캡차란 무엇인가요?
인터넷을 사용하면서 ‘로봇이 아닙니다’라는 체크박스가 표시된 적이 있을 것입니다. 또한 구불구불한 모양의 문자를 입력하거나 사진에서 횡단 보도 등 특정 물체를 선택하라는 화면이 표시될 때도 있을 것입니다. 이번 글에서는 캡차와 리캡차의 의미와 작동 원리에 대해 알아보고, 캡차와 리캡차가 필요한 이유와 인터넷 보안을 확보하는 방법에 대해서도 살펴보겠습니다.
목차
캡차의 의미와 원리
캡차(CAPTCHA)는 컴퓨터와 사람을 구분하기 위한 완전 자동화된 공개 튜링 테스트(Completely Automated Public Turing test to tell Computers and Humans Apart)의 약자로, 웹사이트나 서비스에 접속하는 사용자가 인간인지 판단하기 위해 이용됩니다.
캡챠 인증에서는 위와 같이 구불구불한 모양의 문자가 표시되며, 웹사이트에 접속하려면 표시된 문자를 정확히 입력해야 합니다. 문자를 잘못 입력하는 경우에는 사용자가 사람이 아니라고 판단되어 웹사이트 접속이 제한됩니다.
보통 컴퓨터는 구불구불한 모양으로 왜곡된 문자를 인식하기 어려워하는 반면, 사람은 다양한 모양의 문자를 손쉽게 인식할 수 있습니다. 이 때문에 캡차는 여러 웹사이트와 서비스에서 인간과 컴퓨터를 구분하기 위해 사용되어 왔습니다.
하지만 기술이 발전함에 따라 왜곡된 문자도 인식할 수 있는 고급 봇이 만들어지게 되었으며, 캡차만으로는 사용자가 인간인지 컴퓨터인지를 완벽하게 구분하기가 힘들어졌습니다. 이렇게 문자 인식만으로는 인간과 컴퓨터를 구분하기 힘들어짐에 따라 새로운 테스트의 필요성이 대두되었습니다.
리캡차의 의미와 동작 원리
구글 리캡차(ReCAPTCHA)는 기존 캡차 테스트의 한계를 보완하기 위해 카네기 멜론 대학교의 연구원들이 개발한 기술로, 2009년에 구글이 기술을 인수했으며 현재 구글에서 무료로 리캡차 서비스를 제공하고 있습니다. 리캡차는 점점 더 많은 웹사이트와 서비스에서 사용되고 있는 기술입니다.
리캡차는 캡차 테스트에서 사용된 문자 인식뿐만 아니라 다양한 방식으로 사용자가 인간인지 컴퓨터인지를 판단합니다. 이제 리캡차가 사용하는 방식의 종류를 살펴보도록 하겠습니다.
문자 인식 테스트
리캡차의 문자 인식 테스트는 캡차보다 뛰어난 성능을 발휘합니다. 리캡차에서는 여러 단어로 구성된 문자가 표시되며, 문자를 흐리게 처리하는 등 다양한 효과를 통해 컴퓨터의 문자 인식을 더욱 어렵게 하는 장치가 마련되어 있습니다. 특히 캡차와 달리 표지판, 책, 신문 등 실제 문자 인식 이미지를 제공함으로써 테스트의 신뢰도를 높이고 있습니다.
또한 리캡차의 문자 인식 테스트를 통해 수집된 정보는 인공 지능 프로젝트에도 도움이 됩니다. 리캡차를 통해 매일 수백만 명의 사용자가 읽기 어렵고 흐릿한 텍스트를 식별하는 작업을 진행하게 되며, 이러한 데이터는 인공 지능 컴퓨터 프로그램의 성능을 향상하는 데 활용됩니다.
이미지 인식 테스트
리캡차 테스트의 다른 방식으로는 이미지 인식이 있습니다. 이미지 인식 테스트에서는 임의의 사진이 제공되며, 사용자는 제공된 사진에서 임의의 물체가 포함된 타일을 찾아 클릭해야 합니다. 사용자가 선택한 답변이 대다수의 다른 사용자의 답변과 일치한다면 정답으로 간주됩니다.
사람은 쉽게 이미지를 구별할 수 있는 능력이 있지만, 컴퓨터는 고급 인공 지능을 활용하지 않는 이상 이미지를 구분하는 데 어려움을 겪는다는 점에서 아이디어를 얻은 테스트라고 할 수 있습니다. 특히 이미지 인식에는 텍스트 인식보다 더 고급 기술이 필요하기에 테스트 성능도 문자 인식보다 더 높다고 할 수 있습니다.
이미지 인식의 데이터도 문자 인식 테스트와 마찬가지로 수집되어 인공 지능 컴퓨터 프로그램의 성능을 향상하는 데 활용됩니다. 인공 지능의 이미지 인식 성능을 개선하려면 방대한 데이터가 필요함에 따라 이미지 인식 테스트가 표시되는 경우도 많아지고 있습니다.
체크박스 테스트
다음 테스트 방식으로는 체크박스 테스트 방식이 있습니다. 사실 체크박스 테스트를 처음 접하면 테스트를 진행하는 의미가 있는지 의아할 수 있습니다. ‘로봇이 아닙니다(I’m not a robot)’이라는 문구 옆의 체크박스를 클릭하기만 하면 테스트가 완료되기 때문입니다.
하지만 체크박스 테스트에서는 체크박스를 클릭했는지가 중요한 것이 아니라 ‘어떻게’ 체크박스를 클릭했는지가 중요합니다. 예를 들어 사람이라면 체크박스를 클릭하기 전에 마우스 커서를 자연스럽게 움직이겠지만, 컴퓨터라면 바로 체크박스를 클릭할 것입니다.
이렇게 체크박스 테스트에서는 체크박스를 클릭하는 과정을 감지해 사용자가 인간인지 컴퓨터인지를 파악합니다. 또한 체크박스 테스트 중 사용자 장치에 저장된 쿠키와 장치 이력을 확인해 사용자가 컴퓨터일 가능성이 있는지도 확인합니다.
체크박스 테스트로 사용자가 인간인지 컴퓨터인지를 판단할 수 없는 경우에는 위에서 설명한 문자 인식 테스트와 이미지 인식 테스트를 다시 진행하기도 합니다. 하지만 보통 체크박스 테스트로도 충분히 사용자 파악이 가능하며 테스트 방법이 간단하다는 장점 때문에 널리 사용되고 있습니다.
사용자 행동 분석 테스트
사용자 행동 분석 테스트는 위의 3가지 방법과는 약간 다릅니다. 사용자에게 테스트 화면이 표시되지 않기 때문입니다. 사용자 행동 분석 테스트에서는 리캡차가 사용자가 인간인지 컴퓨터인지를 자동으로 파악하며 컴퓨터라고 의심되는 경우에는 웹사이트나 서비스의 이용을 제한합니다.
웹사이트나 서비스를 이용하는 중 검색어를 반복해서 여러 번 입력하거나 많은 링크를 한 번에 클릭하는 경우 이용이 제한될 때가 있습니다. 이때는 리캡차의 사용자 행동 분석 테스트에 비정상적인 행동이 감지되었기 때문일 수 있습니다.
캡차와 리캡차가 필요한 이유
캡차와 리캡차는 웹사이트와 서비스를 이용하는 사용자가 실제 인간인지 파악하고, 컴퓨터로 인해 발생할 수 있는 다양한 문제를 방지하는 데 중요한 역할을 합니다. 캡차와 리캡차가 없다면 다음과 같은 문제가 발생할 수 있습니다.
- 설문 조사 결과를 조작하는 행위
- 하나의 웹사이트나 서비스에 단시간에 여러 계정으로 로그인하는 행위
- 단시간에 수많은 계정을 생성하는 행위
- 온라인 쇼핑몰에서 자동으로 물건을 구매하거나 판매하는 행위
- 사람만 이용하도록 설계된 웹사이트나 서비스에 침투하는 행위
또한 위에서 설명했듯이 캡차와 리캡차를 통해 수집된 데이터는 인공 지능 프로그램의 성능을 향상하기 위한 용도로 활용됩니다. 테스트를 진행하고 데이터를 수집하는 입장에서는 봇으로 인한 악의적인 행위를 차단하는 동시에 유용한 데이터를 확보할 수 있다는 장점이 있습니다.
캡차와 리캡차의 단점과 한계
캡차와 리캡차가 웹사이트와 서비스의 보안을 확보하는 유용한 기술이기는 하지만, 캡차와 리캡차에도 한계는 분명히 존재합니다. 캡차와 리캡차의 단점과 한계는 다음과 같습니다.
서비스 이용 방해
캡차와 리캡차의 첫 번째 단점은 사용자가 서비스를 이용하는 과정을 방해한다는 것입니다. 특히 문자 인식 테스트와 이미지 인식 테스트는 정답을 찾기까지 오랜 시간이 걸릴 때가 있으며, 이에 대해 불만을 토로하는 사용자도 쉽게 찾아볼 수 있습니다.
체크박스 테스트와 사용자 행동 분석 테스트는 상대적으로 간편한 테스트 방식입니다. 하지만 이러한 테스트 방식도 서비스 이용에 방해가 될 때가 있으며, 사용자가 서비스 이용을 아예 포기하게 되는 결과가 초래될 수 있습니다.
저시력자나 시각 장애인은 테스트 불가
캡차 테스트, 리캡차의 문자 인식 테스트와 이미지 인식 테스트는 시력에 의존합니다. 이 때문에 시각 장애인은 테스트를 통과하기가 힘들며, 시력이 낮은 사람에게도 불편한 테스트 방식입니다.
또한 저시력자가 아니더라도 노인과 같이 컴퓨터에 익숙하지 않은 사용자도 캡차와 리캡차 테스트를 어려워하는 경우가 있습니다. 이미 노인과 장애인이 컴퓨터 사용에 어려움을 겪는 때가 많다는 것을 생각하면 큰 단점이라고 할 수 있습니다.
봇 완벽 차단 불가
캡차와 리캡차가 인간 사용자와 컴퓨터를 구분하는 효율적인 방식이기는 하지만 모든 봇을 차단할 수는 없습니다. 이미 문자 인식 테스트를 통과할 수 있는 봇이 존재하며, 이미지 인식 테스트와 체크박스 테스트도 기술이 발전함에 따라 완벽한 차단 성능을 보장하기가 어려워졌습니다.
특히 봇이 아니라 여러 명의 사람을 고용해 악의적인 행위를 하는 경우에는 캡차와 리캡차가 도움이 되지 않으며, 콘텐츠 스크랩 봇, 자격 증명 스터핑 봇, 스팸 봇을 차단할 수 없다는 단점이 있습니다.
웹사이트나 서비스가 캡차와 리캡차를 활용하고 있는 경우에도 악의적인 공격이 발생할 수 있다는 사실을 알고 있어야 합니다. 개인 사용자라면 내 아이피를 가상 아이피로 대체할 수 있는 VPN 등 다른 보안 소프트웨어를 통해 추가적인 보안을 확보할 것을 추천합니다.