티켓 암표와 봇 구매는 왜 아직도 해결되지 않는가

[seoungdev]

콘서트 티켓팅을 해봤다면 알 것이다. 오픈 시간 전부터 새로고침을 누르다가 정각에 접속했더니 이미 매진. 좌석 선택 화면은 구경도 못 했다. 며칠 뒤 중고 거래 앱에서는 같은 티켓이 정가의 세 배 가격으로 올라와 있다.

이게 반복되는 게 이상하지 않은가.

문제가 없어서 반복되는 게 아니다. 해결책이 없어서도 아니다. 구조가 바뀌지 않아서다.

지금 어떤 일이 벌어지고 있는가

티켓팅 오픈 순간에 몰리는 요청 중 상당수는 사람이 아니다. 자동화 프로그램, 매크로, 봇이다. 이 프로그램들은 사람보다 수천 배 빠르게 클릭하고, 여러 계정으로 동시에 접속하며, 결제까지 자동으로 처리한다. 사람이 좌석을 고르는 동안 봇은 이미 열 장을 결제한다.

결과는 두 가지다. 팬은 티켓을 못 구하고, 그 티켓은 암표 시장에 올라온다.

2019년에 시행된 공연법 개정으로 티켓 불법 전매에 대한 제재가 강화됐다. 그런데 티켓팅 오픈 당일 매진 후 중고 앱에 암표가 올라오는 일은 지금도 반복된다. 법이 없어서가 아니라, 봇 구매 자체를 막는 구조가 없기 때문이다.

왜 지금의 방식이 충분하지 않은가

인터파크, 멜론티켓 같은 주요 플랫폼들도 가만히 있지 않았다. 대기열 시스템, CAPTCHA, 계정당 구매 한도, IP 차단. 다양한 방어 수단을 써왔다.

그런데 이 방법들이 공통으로 갖는 구조적 한계가 있다.

모두 봇이 나타난 다음에 대응한다. 새로운 봇이 나오면 새로운 탐지가 필요하다. Google reCAPTCHA의 v3가 행동 패턴 분석 방식으로 전환한 것도, 이미지 선택 방식으로는 최신 자동화 도구를 막기 어렵기 때문이다. 봇 기술과 탐지 기술이 서로 진화하는 구조에서 플랫폼은 항상 한 박자 늦는다.

계정당 구매 한도도 대포폰이나 대포 이메일로 만든 여러 계정 앞에서는 힘을 쓰지 못한다. 대기열 시스템도 봇이 자동으로 순번을 유지하면 같은 문제가 생긴다.

봇을 탐지하고 차단하는 방식으로는 이 구조를 바꾸기 어렵다.

질문을 바꾸면 방향이 달라진다

지금의 접근 방식은 "이 요청이 봇인가?"를 묻는다.

다른 질문이 있다. "이 요청 뒤에 진짜 사람이 있는가?"

이 두 질문은 비슷해 보이지만, 해결 방향이 다르다. 전자는 사후 탐지다. 후자는 사전 구조 설계다. 실제 사람만 접근할 수 있는 구조가 처음부터 만들어진다면, 봇이 아무리 정교해도 진입 자체가 불가능하다.

이 발상이 proof of human이다.

World는 이 개념을 실제로 구현하고 있다. 생체 정보를 활용한 고유성 확인 과정을 거쳐 World ID라는 암호화된 증명을 발행한다. 이름도, 주민번호도, 전화번호도 필요 없다. "이 사람이 세계에서 고유한 한 명의 인간이다"라는 사실만 증명한다. 확인에 사용된 생체 정보는 처리 후 삭제된다.

2026년 4월 기준, World ID는 160개 이상의 국가에서 1,800만 명을 넘는 인증 사용자를 확보했다.

티켓팅에 proof of human이 도입되면 무엇이 달라지는가

작동 방식은 복잡하지 않다.

아티스트나 주최사가 전체 티켓 중 일부를 proof of human 인증 계정에만 할당한다. 해당 티켓에 접근하려면 World ID 인증을 먼저 완료해야 한다. 인증된 계정만 구매 페이지로 연결된다. 실제 결제는 기존 플랫폼에서 그대로 진행된다.

기존 시스템을 뒤엎는 게 아니다. 그 위에 사람 확인 레이어를 하나 추가하는 것이다.

봇은 이 레이어를 통과할 수 없다. 속도가 아무리 빨라도 World ID 인증이 없으면 접근 자체가 막힌다.

여러 계정을 만들어도 같은 사람이 한 번만 인증 가능하기 때문에 다중 계정의 이점도 사라진다.

암표 문제를 완전히 없애지는 못한다. 실제 사람이 정가로 구매 후 되파는 것은 별도의 정책 영역이다. 하지만 봇이 대량으로 티켓을 선점하고 암표 시장에 공급하는 구조는 바꿀 수 있다.

한국 시장에서 이 방향이 의미 있는 이유

K-pop 콘서트와 스포츠 경기 티켓팅은 한국에서 특히 경쟁이 치열하다. 국내 팬뿐 아니라 해외 팬, 그리고 봇이 같은 시간에 경쟁한다. 이 환경에서 공정성에 대한 민감도는 다른 시장보다 높다.

개인정보보호위원회(PIPC)의 규제 프레임 안에서 생체 정보 관련 서비스를 운영하려면 법적 검토가 필요하다. World ID의 설계에서 생체 정보가 처리 후 삭제된다는 점은 이 논의에서 중요한 변수다.

기술이 준비되는 것과 제도와 신뢰가 따라오는 것은 속도가 다르다. 그래도 방향은 있다. 봇을 더 잘 잡는 것이 아니라, 처음부터 사람만 들어올 수 있는 구조로.

핵심 정리

• 티켓 봇과 암표 문제는 법 집행의 문제가 아니라 구조의 문제다

• CAPTCHA와 대기열 같은 사후 탐지 방식은 봇 기술과 함께 진화하는 구조에서 한계가 있다

• proof of human은 봇을 탐지하는 대신 처음부터 사람만 접근하는 구조를 만든다

• World ID는 개인정보 없이 고유한 인간임을 증명하고, 생체 정보는 처리 후 삭제된다

• 암표 전체를 없앨 수는 없지만 봇 기반 대량 선점 구조는 바꿀 수 있다

자주 묻는 질문

봇 구매를 완전히 막을 수 있나요? 

봇 탐지 방식으로는 완전한 차단이 어렵습니다. proof of human은 탐지가 아니라 접근 구조 자체를 바꾸는 방식으로, 인증된 사람만 특정 티켓에 접근할 수 있게 합니다. 봇은 World ID 인증을 통과할 수 없습니다.

World ID 인증을 하면 개인정보가 수집되나요? 

이름, 주민번호, 전화번호는 필요 없습니다. 고유성 확인 과정에서 사용된 생체 정보는 처리 후 삭제되고, 암호화된 증명 값만 남습니다.

기존 티켓팅 플랫폼을 교체해야 하나요? 

아닙니다. World ID 인증은 기존 플랫폼 위에 접근 레이어를 추가하는 방식입니다. 실제 결제는 기존 플랫폼에서 그대로 이루어집니다.

암표 문제도 해결되나요? 

봇 기반 대량 선점은 줄어들 수 있지만, 실제 사람이 정가로 구매해 재판매하는 경우는 별도의 정책 대응이 필요합니다.