1997년에 만들어지고 30년 동안 단 한 번도 표준 사용 사례가 정의된 적이 없는 HTTP 상태코드가 있습니다. 바로 HTTP 402 Payment Required 입니다.
그런데 이게 2025년 5월 코인베이스가 x402 프로토콜을 발표하면서 갑자기 살아났습니다. 출시 약 1년 만에 누적 거래 1.65억 건을 돌파했고, 구글 AP2, Cloudflare, 스트라이프까지 줄줄이 합류 중입니다.
최근 회사에서 사업 아이디어를 제안할 일이 있었는데, 그 과정에서 이 친구를 처음 만났습니다. 처음엔 “결제 표준 하나” 정도로만 알아두고 넘어가려 했는데요.. “30년을 잠들어 있다가 왜 지금?” 이라는 의문 하나에서 시작해서, 결국 AI 에이전트 결제 인프라 전반까지 한 달 넘게 파게 되었습니다.
정리해두지 않으면 휘발될 것 같아서 시리즈로 남기려 합니다!! 시리즈명은 AI Payment, 총 5편 예정이고, 첫 글은 모든 이야기의 시작점인 HTTP 402 입니다.
바로 본론으로 들어가겠습니다!!
HTTP 상태코드 중 가장 이상한 번호
200 OK, 404 Not Found는 누구나 압니다. 좀 더 들어가면 301 Moved Permanently, 502 Bad Gateway 정도까지는 익숙하실 텐데요. 그런데 402라는 코드는 어디서 본 적이 있으신가요?
HTTP/1.1을 정의한 RFC 2616(1999)에는 이 코드에 대해 이렇게만 적혀 있습니다.
This code is reserved for future use.
“미래를 위해 예약됨.” 이게 다입니다. 어떤 상황에서 응답해야 하는지, 응답 본문에 뭐가 들어가야 하는지에 대한 정의도 없이, 이름만 “Payment Required”로 박혀 있는 상태로 30년간 유지됐습니다.
다른 상태코드들이 인터넷 인프라를 굴리는 핵심 부품이 되는 동안, 402만 유독 잠들어 있었던 셈입니다.
1994년부터의 실패 무덤
그렇다고 사람들이 마이크로페이먼트 자체를 안 건드린 건 아닙니다. 오히려 그 반대였습니다. 1990년대부터 마이크로페이먼트는 IT 업계의 단골 화두였고, 매 시대마다 누군가 시도했다가 실패하기를 반복했습니다.
| 연도 | 시도 | 결과 |
|---|---|---|
| 1994 | FirstVirtual | 카드 수수료 벽 |
| 1995 | CyberCash | 채택 실패 |
| 1996 | Millicent (DEC) | 채택 실패 |
| 1999 | W3C 마이크로페이먼트 워킹그룹 | 표준화 실패 |
| 1999~2001 | Flooz | 닷컴 버블과 함께 종료 |
| 2016~2018 | Bitcoin Lightning Network | 부분 성공 |
| 2017~2019 | Brave BAT / Brave Rewards | 광고 영역만 |
| 2025.5 | Coinbase x402 V1 | 첫 폭발적 채택 |
좋은 회사들이 좋은 자본을 들고 30년간 시도했는데도 안 됐다면, 단순히 “기술이 부족했다”로는 설명이 안 됩니다. 진짜 이유가 따로 있다는 뜻입니다.
실패한 시도들을 분류해보면 결국 세 가지 벽에 막혀 있었습니다.
30년간 안 된 진짜 이유 3가지
자료를 한참 파다 보니, 안 된 이유는 기술 외적인 곳에 있다는 게 보였습니다.
1. 카드 수수료의 수학적 하한선
카드 결제 비용은 크게 두 부분으로 구성됩니다. 정률 수수료(interchange + 네트워크 수수료 + 처리사 마진을 합산하면 통상 1.8~3.5%)와 건당 고정 처리비입니다. Stripe 공식 요금 기준으로 쓰면 2.9% + $0.30/건이 표준인데, 여기서 핵심은 $0.30 고정비 성분입니다.
결제 금액이 클 때는 정률 부분(2.9%)이 지배적이어서 고정비 영향이 희석됩니다. 하지만 결제 금액이 극도로 작아지는 마이크로페이먼트 영역에서는 이 $0.30 고정비가 거래 금액 대비 압도적인 비중을 차지합니다.
$1 결제에서 이미 고정비만으로 수수료 비율이 30%에 달하고, $0.10 결제는 300% 입니다. 실제 Stripe 요금(2.9% + $0.30)을 적용하면 $1 결제의 총 수수료는 $0.329로 약 33%에 달합니다. 마이크로페이먼트(건당 0.001~0.1달러 수준)는 카드망 위에서는 수학적으로 성립할 수 없는 영역이었습니다. 1994년 FirstVirtual부터 2001년 Flooz까지, 카드망을 기반으로 한 시도들은 전부 이 벽에 부딪혔습니다.
한국은 구조가 달랐지만, 결론은 같았다
한국은 여신전문금융업법으로 가맹점 수수료를 직접 규제합니다. 연매출 3억원 이하 영세가맹점엔 신용카드 0.5%, 체크카드 0.25%의 우대수수료를 적용합니다. Stripe 같은 “$0.30 고정비” 구조가 없는 순수 정률 체계입니다.
그렇다면 한국에선 마이크로페이먼트가 가능했을까요? 그렇지 않습니다. 장벽의 성격이 달랐을 뿐입니다.
① 최소결제금액 제한 — 카드사와 PG사는 통상 100원~1,000원 미만 결제를 거부합니다. 수수료 수입보다 건당 처리 비용이 크기 때문입니다.
② PG사 오버헤드 — 온라인 결제는 카드사 수수료와 별도로 PG사(페이먼츠) 수수료가 붙습니다. 시장 수준은 통상 2~3.5% 수준으로, 우대수수료 0.5%에 위에 중첩됩니다.
③ 통신과금서비스의 한계 — 가장 실용적인 소액결제 수단이었던 SKT·KT·LGU+ 휴대폰 소액결제는 수수료가 7~12%에 달하고 월 결제 한도(성인 기준 50만원)도 있어, AI 에이전트의 반복·자동 결제 구조와는 근본적으로 맞지 않습니다.
결국 한국 카드 인프라도 마이크로페이먼트에 대한 구조적 벽이 존재했습니다. 글로벌은 “$0.30 고정비 하한선”이라는 명확한 벽이었고, 한국은 “최소결제금액 + PG 오버헤드 + 통신과금 한도”라는 복합 장벽이었습니다. 형태가 달랐을 뿐, 마이크로페이먼트가 성립 불가능한 영역이 존재한다는 사실은 동일했습니다.
2. 결제 마찰은 인간 심리의 한계
1999년 W3C가 마이크로페이먼트 워킹그룹을 만들었습니다. 표준화 자체는 꽤 잘 진행됐는데, 실제로 안 쓰였습니다. 이유는 단순합니다.
“이 페이지를 보려면 50원 결제하시겠습니까?”
이 버튼을 사람은 못 누릅니다. 누를 때마다 의사결정 비용이 발생하고, 그 비용이 콘텐츠 가치보다 큽니다. 결제 한 번에 0.5초만 망설여도, 마이크로페이먼트 모델은 그 자리에서 무너집니다.
30년간 똑똑한 사람들이 풀려고 했지만, 인간의 결제 마찰은 기술로 풀 수 있는 문제가 아니었습니다.
3. 결제 표준의 부재
HTTP 402가 “예약됨”으로만 남아 있었던 이유와 같습니다. 서버가 “0.5원 내세요” 라고 응답해도, 클라이언트가 어떻게 결제해야 하는지에 대한 약속이 없었습니다. 결제 수단도 제각각, 통화도 제각각, 검증 방식도 제각각이었습니다.
표준이 없으니 각 서비스가 자체 결제 로직을 만들어야 했고, 그 비용이 마이크로페이먼트의 단가를 훨씬 초과했습니다.
2025년에 살아난 진짜 이유 — 3가지 임계점
그런데 2025년에 갑자기 살아났습니다. 단순한 우연이 아니라, 3가지 인프라가 동시에 임계점을 넘었기 때문이었습니다.
1. 스테이블코인 시총 2,000억 달러 돌파
USDC와 USDT 합산 시총이 2025년 기준 2,000억 달러를 넘어섰고 2026년 현재 약 2,670억 달러까지 성장했습니다. 결제 수단으로서의 신뢰가 임계점을 넘었다는 의미입니다. 카드 수수료 $0.30 하한선을 우회할 수 있는, 진짜로 작동하는 디지털 달러가 처음 생긴 셈입니다.
2. L2 블록체인의 가스비 1센트 미만
Base, Arbitrum 같은 이더리움 L2가 안정화되면서 단순 토큰 전송 기준 트랜잭션당 가스비가 1센트 미만으로 떨어졌습니다. 건당 $0.005 결제도 수익이 남는 환경이 처음 만들어졌습니다.
3. AI 에이전트의 등장
이게 가장 결정적이었습니다.
사람이 못 누르던 그 결제 버튼을, AI 에이전트는 망설임 없이 누릅니다. 30년간 마이크로페이먼트가 실패한 원인이 “인간의 결제 마찰” 이었다면, AI는 그 마찰이 0인 첫 번째 결제 주체입니다.
세 가지 장벽이 어떻게 동시에 무너졌는지 정리해보면 이렇습니다.
결국 30년을 못 넘은 건 기술이 아니라 결제 주체였습니다.
이게 자료를 파면서 가장 크게 체감한 부분이었습니다..
x402 작동 방식 — 실제 HTTP 흐름
그럼 x402가 정확히 어떻게 30년 묵은 402의 빈자리를 채웠을까요? 백서를 보면 의외로 단순합니다.
먼저 클라이언트(AI 에이전트)가 일반 요청을 보냅니다.
GET /api/weather/seoul HTTP/1.1
Host: api.example.com
서버가 402 응답을 돌려줍니다. 30년 만에 처음 진짜로 쓰이는 순간입니다. 이 응답에 결제 요구사항이 헤더로 같이 옵니다.
HTTP/1.1 402 Payment Required
X-Payment-Required: {
"amount": "0.005",
"currency": "USDC",
"recipient": "0xabc...",
"network": "base",
"expiry": 1735689600
}
AI 에이전트는 이 정보를 보고 자기 지갑에서 결제 서명(EIP-3009)을 만들어서, 같은 요청에 서명 헤더만 추가해서 다시 보냅니다.
GET /api/weather/seoul HTTP/1.1
Host: api.example.com
X-Payment: 0x... (signed payment)
서버는 Facilitator라는 검증 중개자에게 서명을 검증·정산시키고, 통과하면 200 응답으로 데이터를 돌려줍니다.
전체 흐름을 시퀀스로 그려보면 이렇습니다.
전체가 1초 미만에 끝납니다. 처음 이 흐름을 따라가봤을 때 든 생각은 하나였습니다.
“HTTP 위에 결제 레이어가 이렇게 깔끔하게 얹힐 수 있는 거였구나..”
30년을 기다린 이유가 있었던 것 같습니다.
이게 왜 중요하냐면, AI 에이전트도 결국 무엇에 서명하는지 정확히 알아야 합니다. 피싱 공격이나 악의적인 서버가 “0.005 USDC” 라고 해놓고 실제로는 “500 USDC” 를 차감하는 서명을 받아내는 걸 막아주는 표준 장치입니다.
x402의 모든 결제 서명은 EIP-712 + EIP-3009 조합으로 만들어집니다. 하나는 가스리스 전송을 가능하게 하고, 하나는 그 서명이 안전하게 검증 가능하도록 만드는 역할입니다.
Facilitator — 길목에 서되, 자금은 안 든다
x402 시퀀스에 등장한 Facilitator를 좀 더 깊이 들여다보겠습니다. 지금까지는 “검증 중개자” 정도로만 설명했는데, 사실 x402가 카드망 PG사와 본질적으로 다른 지점이 여기에 있습니다.
기존 카드 결제 PG사(예: Stripe, Toss Payments)는 자금을 들고 있는 수탁 구조 입니다.
비수탁(non-custodial) 이라는 게 핵심입니다. Facilitator는 길목에서 서명을 받아서 블록체인에 제출하는 역할만 합니다. 자금이 Facilitator를 거치지 않아요.
만약 Facilitator가 악의적으로 행동해도:
- 서명에 수신자 주소가 명시되어 있어서 다른 주소로 보낼 수 없음
- 서명에 금액이 명시되어 있어서 더 많이 송금할 수 없음
- 서명에 nonce와 만료시간이 있어서 같은 서명을 재사용할 수 없음
기존 PG사 모델에서 “PG사를 신뢰해야 한다” 는 전제가 있었다면, x402는 “Facilitator를 신뢰할 필요가 없다” 는 구조입니다. 길목에 서지만 자금을 못 만지는 구조 — 이게 결제 인프라 신뢰 모델의 근본적인 전환이라고 체감했습니다..
HTTP 멱등성 충돌과 nonce — 작지만 영리한 설계
기술적으로 한 가지 더 흥미로운 지점이 있습니다. HTTP는 원래 멱등성(idempotent) 을 가정합니다. 같은 GET 요청을 100번 보내도 같은 결과여야 하고, 부수효과가 있어선 안 됩니다.
그런데 결제는 멱등하면 안 됩니다. 한 번만 차감되어야 하니까요. 같은 결제 요청을 100번 보내면 100번 차감되어야 할까요, 1번만 차감되어야 할까요? 둘 다 답이 아닙니다.
x402는 이 충돌을 EIP-3009의 nonce + 만료시간으로 풉니다.
- 모든 결제 서명에는 고유한 nonce가 들어감
- 같은 nonce는 블록체인이 한 번 처리하면 거부 (재사용 불가)
- 만료시간이 지나면 그 서명은 영구 무효
같은 결제 요청을 네트워크 이슈로 두 번 보내도, 두 번째는 블록체인이 자동으로 거부합니다. 이게 replay attack 방어의 핵심이기도 합니다. 누가 중간에서 서명을 가로채서 재사용하려고 해도 nonce 중복으로 막힙니다.
HTTP 위에 결제를 얹는다는 게 단순한 작업이 아닌데, x402는 이 부분을 의외로 깔끔하게 처리했다는 게 인상 깊었습니다.
비정상적인 채택 속도
새 결제 표준은 보통 채택까지 10년 이상이 걸립니다. 마그네틱 스트라이프 카드는 1960년대에 나왔지만 2000년대에야 일반화됐고, EMV 칩카드는 1990년대 중반에 사양이 나왔지만 미국 일반 도입은 2015년이었습니다.
그런데 x402는 출시 1년 만에 글로벌 거인들이 줄줄이 합류했습니다.
| 시점 | 사건 |
|---|---|
| 2025.5 | Coinbase x402 V1 출시 |
| 2025.9 | Google AP2 (Agent Payments Protocol) 발표 |
| 2025.12 | x402 V2 — 사양 안정화 |
| 2026.3 | x402 ERC-20 전면 지원 |
| 2026.3 | Stripe + Tempo MPP — 카드 진영 대응 표준 출시 |
| 2026.4 | 누적 거래 1.65억 건 |
가장 큰 시그널은 카드 업계 전체가 위협을 느끼고 자기 표준을 부랴부랴 만들기 시작했다는 점입니다. Mastercard Agent Pay, Visa TAP(Trusted Agent Protocol)도 모두 비슷한 시기에 나왔습니다.
진영별로 그려보면 지금 결제 표준 시장이 얼마나 빠르게 분화되고 있는지 보입니다.
이 정도 속도면 “AI 에이전트 결제” 라는 시장 자체가 향후 5년 안에 자리잡는다는 의미로 읽힙니다.
한 번 더 짚어보면
30년 만에 새 결제 표준이 깔리는 걸 직접 본다는 게 흔한 일이 아닙니다. 90년대 카드망 인프라, 2000년대 인터넷 결제, 2010년대 모바일 페이 — 각각 한 세대를 만들었던 변곡점이었습니다.
x402가 그 정도 무게감인지는 좀 더 지켜봐야겠지만, 적어도 AI 에이전트가 결제 주체가 되는 첫 번째 표준이라는 점은 분명한 것 같습니다. 그리고 그 시작점이 30년 잠들어 있던 HTTP 402였다는 게.. 개인적으로 가장 인상 깊었습니다.
1편을 마치며
정리하면 이번 글에서 얻은 통찰은 이렇습니다.
- HTTP 402는 시대를 30년 기다린 표준이었다 — 카드 수수료 하한선과 인간의 결제 마찰이 진짜 장벽
- 2025년에 살아난 건 3가지 임계점이 동시에 넘어진 결과 — 스테이블코인 시총 2,000억 달러 돌파, L2 가스비 1센트 미만(단순 전송 기준), AI 에이전트 등장
- EIP-3009 + EIP-712의 조합이 가스리스 결제를 가능하게 했다 — “서명 생성”과 “트랜잭션 제출”의 분리가 30년 마찰을 우회한 기술적 핵심
- Facilitator는 길목에 서지만 자금은 못 만진다 — 비수탁 구조가 결제 신뢰 모델을 근본적으로 바꿈
- 결제 주체가 바뀌면 결제 영역 전체가 바뀐다 — 30년 실패의 원인은 “기술”이 아니라 “주체”였다
감사합니다!!
HTTP 402의 30년 타임라인
