보안 문자 캡차(CAPTCHA), 더이상 안전한 수단이 아니다

AI 발전에 따라 보안 위협도 증가

 

캡차(CAPTCHA)라는 게 있다.
정확한 용어는 모를 수 있어도 인터넷 사용자라면 다들 한 번씩 해 본 경험이 있을 거다. 스팸이나 봇 방지를 위해 '내가 사람임을 증명'하는 간단하지만 귀찮은 보안 문자 퀴즈 말이다. 정식 명칭은 ...

Completely Automated Public Turing test to tell Computers and Humans Apart / CAPTure(d) CHAracter

컴퓨터와 사람을 구분 짓기 위한 완전 자동 튜링 테스트

이게 사람의 눈에는 해당 문자가 금방 보이지만 (정교하게 만들면) 컴퓨터가 보면 꽤 어렵다고 한다. 그래서 스팸이나 봇 방지를 위한 보안용으로 즐겨 사용해 왔다. 일일히 타이핑하기가 꽤 귀찮아서 구글이 이를 더 간단하게 만든 reCAPTCHA도 나왔다. 

그런데 이 캡차 방식에 슬슬 구멍이 생기는 모양이다.
인터넷 보안업체인 에프-시큐어(F-Secure)의 연구원들이 인공지능(AI)을 사용해 마이크로소프트 아웃룩의 캡차를 뚫었다는 소식이 들린다.

AI에게 캡차 학습을 시켰더니 처음에는 20% 남짓 해독률밖에 보이지 않았다. 그런데 "I"를 "소문자 L"로, "Y"를 "V"로 혼동 인식하는 문제를 해결했더니 성공률을 끌어 올릴 수 있었다고 한다. 결국 반복된 기계학습을 통해 해독률 90% 이상 끌어올리는데 성공했다. 게다가 아웃룩뿐만 아니라 구글, 야후, 페이팔 캡차를 해킹하는 소프트웨어도 만들어 냈다고 한다.

최근 중국 알리바바의 핀테크 계열사 앤트파이낸셜에서도 러닝 분야 중 하나인 비지도학습(un-supervised learning, 사람의 지도 없이도 컴퓨터 스스로 패턴을 찾아내는 기법)과 표현학습(representation learning, 복잡한 데이터 공간을 선형 분류가 가능할 정도로 단순화해 표현하는 기법)을 통해 캡차 방어막을 무너뜨린 사례가 등장했다. 대상에 따라 63.5%~91.5%의 해독률을 보여줬다고.

사실 캡차 기술은 2010년대 들어와 차츰 그 벽이 허물어지면서 보편적인 최소한의 필터링일 뿐 정교한 보안 대책으로 인식되진 않고 있다. 최근에는 지문과 안면인식 등 생체 인증과 보안키를 이용한 다중 요소 인증 체계를 도입하는 추세다.

비단 캡차뿐만은 아닐 것이다. AI 기술이 빠르게 발전함에 따라 더이상 지금까지 상식으로 인식했던 것들이 하루아침에 바뀌고 사라지고 있다. 

테크잇 뉴스레터를 전해드립니다!

오피니언 기반 테크 블로그 'TechIt'
테크 비즈니스를 보는 다양한 통찰들을 이메일로 간편하게 받아 볼 수 있습니다.

About the author

5시35분
5시35분

테크 블로거 / 넷(Net)가 낚시꾼, 한물간 블로거, 단물 빠진 직장인

No more pages to load


TechIT

테크 비즈니스를 보는 다양한 통찰 '테크잇'

독자 여러분들께서 좋은 의견이나 문의 사항이 있으시면 아래 양식에 따라 문의 주시기 바랍니다.

Contact