본문 바로가기 주메뉴 바로가기 검색 바로가기
클라우드페어, 짜증 유발 없는 캡차 생성 시도
상태바
클라우드페어, 짜증 유발 없는 캡차 생성 시도
인터넷 인프라 개발사 클라우드페어가 인터넷에서 인간 사용자임을 검증할 대체 수단을 보유했다. 클라우드페어의 검증 수단은 작은 박스 속에서 버스 이미지를 선택하도록 요구하지 않는다.
By LILY HAY NEWMAN, WIRED US

인터넷을 사용할 때, 간혹 주차장 미터기를 포함한 박스 속 사진을 모두 선택하라는 질문이 등장한다. 이때, 바로 옆에 비어 있는 듯한 주변 광장에 희미하게 보이는 회색 조각이 미터기라는 점을 구분하지 못했다는 이유로 질문을 통과하지 못한 것만큼 유독 짜증 나는 일을 찾아보기 어려울 것이다. 지난 몇 년간 캡차(captcha)가 일으키는 아주 익숙한 분노이다. 하지만 인터넷 사용자의 화를 돋군 캡차는 봇의 사기 및 악용 활동을 막을 중요한 수단이 되었다. 전 세계 사용자의 짜증을 유발하는 동시에 봇 활동 감지 영역을 장악한 툴인 캡차는 2018년, 구글이 한 단계 업그레이드된 버전인 ‘리캡차(reCaptcha)’라는 이름으로 새로이 선보였다. 리캡차는 머신러닝을 활용해, 인터넷 활동 이면의 인간 사용자 접속 여부를 조용하게 확인하고, 혼란을 유발할 정도로 흐릿한 트래픽 신호로 가득한 문자와 패턴 배열을 단계적으로 제거한다. 2022년 9월 말, 인터넷 인프라 기업 클라우드페어(Cloudflare)가 캡차의 대항마를 공개했다.

클라우드페어가 새로 선보인 ‘턴스타일(Turnstile)’은 리캡차와 마찬가지로 무료이다. 클라우드페어 고객사가 아니더라도 웹사이트에 적용할 수 있다. 턴스타일은 2022년 4월 출시된 ‘클라우드페어 매니지드 챌린지(Cloudflare Managed Challenge)’ 툴을 기반으로 개발했다. 캡차 사용 시 인간성 입증이라는 챌린지를 달성하고자 한다. 반면, 매니지드 챌린지는 사용자의 브라우저 활동을 신속하면서도 조용히 검증한다. 그리고 데이터를 자동 평가하여 전송해, 사용자에게 별도의 작업을 요청하지 않으면서도 봇 활동과 인간의 활동을 구분하려 한다. 턴스타일은 인간과 봇 활동 구분 결과를 확신할 수 없을 때만 사용자에게 인간 사용자 입증이 어려운 작업이나 퍼즐 완성을 요구한다. 매니지드 챌린지는 다양한 퍼즐을 계속 테스트하면서 사용자의 짜증 유발 요소가 적은 방식을 찾는다.

캡차는 웹 전체의 중요한 보안 방어 수단이지만, 클라우드페어는 턴스타일이 프라이버시 보호 수준도 뛰어난 봇 탐지 툴이라는 부분을 특별히 홍보한다. 턴스타일은 브라우저 특성과 다양한 메커니즘을 생성하는 웹사이트 데이터 등 일부 브라우저 세션 데이터에서 볼 수 있다. 그러나 광고 쿠키나 로그인 쿠키를 검증하지는 않는다. 클라우드페어는 최대한 많은 데이터 검토를 위해 외주 서비스를 활용해, 그동안 클라우드페어가 발견한 문제를 최소화하고자 한다. 예를 들어, 턴스타일은 애플이 2022년, 사용자가 봇이 아닌 인간임을 입증하고, 캡차의 필요성을 줄이려 출시한 ‘프라이빗 액세스 토큰(Private Access Tokens)’을 검증한다.
 
[사진=Cloudflare]
[사진=Cloudflare]

지난 몇 년간 여러 보안 연구팀은 리캡차가 사용자의 구글 로그인 쿠키 보유 여부를 사용자가 봇이 아니라는 점을 판단할 요소 중 하나로 활용한다는 사실을 밝혀냈다. 구글은 리캡차 데이터가 봇과 인간 사용자 구분 목적 이외에 다른 용도로 데이터를 절대로 사용하지 않는다고 주장했다. 그러나 일부 전문가는 리캡차 데이터를 개인 맞춤 광고 제공에 동원할 수 있다는 점을 지적했다.

클라우드페어는 매니지드 챌린지를 출시한 후 기존 서비스 공급사의 캡차 91%를 대체했다고 밝혔다. 또한, 그동안 웹사이트에서 사용자가 캡차를 검증하는 데 소요한 시간은 평균 32초라고 발표했다. 그러나 매니지드 챌린지 출시 후 봇 탐지를 위해 대기하는 시간은 평균 1초로 줄어들었다. 캡차와 달리 사용자가 알아차리지 못하는 사이에 조용하게 봇이 아니라는 사실을 검증하기 때문이다. 이제 클라우드페어 대시보드는 캡차 옵션을 ‘레거시 캡차(Legacy Captcha)’라고 지칭한다. 클라우드페어 관계자는 “턴스타일이 실제로 사용자가 사용할 수 없다고 생각하는 구시대적인 툴인 캡차의 정의를 더 정확하게 제시한다”라고 말했다.

턴스타일은 캡차 개선 및 사용자의 짜증 유발 요소 감소를 위한 폭넓은 업계 전반의 노력 중 일부분이다. 그러나 리챕차가 웹 전체에 흔하고 익숙하다는 점이 캡차의 대안 툴 채택의 걸림돌이 될 수도 있다. 그러나 웹 보안 방어 영역의 변화와 함께 캡차의 강력한 대체 프로그램이 완성도를 갖출 것이다. 특히, 사용자가 봇과 인간을 구분하는 과정에서 까다로운 질문 통과를 요구하면서 사용자의 짜증을 유발하지 않는 대체 프로그램이 더 널리 채택될 것이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Cloudflare Takes a Stab at a Captcha That Doesn’t Suck
이 기사를 공유합니다
RECOMMENDED