컴퓨터 프로그램과 일반 사용자를 구별하는 '캡차(CAPTCHA)'가 0.05초 만에 뚫렸다. 이전 공개된 인공지능(AI) 활용 캡차 공격 방식과 비교해 속도와 정확도 등이 월등히 높다. 블리자드 등 일부 사이트 캡차 공격 성공률은 100%에 달했다.
6일 보안업계 등 외신에 따르면 캡차 알고리즘을 뚫는 새로운 공격 방법에 대한 연구가 공개됐다. 중국 노스 웨스트, 북경 대학, 영국 랭카스터 대학 연구원은 AI 기반 암호해독 방법을 활용해 0.05 초 내 '캡차'를 깨뜨리는 새로운 알고리즘을 개발했다고 밝혔다.
캡차는 텍스트를 의도적으로 비틀거나 덧칠해 컴퓨터 프로그램이 인식하기 어렵게 만든 암호다. 주로 6에서 8자리 알파벳이나 숫자를 일그러뜨려 제시한 뒤 이를 올바르게 인식하면 사람으로 판명한다. 자동화 프로그램이 캡차를 해독할 확률은 1% 이하로 알려져 있다.
이번 캡차 해독에는 AI 기반 '생성적 적대 신경망'(Generative Adversarial Network, GAN) 아키텍처를 활용했다. 수많은 신경망을 한곳에 모아 엔드-투-엔드 트레이닝 방식으로 진행하는 기술이다. 신경망이 서로 경쟁하며 정교한 화면을 구성하고 왜곡을 제거한다.
연구자는 32개 사이트에서 사용한 11개 텍스트 캡차 서비스 가운데 500개 문자 캡차를 샘플로 활용했다. 이를 바탕으로 구글, 위키피디아, 마이크로소프트(MS), 바이두, 알리바바 등 33개 캡차 암호를 시험했다. 블리자드(100%), 바이두(97.5%), 타오바오(90.7%) 등 대부분 웹 사이트는 50% 이상 확률로 캡차 서비스가 해독했다. 공격이 가장 어렵다고 알려진 구글 캡차 공격 성공률은 3%대였다. 암호해독률이 1% 이상이면 캡차가 안전하지 않음을 나타낸다.
캡차 해독이 처음은 아니다. 이번 연구는 과거 캡차 해독을 위해 수천만 개 이미지를 활용한 것이 아닌 500개 이미지를 기반으로 빠르고 정확하게 해독했다.
해당 연구에 참여한 정왕 랭카스터 대학 부교수는 “클라우드 컴퓨팅을 사용하지 않고 데스크톱 PC를 활용해 0.05초 안에 캡차를 풀어냈다”면서 “이는 많은 웹사이트 최초 보안 방어 시스템이 더 이상 신뢰할 수 없다는 것을 의미한다”고 말했다.
정영일기자 jung01@etnews.com
