[보안뉴스 문가용 기자] 음성을 글자로 변환시켜 주는 기술을 가지고 캡챠(CAPTCHA)를 우회하는 기술은 이미 2017년에 공개된 바 있다. 그런데 그 기술이 구글의 리캡처(reCAPTCHA) 세 번째 버전에서도 통한다는 연구 결과가 공개됐다. 보안 전문가 니콜라이 챠셔(Nikolai Tschacher)가 자신이 만든 개념증명 영상을 1월 2일자로 업로드했다.
[이미지 = utoimage]
캡챠는 2014년에 처음 도입된 것으로 인간이 발생시키는 트래픽과 봇이 발생시키는 트래픽을 구분하고자 고안된 것이다. 리캡챠는 구글이 개발한 캡챠 기술에 붙은 이름이다. 이미지나 소리, 문자로 구성된 퍼즐을 풀게 해 인간과 봇을 구분하는 것이다. 이런 캡챠에 음성을 문자로 변환시켜주는 기술을 대입하면 봇이라도 인간처럼 보이게 할 수 있다.
챠셔는 이를 다음과 같이 설명한다. “오디오 리캡챠의 MP3 파일을 확보하고, 이를 구글이 직접 개발한 ‘스피치 투 텍스트(speech-to-text) API’에 적용하면 97%의 경우 정답을 받을 수 있습니다. 대단히 간단하죠.” 챠셔는 자신이 개발한 봇을 가지고 구글의 리캡챠 v3를 농락하는 방법을 영상으로 만들기도 했다.
그러면서 챠셔는 연구 성과에 대하 다음과 같이 밝혔다. “지금은 튜링 테스트를 고급 인공지능이 푸는 때입니다. 캡챠로 인간과 봇을 구분하는 건 점점 힘들어질 겁니다. 곧 캡챠가 아니라 패시브 인공지능(passive AI)을 활용해 데이터를 수집함으로써 인간과 봇을 저절로 구분하는 때가 올 겁니다. 저의 연구는 그러한 시대의 흐름을 알려주는 수많은 성과 중 하나일 뿐입니다.”
2017년 캡챠에 스피치 투 텍스트 기술을 적용하는 방법을 처음 공개한 건 메릴랜드대학의 연구원들이었다. 당시 연구원들은 85%의 정확도를 기록했다. 그런 후 이 기술에 언캡챠(UnCAPTCHA)라는 이름을 붙였다. 이에 구글은 브라우저 자동화 탐지 기술을 강화하고, 숫자 대신 문장을 말하게 하는 방법으로 대응했다. 하지만 2018년 구글의 이런 대응(리캡챠)이 오히려 더 속이기 쉽다는 것이 밝혀졌다.
구글의 리캡챠를 깨는 데 성공한 것은 브라우저 자동화 엔진인 셀레늄(Selenium)을 차단하면서 스크린 클리커를 특정 픽셀들로 움직이게 함으로써 사람처럼 페이지 내에서 움직이도록 하는 기술인 언캡챠2였다. 이 방법이 구글에 보고된 건 2018년 6월의 일이고, 구글의 동의 아래 언탭챠2의 코드가 개념 증명을 목적으로 공개되기도 했었다. 물론 구글이 방비를 취한 뒤의 일이었다.
그런 후 챠셔가 등장했고, 구글의 리캡챠를 새로이 우회하는 방법을 공개한 것으로, 이를 언캡챠3라고 볼 수도 있다. 이렇게 언캡챠가 자꾸만 발굴되는 과정 중에 정확도 역시 계속 올라 97%의 성공률을 기록하기에 이르렀다. 2017년의 ‘오리지널 언캡챠’의 경우 정확도가 85%였는데 말이다. 그의 말대로 캡챠를 가지고 사람과 봇을 구분한다는 건 더더욱 어려운 일이 되어가고 있다.
그렇기 때문에 진짜 문제는 지금의 리캡챠 3가 취약하다는 것 이상이다. 캡챠 자체가 계속해서 공략당하는 와중에 있으며, 그 성공률이 100%에 근접했다는 것이 진짜 문제다. 뉴넷테크놀로지스(New Net Technologies)의 부회장인 더크 슈레이더(Dirk Schrader)는 “게다가 캡챠를 대체할 만한 것이 아직 없다”는 부분까지도 지적한다. 그러면서 그는 “캡챠를 대체한다는 건, 보안 기술 하나의 문제가 아닐 수 있다”고 예상하기도 했다.
3줄 요약
1. 한 보안 연구원, 리캡챠를 구글 API를 통해 우회함.
2. 이것은 큰 맥락에서 보았을 때 캡챠를 우회하는 기술인 언캡챠의 세 번째 버전이라고 봐도 무방.
3. 캡챠로 인간과 봇 구분하는 것 점점 어려워지는데 대체 기술 마땅치 않음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>