지는 중인지, 한 회사가 두 영역을 통합할지가 다음 1–2년 관전 포인트다.
결제 네트워크의 자체 표준 — Visa, Mastercard 진입
인디 회사 외에 결제 네트워크 자체도 카테고리에 진입했다.
Visa Intelligent Commerce(2025 발표): AI 에이전트 인증 토큰 표준화, 거래마다 위임 체인 attestation, 부정 거래 감지 알고리즘에 머신 행위 분류 추가, 환불·분쟁 프로세스에 AI 에이전트 거래 별도 처리.
Mastercard Agentic Payments(2025 발표): 다중 에이전트 환경(여러 AI 에이전트가 같은 사용자 위임으로 행위) 표준화, 크로스보더 거래의 AML/KYC 의무 명확화, 가맹점 측 에이전트 거래 식별 인터페이스.
두 결제 네트워크가 자체 표준을 만든다는 것은 두 가지 의미다. 첫째, 카테고리가 인프라 시장으로 확장된다. 둘째, t54 Labs 같은 인디 회사의 포지셔닝이 결제 네트워크 호환성·통합 쪽으로 이동할 가능성이 높다. 단일 표준이 굳어지면 인디 회사의 차별화 포인트가 좁아지고, multi-network 호환성이 새 차별화 축이 된다.
한국 시장 영향: Visa·Mastercard가 글로벌 표준을 만들면 한국 카드사(신한, KB, 하나 등)도 호환성을 유지해야 한다. 한국 카드사가 자체 AI 에이전트 결제 표준을 따로 만들 가능성보다 글로벌 표준을 받아들이고 한국 시장에 맞게 운영하는 시나리오가 더 가능성 높다.
Okta Ventures “2026 Identity 25” — 카테고리 공식 신설
기존 IAM 진영의 시각도 같은 방향으로 움직였다. Okta Ventures는 2026년 1월 “Identity 25”라는 명단을 발표하면서 Identity-for-AI 카테고리를 공식 신설했다.
| Okta “2026 Identity 25” 주요 카테고리 | 내용 |
|---|---|
| AI Agent Identity | 에이전트 신원·권한 위임 |
| Non-Human Identity Management | 머신·서비스 계정 라이프사이클 |
| Identity Verification (KYC) | 사람·기관 검증 자동화 |
| Decentralized Identity | DID + Verifiable Credentials |
| Continuous Authentication | 행위 패턴 기반 지속 인증 |
기존 IAM 진영이 별도 카테고리를 신설했다는 사실 자체가 시장 인정의 신호다. Okta 본사는 사람 IAM의 글로벌 leader인데, 자사 본업 카테고리 안에 AI 에이전트·NHI를 별도 트랙으로 분리한 것이다. 자사 솔루션으로 다 커버할 수 없는 영역이라는 인정이기도 하다.
OpenAI 신규 SNS — 통합 사례로 두 Layer 보기
Forbes 보도(2026.04) 기준 OpenAI는 봇 문제를 정면 대응하기 위한 신규 SNS를 개발 중이다. 핵심 설계 가설: “AI 시대 SNS는 ‘계정 = 인간’을 가입 단계부터 보증해야 한다.”
평가 중인 인증 후보(보도 기준):
- World ID (홍채 스캔) — Layer 1
- Apple Face ID (디바이스 생체 인증) — Layer 1
- Passkey (FIDO 표준) — Layer 1
- Coinbase Open Protocol — Layer 2 (AI 에이전트 뒤 인간 검증)
복수 후보를 동시에 평가 중이라는 점이 시그널이다. 단일 솔루션이 아니라 multi-layer 인증을 SNS 가입 단계부터 통합 적용하려는 설계다. 가설 흐름:
- World ID로 “고유 인간” 한 번 증명 (Layer 1)
- Passkey 또는 Face ID로 “디바이스 = 본인” 매 세션 인증 (Layer 1)
- AI 에이전트 사용 시 Coinbase Open Protocol로 위임 체인 추적 (Layer 2)
OpenAI가 single solution을 픽하면 그 솔루션이 사실상 글로벌 default가 되고, multi-layer를 채택하면 시장 컨센서스가 “단일 솔루션으로 충분치 않음”으로 굳어진다. Sam Altman이 World 공동 창업자라서 World ID 채택 가능성이 높지만, World만 픽하면 cross-camp 채택이 어려워진다. Apple Face ID, Passkey 같은 OS 표준과의 multi-layer 채택이 글로벌 표준 형성에 더 유리하다. 두 압력이 충돌하는 가운데 어느 방향으로 갈지가 다음 1–2년 관전 포인트다.
마무리 — 두 Layer, 같은 가정
Sam Altman은 홍채로 풀고, Apple은 얼굴로 풀고, Google·Microsoft는 OS 레벨 Passkey로 풀고, EU·한국 정부는 DID로 푼다. 그 위에 Defakto는 NHI 라이프사이클을, t54 Labs는 에이전트 결제 컴플라이언스를, Indicio는 분산 신원으로 사람·머신·AI 통합을, Visa·Mastercard는 결제 네트워크 차원에서 표준화를 시도한다.
묶어서 보면 — 여덟 접근 모두 같은 가정 위에 서 있다. 계정은 더 이상 사람을 의미하지 않고, AI 에이전트는 그 자체로 책임주체가 될 수 없다는 가정이다. AI 봇이 인터넷 트래픽의 절반을 넘기고, AI 에이전트가 사람 대신 결제를 일으키는 시기에, 인증의 baseline이 “이메일·전화번호”에서 “생체·고유 증명 + 위임 체인 추적”으로 옮겨가는 단일 방향이다.
신원 트랙은 사람 증명과 에이전트 위임 두 layer가 한 인프라 위에서 결합되는 모양으로 굳어가는 중이다. World ID가 Full-Stack Proof of Human으로 두 layer를 묶으려는 시도가 가장 명확하지만, Apple+Passkey+Coinbase 같은 multi-layer 조합이 default가 될 가능성도 열려 있다.
다음 글은 인프라에서 잠깐 빠져나와 시장 자체로 내려간다. Deepfake Detection $15B의 진짜 구매자가 누구인지 — BFSI KYC 2.0 의제로 옮겨붙는 흐름을 정리한다.
참고 자료
- World.org — “Proof of personhood: What it is and why it’s needed” / “World ID Full-Stack Proof of Human”
- Yahoo Finance — “Worldcoin Jumps 16% After Report OpenAI Is Exploring Proof of Personhood”
- Pantera Capital — “World: A Mission Critical Identity Solution”
- Forbes — “OpenAI Is Building a Social Network with Proof of Personhood” (2026.04)
- CryptoNews — “Sam Altman’s World Taps Coinbase’s Open Protocol to Verify Humans Behind AI Agents”
- Apple Developer — Passkey documentation
- Microsoft Security — Passkey adoption report (99% 계정 침해 감소)
- FIDO Alliance — 2026 member list + 누적 50억 등록 발표
- Imperva — 2026 Bad Bot Report (봇 트래픽 51%)
- European Commission — EUDI Wallet roadmap + eIDAS 2.0 규정
- Aembit — “IAM for Agentic AI: The New Perimeter of Trust in 2026”
- Help Net Security — “Cyber valuations climb” (2026-02-25)
- The Block — “Ripple, Franklin Templeton join $5 million seed round for t54 Labs”
- NEC Press — “Indicio secures investment from NEC X”
- Okta Ventures — “The 2026 Identity 25”
- Defakto — official site, Series A/B announcement
- CrowdStrike — 2025 Global Threat Report
- Visa — “Intelligent Commerce” 2025 announcement
- Mastercard — “Agentic Payments” 2025 announcement
- W3C — Verifiable Credentials Data Model
관련 글
AI Trust Stack — 콘텐츠·신원·에이전트, 세 층으로 나뉘는 신뢰 인프라
AI 생성물이 디폴트가 되는 시기, 신뢰 인프라가 콘텐츠·신원·에이전트 3층으로 갈라지는 중. 다섯 시장 데이터, 5-Layer, 빅테크 5진영, VC 펀딩, 규제를 한 평면에
SynthID vs C2PA — 표준 전쟁의 채택률 데이터
AI 콘텐츠 워터마크의 두 표준 — SynthID와 C2PA의 채택률을 timeline·모달리티·진영별로 분해. 같은 신뢰 문제를 다른 레이어에서 풀고 있어 공존 구도로 모이는 중. EU Article 50의 운영적 정의 공백과 compliance gaming 시나리오까지
'노코드 빌더는 끝났다'는 정말 맞는 말일까?
빌더의 캔버스는 흔해지지만 시장은 폭발한다. 끝나는 건 빌더가 아니라 '캔버스가 가치의 중심'이라는 전제다.