AI에 뚫린 캡차 "이제는 폐기해야 할 낡은 보안 테스트"
AI에 뚫린 캡차 "이제는 폐기해야 할 낡은 보안 테스트"
당신은 로봇인가? 구글이 소유하고 운영하는 시스템인 '컴퓨터와 인간을 구분하기 위한 완전 자동화된 공개 튜링 테스트(Complete
www.itworld.co.kr
- 캡차(CAPTCHA)의 개념과 역할
- 캡차는 사람과 봇을 구별하는 자동화된 튜링 테스트로, 구글이 2009년 리캡차(Recaptcha)를 인수하며 발전시킴
- 원래 의도는 웹 보안을 강화하고 악성 봇을 차단하는 동시에, 사용자들이 흐릿한 문자나 도로 표지판 등의 데이터를 식별하게 하여 구글 지도 등의 서비스를 개선함
- 다양한 형태의 캡차가 존재하나, 구글의 리캡차 v2가 가장 일반적임
- 캡차의 문제점과 한계
- 최근 AI 기술의 발전으로 캡차, 특히 리캡차 v2는 100% 정확도로 해결될 수 있음
- 인간은 약 71~85%의 정확도로 캡차를 풀 수 있지만, AI는 100%에 가깝게 해결
- 구글의 리캡차 v3는 사용자에게 문제를 제시하지 않고 행동 분석으로 봇을 탐지하지만, 여전히 리캡차 v2가 많이 사용됨
- AI에 의한 캡차 무력화 사례
- 취리히 연방공과대학교(ETH Zurich) 연구진은 AI가 리캡차 v2를 완벽하게 통과할 수 있음을 증명
- AI가 이미지 기반 캡차를 쉽게 통과하면서, 악성 공격자들이 이를 악용해 자동화된 봇 시스템을 구현할 수 있게 됨
- 가짜 캡차를 통한 보안 위협
- 가짜 캡차를 이용한 멀웨어 공격이 증가하고 있음
- 맥아피는 가짜 캡차 페이지를 사용하여 사용자들이 키보드 동작을 수행하게 하고, 그 과정에서 파워셸 스크립트를 실행해 악성 코드를 설치하는 사례를 발견
- 피싱 이메일을 이용한 가짜 보안 문자도 같은 방식으로 악용되고 있음
- 사용자 착취와 비효율성
- 리캡차는 사용자들에게 시간과 에너지를 낭비하게 만듦
- 연구에 따르면 리캡차 퀴즈에 소모된 총 시간은 8억 1,900만 시간에 달하며, 이는 61억 달러의 임금 손실에 해당
- 구글은 이를 통해 쿠키 수집과 사용자 행동 데이터를 축적하고 광고 프로필을 생성함으로써 막대한 수익을 올렸다는 비판도 존재
- 캡차의 미래와 대안
- 캡차 v2는 이제 AI에 의해 무력화되고 있으며, 이는 보안상 큰 위험을 초래
- 대안으로는 개인 액세스 토큰이나 생체 인증 등의 새로운 보안 방식이 제시되고 있음
- 구글은 이미 296개 이상의 제품을 폐기한 바 있으며, 이제는 캡차도 폐기할 때가 되었다는 의견이 점점 더 커지고 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 네이버 이용자 보호 시스템, OECD 최고 수준 인정 (1) | 2024.10.12 |
|---|---|
| EPP 보안 솔루션의 한계와 회복성에 대한 중요성 (0) | 2024.10.12 |
| 딥페이크 기술의 양면성과 문제점 (0) | 2024.10.12 |
| 디지털 장의사, 자격증 부재로 인한 문제와 개선 필요성 (1) | 2024.10.12 |
| 개인정보위 "공개 데이터 처리 기준 모호하다는 주장은 사실과 다르다" (0) | 2024.10.12 |