구글, 강력한 창과 단단한 방패 모두 거머쥔 곳...캡차의 운명은?
사람과 기계의 반응, 유의미한 구분 가능하게 해주는 법 등장해야
[보안뉴스 문가용] 이미 2000년도에 등장한 단어 캡차(CAPTCHA)는 ‘사람과 컴퓨터를 구분하기 위한 자동 공개 테스트’라는 뜻으로 Completely Automated Public Turing Test to Tell Computers and Humans Apart의 준말이다. 이 말들 중 Turing이란 단어는 앨런 튜링(Alan Turing)이라는 전설적인 수학자 및 암호학자를 가리키는 말이다. 튜링 박사는 질문에 대한 컴퓨터의 응답과 사람의 응답을 구분할 수 있는 방법을 연구한 것으로 알려져 있다.
이런 류의 테스트를 테스트해보는 건 주로 인공지능의 몫인데, 최근 알파고로 구글이 증명했듯 인공지능의 발전이 바둑으로 사람을 이기는 수준에까지 왔으므로 캡차와 같은 장치도 높은 수준으로의 실험이 가능해지지 않을까 기대해볼 수 있게 되었다. 그러나 인공지능이 사람의 그것을 여러 분야에서 따라잡는 수준에까지 이른 지금, 캡차는 오히려 점점 쓸모가 없어지고 있다.
콜럼비아대학의 제이슨 폴라키스(Jason Polakis)와 수파니 시바코른(Suphannee Sivakorn) 연구원은 안젤로스 케로미티스(Angelos Keromytis) 교수와 함께 최근 구글과 페이스북이 만든 캡차 과정을 우회할 수 있는 자동화 시스템을 만들었다. 구글과 페이스북은 가짜 계정 생성과 스팸 포스팅 등을 막기 위해 캡차를 차용하는 대표적인 케이스다.
“굉장히 효율이 높은 시스템”이라고 자신들의 발명품을 자랑하는 콜럼비아대학의 연구원들은 “자동으로 캡차의 70.78%를 뚫어낼 수 있다”고 실험 결과를 밝혔다. 캡차를 푸는 데 드는 평균 시간은 19초로 대단히 짧기도 하다고. “페이스북 캡차를 푸는 경우 정확도가 83.5%에 달했습니다.”
캡차에 가해지는 공격은 지난 수년간 보안 문제로 대두되었다. 이에 구글은 이미 2009년에 리캡차(reCAPTCHA)라는 걸 들고 나와 캡차 시스템을 보강한 바 있고, 어느 정도는 성공을 거두는 듯 했다. 하지만 기계의 지능은 날로 발전했고 그 속도는 예상을 훌쩍 뛰어넘었다. 이 중 광학 특성 인지 기술의 놀라운 발전은 텍스트로 구성된 캡차를 무용지물로 만드는 데 결정적인 역할을 했다. 이제 캡차가 기계의 ‘인지’를 막으려면 텍스트가 엄청나게 변형되어야 하는데, 이는 결국 사람마저도 글자를 알아볼 수 없게 만든다.
콜럼비아대학의 연구원들은 자신들의 연구 결과를 구글과 페이스북에 공개했고, 이에 구글은 이미 일정부분 대책을 마련한 상태다. 구글은 “보안 관련 커뮤니티와 꾸준히 소통을 하고 있으며 리캡차를 비롯한 구글의 여러 제품의 안전에 다양한 기여를 하고 있는 이들에게 감사하다”며 “콜롬비아대학 연구원들의 연구 결과와 리캡차 공격 방법을 가지고 더 강력한 보안 장치를 마련할 것”이라고 밝혔다.
폴라키스 연구원은 “이는 이기고 지고 하는 보안과 침투 테스트 사이의 전형적인 관계의 한 양상일 뿐”이라며 “이런 반복과 순환이 결국 보안을 더 단단하게 한다”고 자신들의 성과가 갖는 의의를 겸손하게 표명했다. “결국 우리가 제안한 방법과 기술 역시 언젠간 막힐 것입니다.”
그 말대로 한 방 먹은 구글은 브라우저의 환경설정과 사용자 에이전트 데이터(user-agent data)를 활용해 대처하는 법을 시험 개발해 적용 중에 있다. 아직 실험 단계이긴 하나 이로써 한 동안 리캡처가 막 출시되었을 때와 비슷하게 여러 가지 공격 방법을 오히려 무력화시킬 것으로 보인다. 그 ‘한 동안’이 얼마나 될지가 관건이긴 하다.
하지만 폴라키스는 “캡차의 경우 공격하는 게 방어하는 것보다 훨씬 쉽다”고 말한다. “개발자들 입장에서 캡차를 설계하고 만들어내는 건 굉장히 어려운 일입니다. 게다가 컴퓨터 비전과 머신 러닝이 엄청난 발전을 보여서 사람과 기계의 반응을 구분하는 건 더더욱 힘들어지고 있죠. 아무리 뒤집고 뒤집는 게 공격자와 방어자의 역할이라고는 하지만 캡차의 운명은 시한부로 보입니다.”
그럼에도 희망이 있다면 캡차가 ‘공개된 문제’라는 것이다. “세상엔 많은 개발자들이 있고, 그들 중 캡차에 혁신을 가할 수 있는 브레인이 있을 가능성도 높죠. 천재 한 명이 등장해 캡차를 살려낼 지도 모릅니다.”
구글은 이런 면에서 상당히 재미있는 업체다. 캡차 강화에 엄청나게 열을 올리는 한편 알파고와 같은 인공지능에도 투자를 아끼지 않기 때문이다. 공격과 방어에 있어 세계 최고라고 불려도 손색이 없는 기술을 가지고 있어 말 그대로 대단한 ‘창과 방패’ 즉 모순을 자아내고 있기 때문이다. 하지만 가장 단단한 창이 있기에 가장 단단한 방패를 만들어 낼 수도 있지 않을까 하는 기대감 역시 존재한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
사람과 기계의 반응, 유의미한 구분 가능하게 해주는 법 등장해야
[보안뉴스 문가용] 이미 2000년도에 등장한 단어 캡차(CAPTCHA)는 ‘사람과 컴퓨터를 구분하기 위한 자동 공개 테스트’라는 뜻으로 Completely Automated Public Turing Test to Tell Computers and Humans Apart의 준말이다. 이 말들 중 Turing이란 단어는 앨런 튜링(Alan Turing)이라는 전설적인 수학자 및 암호학자를 가리키는 말이다. 튜링 박사는 질문에 대한 컴퓨터의 응답과 사람의 응답을 구분할 수 있는 방법을 연구한 것으로 알려져 있다.
이런 류의 테스트를 테스트해보는 건 주로 인공지능의 몫인데, 최근 알파고로 구글이 증명했듯 인공지능의 발전이 바둑으로 사람을 이기는 수준에까지 왔으므로 캡차와 같은 장치도 높은 수준으로의 실험이 가능해지지 않을까 기대해볼 수 있게 되었다. 그러나 인공지능이 사람의 그것을 여러 분야에서 따라잡는 수준에까지 이른 지금, 캡차는 오히려 점점 쓸모가 없어지고 있다.
콜럼비아대학의 제이슨 폴라키스(Jason Polakis)와 수파니 시바코른(Suphannee Sivakorn) 연구원은 안젤로스 케로미티스(Angelos Keromytis) 교수와 함께 최근 구글과 페이스북이 만든 캡차 과정을 우회할 수 있는 자동화 시스템을 만들었다. 구글과 페이스북은 가짜 계정 생성과 스팸 포스팅 등을 막기 위해 캡차를 차용하는 대표적인 케이스다.
“굉장히 효율이 높은 시스템”이라고 자신들의 발명품을 자랑하는 콜럼비아대학의 연구원들은 “자동으로 캡차의 70.78%를 뚫어낼 수 있다”고 실험 결과를 밝혔다. 캡차를 푸는 데 드는 평균 시간은 19초로 대단히 짧기도 하다고. “페이스북 캡차를 푸는 경우 정확도가 83.5%에 달했습니다.”
캡차에 가해지는 공격은 지난 수년간 보안 문제로 대두되었다. 이에 구글은 이미 2009년에 리캡차(reCAPTCHA)라는 걸 들고 나와 캡차 시스템을 보강한 바 있고, 어느 정도는 성공을 거두는 듯 했다. 하지만 기계의 지능은 날로 발전했고 그 속도는 예상을 훌쩍 뛰어넘었다. 이 중 광학 특성 인지 기술의 놀라운 발전은 텍스트로 구성된 캡차를 무용지물로 만드는 데 결정적인 역할을 했다. 이제 캡차가 기계의 ‘인지’를 막으려면 텍스트가 엄청나게 변형되어야 하는데, 이는 결국 사람마저도 글자를 알아볼 수 없게 만든다.
콜럼비아대학의 연구원들은 자신들의 연구 결과를 구글과 페이스북에 공개했고, 이에 구글은 이미 일정부분 대책을 마련한 상태다. 구글은 “보안 관련 커뮤니티와 꾸준히 소통을 하고 있으며 리캡차를 비롯한 구글의 여러 제품의 안전에 다양한 기여를 하고 있는 이들에게 감사하다”며 “콜롬비아대학 연구원들의 연구 결과와 리캡차 공격 방법을 가지고 더 강력한 보안 장치를 마련할 것”이라고 밝혔다.
폴라키스 연구원은 “이는 이기고 지고 하는 보안과 침투 테스트 사이의 전형적인 관계의 한 양상일 뿐”이라며 “이런 반복과 순환이 결국 보안을 더 단단하게 한다”고 자신들의 성과가 갖는 의의를 겸손하게 표명했다. “결국 우리가 제안한 방법과 기술 역시 언젠간 막힐 것입니다.”
그 말대로 한 방 먹은 구글은 브라우저의 환경설정과 사용자 에이전트 데이터(user-agent data)를 활용해 대처하는 법을 시험 개발해 적용 중에 있다. 아직 실험 단계이긴 하나 이로써 한 동안 리캡처가 막 출시되었을 때와 비슷하게 여러 가지 공격 방법을 오히려 무력화시킬 것으로 보인다. 그 ‘한 동안’이 얼마나 될지가 관건이긴 하다.
하지만 폴라키스는 “캡차의 경우 공격하는 게 방어하는 것보다 훨씬 쉽다”고 말한다. “개발자들 입장에서 캡차를 설계하고 만들어내는 건 굉장히 어려운 일입니다. 게다가 컴퓨터 비전과 머신 러닝이 엄청난 발전을 보여서 사람과 기계의 반응을 구분하는 건 더더욱 힘들어지고 있죠. 아무리 뒤집고 뒤집는 게 공격자와 방어자의 역할이라고는 하지만 캡차의 운명은 시한부로 보입니다.”
그럼에도 희망이 있다면 캡차가 ‘공개된 문제’라는 것이다. “세상엔 많은 개발자들이 있고, 그들 중 캡차에 혁신을 가할 수 있는 브레인이 있을 가능성도 높죠. 천재 한 명이 등장해 캡차를 살려낼 지도 모릅니다.”
구글은 이런 면에서 상당히 재미있는 업체다. 캡차 강화에 엄청나게 열을 올리는 한편 알파고와 같은 인공지능에도 투자를 아끼지 않기 때문이다. 공격과 방어에 있어 세계 최고라고 불려도 손색이 없는 기술을 가지고 있어 말 그대로 대단한 ‘창과 방패’ 즉 모순을 자아내고 있기 때문이다. 하지만 가장 단단한 창이 있기에 가장 단단한 방패를 만들어 낼 수도 있지 않을까 하는 기대감 역시 존재한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
