CAPTCHA(캡차)란 무엇인가요?

캡차(CAPTCHA)는 “completely automated public Turing test to tell computers and humans apart”의 약자로, 사람과 컴퓨터를 구분하기 위한 완전히 자동화된 공공 튜링 테스트를 뜻합니다. 1990년대에 컴퓨터 과학자들이 간단한 테스트를 고안했으며, 사람이 해결하기는 쉽지만 컴퓨터가 풀기에는 어렵도록 설계되었습니다. 오늘날에도 여전히 봇이 웹사이트를 스팸으로 채우는 것을 막기 위해 널리 사용되고 있습니다.

고양이가 나오는 이미지를 선택하거나 퍼즐 조각을 올바른 위치로 이동시키거나 왜곡된 문자를 입력하는 등, 우리는 모두 한 번쯤 캡차를 경험했을 것입니다. 비록 때로는 귀찮을 수 있지만, 캡차는 해커와 같은 악의적인 제3자가 웹사이트를 악용하지 못하도록 보호하는 데 필수적입니다.

캡차(CAPTCHA)는 어떻게 작동하나요?

웹사이트는 일반적으로 사용자에게 여러 이미지, 문자 또는 숫자 라인, 혹은 오디오 트랙을 제시합니다. 사용자는 캡차가 제공하는 지침을 따라 응답을 입력해 자신이 사람임을 증명해야 합니다.
캡차는 유용하지만, 봇이나 스팸을 완전히 막지는 못합니다. 신경망 기술을 활용하여 사람처럼 생각하고 인지하는 AI로 캡차를 성공적으로 해결하는 소프트웨어를 사이버 범죄자들이 만들 수 있기 때문입니다. 따라서 캡차는 스팸 방지나 봇 차단을 위한 유일한 방어 수단으로 사용되어서는 안 됩니다.

캡차(CAPTCHA) 테스트는 언제 활성화되나요?

캡차 테스트는 일반적으로 웹사이트가 자동화된 것으로 보이는 의심스러운 활동이나 행동을 감지할 때 트리거됩니다. 아래는 캡차 테스트가 트리거되는 주요 상황을 살펴보겠습니다.

IP 주소 변경

VPN을 사용할 경우 캡차에 자주 노출될 수 있습니다. VPN은 대체 IP 주소를 제공하기 때문에, 갑작스러운 IP 주소 변경은 웹사이트가 사용자를 봇이나 자동화 스크립트로 의심하게 만들 수 있습니다.

대량 요청

웹사이트와 온라인 서비스는 서버 과부하를 방지하고 실제 사용자 경험을 보호하기 위해 캡차를 사용합니다. 이미지, 비디오 등 대량의 콘텐츠를 갑자기 요청하면 웹사이트가 이를 의심스러운 행동으로 간주하고 캡차를 활성화할 수 있습니다.

계정 로그인

캡차는 추가 보안 계층으로 사용자를 인증하고 계정 로그인을 시도하는 사람이 실제 사람임을 확인합니다.

봇과 유사한 행동

폼을 지나치게 빠르게 작성하거나, 비정상적인 클릭 패턴, 과도한 서버 요청 등이 봇과 유사한 행동으로 간주됩니다.

브라우징 기록 부족

캡차는 브라우징 기록을 볼 수는 없지만, 구글 소유의 reCAPTCHA는 사용자의 브라우징 기록을 감지하지 못하면 캡차 테스트를 활성화할 수 있다고 믿는 사용자가 많습니다.

캡차(CAPTCHA)의 종류

웹사이트에서 자주 사용되는 CAPTCHA의 다양한 유형과 해결 방법, 그리고 효과를 살펴보겠습니다.

텍스트 기반 캡차

텍스트 기반 캡차(위 예시)는 사용자에게 문자, 숫자 또는 두 가지 조합으로 구성된 코드를 입력하도록 요구합니다. 이를 통해 사용자가 사람임을 증명합니다.

효과: 텍스트 기반 캡차가 초기 기대만큼 효과적이지 않다는 보고도 있지만, 많은 대형 전자상거래 브랜드와 기술 회사들은 여전히 이를 사용하여 악의적인 봇에 대비합니다.

팁: 특별한 팁은 필요 없습니다. 텍스트 기반 캡차는 일반적으로 해결하기 쉽습니다.

텍스트 기반 캡차의 종류

Gimpy

Gimpy는 사용자가 이미지에 나타난 왜곡된 텍스트를 해독하고 입력해야 하는 CAPTCHA를 말합니다. Gimpy CAPTCHA는 850개의 단어로 구성된 사전을 사용하여 봇을 혼란스럽게 만듭니다.

EZ-Gimpy

EZ-Gimpy는 Gimpy CAPTCHA의 하위 유형으로, 일반적으로 한 단어나 구만 포함되어 있어 상대적으로 해결하기 쉽습니다.

Gimpy-r

Gimpy-r은 무작위로 선택된 문자에 배경색을 추가해 봇을 더욱 혼란스럽게 만듭니다. 배경의 노이즈 때문에 인간에게도 어려운 경우가 있습니다.

Simard’s HIP

Simard’s HIP는 Gimpy-r보다 더 나아가 숫자를 포함시키고, 배경에 패턴을 추가하여 사용자가 이를 완성하도록 요구합니다.

오디오 캡차

오디오 캡차(위 예시)는 시각적 장애나 운동 장애가 있는 사람들을 위한 텍스트 기반 CAPTCHA의 대안입니다. 사용자는 녹음을 듣고 코드를 입력해야 인증됩니다.

효과: 듣기에는 불편하고 짜증이 날 수 있지만, 오디오 CAPTCHA는 봇에 대해 가장 효과적이라고 평가받습니다. 대부분의 봇은 음성 인식이나 배경 소리 속에서 글자를 구분하도록 훈련되지 않았기 때문입니다.

팁: 집중력이 필요합니다! 오디오 트랙을 주의 깊게 듣고 최선을 다해 입력하세요.

이미지 기반 캡차

캡차 중 가장 대중적이고, 인터넷에서 밈으로도 자주 언급되는 유형으로, 주어진 지침에 따라 사진을 선택하는 테스트입니다. 이 테스트를 한 번에 성공하려면 다른 사람들이 선택할 것 같은 사진을 고르는 것이 중요합니다. 과도한 고민은 금물!

효과: 성공률이 96%로 보고되고 있어 매우 높은 수준입니다. 제시된 이미지들은 주관적이어서 봇이 이를 식별하기 어렵습니다.

팁: 고민하지 마세요. 실패하더라도 더 쉬운 테스트가 나올 수 있습니다.

No CAPTCHA reCAPTCHA (또는 reCAPTCHA V2)

2014년 구글이 도입한 이 테스트는 간단합니다. “I am not a robot” 상자를 클릭하기만 하면 됩니다. CAPTCHA는 상자의 어느 부분을 클릭했는지에 따라 사용자가 사람인지 봇인지 판단합니다. 봇은 보통 상자 중앙을 클릭합니다. 만약 우연히 사람이 상자 중앙을 클릭하면, 백업 인증 방법으로 문자나 숫자 조합을 입력하도록 요청됩니다.
효과: 매우 높음

팁: 상자 중앙을 클릭하지 마세요. 사람이면 실패하기 어렵습니다.

수학 문제 또는 단어 작업

이 CAPTCHA는 간단한 산수 문제를 풀거나 특정 단어를 입력하도록 요구합니다. 인간에게는 쉬워 보이지만, 봇에게는 여전히 어렵습니다.

효과: 중간. 특히 왜곡된 텍스트를 입력하는 클래식한 도전 과제는 봇이 점점 더 능숙해지고 있습니다.

팁: 학창 시절 선생님이 응원한다고 상상하며 도전해 보세요. 할 수 있습니다!

허니팟 캡차

허니팟 CAPTCHA는 봇만 볼 수 있는 하드코딩된 CAPTCHA입니다. 이는 폼에 빈 필드로 나타나는 경우가 많습니다. 봇은 자동으로 이를 채우려고 시도하기 때문에, 웹사이트는 이를 쉽게 감지하고 제출된 답변이나 폼을 거부할 수 있습니다.
효과: 중간. 일부 봇은 속지 않습니다.

팁: 인간이라면 할 일이 없습니다.

시간 기반 캡차

또 다른 CAPTCHA 유형은 사용자가 폼을 작성하는 데 걸리는 시간을 측정하는 방식입니다. 봇은 폼을 즉시 채우기 때문에, 인간이라면 시간을 들여 작성하는 것으로 자신을 증명할 수 있습니다.
효과: 높음

팁: 인간 속도로(즉, 천천히) 폼을 작성하고 자동화를 사용하지 마세요.

소셜 미디어 로그인

아마도 가장 안전한 CAPTCHA 유형으로, 소셜 미디어 로그인을 요구합니다. 사용자가 페이스북, 인스타그램 또는 구글 계정으로 로그인해야 웹사이트에 접근할 수 있습니다. 봇은 소셜 미디어 계정을 가질 수 없기 때문에 이를 통과하기 어렵습니다. 그러나 사용자가 별도의 계정으로 로그인해야 한다는 번거로움은 단점이 될 수 있습니다.
효과: 매우 높음

팁: 소셜 미디어 계정을 보유하세요. 주 계정을 사용하지 않아도 되며, 이 목적을 위한 별도 계정을 만들어 개인정보를 보호하면서도 빠르게 CAPTCHA를 통과할 수 있습니다.

투명 캡차 (또는 reCAPTCHA V3)

구글에 따르면, 이는 백그라운드에서 사이트 방문자가 사람인지 봇인지 판별합니다. 이 방법은 사용자에게 입력을 요구하지 않으며, 사이트에서의 활동을 모니터링해 0~1의 점수를 부여합니다. 점수가 0~0.3 사이이면 봇, 0.4~1.0 사이이면 인간으로 간주됩니다. 정확히 어떻게 작동하는지는 공개되지 않았습니다. 구글의 입장에서는 이를 공개하지 않아 악의적인 행위자가 따라잡지 못하도록 하는 것이 타당할 수 있습니다.
효과: 알 수 없음

팁: 인간처럼 행동하세요. 브라우저에 구글 쿠키가 설치되어 있으면 캡차를 통과할 가능성이 높아질 수 있습니다.

캡차의 일반적인 용도는 무엇인가요?

캡차는 스팸 방지 및 봇 사기 방지 외에도 여러 목적으로 활용됩니다.

여론 조사 정확도 유지

캡차는 투표나 여론 조사 결과가 왜곡되지 않도록 보장합니다. 캡차는 각 투표자가 실제 사람임을 인증하며, 시간 소모적인 CAPTCHA를 통해 봇이 스팸을 일으키는 것을 어렵게 만듭니다.

서비스 등록 제한

캡차는 소셜 미디어 플랫폼, 이벤트 등록 페이지, 무료 서비스에서 봇 계정 생성을 제한합니다. 이를 통해 기업은 리소스를 실제 사용자 계정에 집중할 수 있습니다.
2020년 인스타그램은 의심스러운 행동을 보이는 계정 소유자에게 추가 신원 정보를 요청하여 그들이 실제 사람임을 확인하겠다고 발표했습니다. 인스타그램에는 9,500만 개 이상의 가짜 계정이 있다고 추정됩니다.

티켓 가격 인플레이션 방지

일부 티켓팅 시스템, 예를 들어 Ticketmaster는 수요에 따라 티켓 가격을 조정한다고 주장합니다. 이는 암표상이 티켓을 구매하고 재판매하는 것을 방지하기 위함이지만, 봇은 여전히 티켓 가격을 높일 수 있어 문제가 되기도 합니다.
티켓팅 시스템은 구매 과정에 캡차를 포함하여 봇을 늦추고 암표상을 저지할 수 있습니다.

가짜 댓글, 스팸 또는 괴롭힘 방지

캡차는 댓글을 허용하는 웹사이트나 블로그에서 특히 유용합니다. 봇이나 사람이 스팸, 허위 댓글, 심지어 괴롭힘을 줄이는 데 도움을 줄 수 있습니다.

한정판 제품 구매 방지

캡차는 봇을 사용해 인간 구매자보다 유리한 입지를 차지하려는 재판매업체를 막을 수 있습니다. 재판매업체는 한정판 운동화, 가방, 전자제품 등을 구매하기 위해 봇을 사용한 것으로 악명이 높습니다.
2022년 Nike는 재판매업체와 봇을 단속하기 위해 판매 약관을 업데이트했습니다. 이 대형 브랜드는 봇으로 구매된 주문을 취소하기도 했습니다.

캡차의 단점

캡차를 만난 적이 있다면 캡차를 실패한 경험도 있을 것입니다. 자신이 인간임을 증명하지 못하는 것은 실망스러울 수 있지만, 생각보다 흔한 일입니다.

캡차는 짜증스럽고 방해가 될 수 있습니다

2014년 구글은 기계 학습 알고리즘을 인간과 비교해 가장 복잡한 캡차 유형을 테스트했습니다. 사람들은 33%의 성공률로 테스트를 통과했지만, 구글의 기계는 99.8%의 성공률을 기록했습니다.

이해하거나 사용하기 어려울 수 있습니다

캡차는 이제 인간보다 컴퓨터에게 더 어려운 도전 과제가 되었습니다. 이에 따라 캡차의 유효성에 대한 의문도 제기되고 있습니다. 한편, CAPTCHA를 해결하는 것이 부업으로 활용되기도 했습니다. 즉, 누군가에게 “어떤 이미지에 차양이 있는지”를 해결하도록 고용할 수도 있습니다.

일부 캡차는 접근성이 낮습니다

시각, 청각 또는 운동 장애가 있는 사용자는 캡차를 해결하는 데 어려움을 겪을 수 있습니다. 이는 특정 사이트를 이용할 때 좌절감을 유발할 수 있습니다.

일부 웹사이트는 페이지 조회수가 감소할 수 있습니다

캡차는 방문자에게 약간의 장벽이 될 수 있기 때문에, 캡차를 새로 도입한 웹사이트는 일시적으로 트래픽 감소를 경험할 수 있습니다.