올해 초 동영상 스트리밍 서비스인 HBO 맥스에 로그인을 시도한 사용자들은 많은 곡을 듣고, 그중에서 반복 패턴이 있는 곡을 선택해야 하는 음성 문제를 풀어야 했다. 또한 필자가 최근 비즈니스 전문 소셜 미디어 플랫폼인 링크드인(LinkedIn)에 로그인하려고 하자 낯선 퍼즐을 풀어 필자가 인간임을 증명하라는 요구를 받았다. 필자는 좌우 버튼을 사용해 분홍색 개의 3D 이미지를 그것 옆에 있는 손이 가리키는 방향까지 회전시켜야 했다.

이처럼 사용자가 실제 사람인지 컴퓨터 프로그램인지를 판별해주는 기술을 캡차라고 한다. CAPTCHA는 Completely Automated Public Turing test to tell Computers and Humans Apart의 줄임말이다. 그런데 누구나 캡차가 점점 더 어려워지고 복잡해지고 있다는 걸 눈치챘을 것이다. 이렇게 된 건 우리가 캡차 테스트를 푼 이후에 생긴 일 때문이다. 다시 말해, 우리가 흐릿한 그리드에서 신호등이나 텍스트나 버스 등을 찾아 클릭하는 작업에서 얻은 데이터는 인공지능(AI) 시스템의 훈련에 사용된다. 그 결과, AI 시스템이 캡차를 풀 수 있는 능력이 향상되어 시스템을 속여 그들을 시스템이 인간으로 인식하게 만드는 것이다.

인간과 기계 사이의 ‘군비 확장 경쟁’은 얼마 전부터 이어지고 있다. 이미 2016년에 컬럼비아 대학교 연구팀이 봇 디자이너들이 쉽게 사용할 수 있는 기성품 자동 이미지 인식툴을 사용해서 구글의 화상 인증을 70%의 확률로 뚫어낼 수 있다는 걸 보여줬다.

캡차는 필요해서 점점 더 복잡해지고 있다. AI 기술이 더 정교해지면서 캡차의 효과가 점점 더 약해지고 있기 때문이다.

이제는 약간 현실과 동떨어져 있는 캡차마저 등장하고 있다. 최근 에이치캡차(hCaptcha)라는 회사가 사람들에게 이 세상에 존재하지도 않는 ‘요코(Yoko)’란 걸 찾아내도록 요구하는 일이 벌어졌다. 요코는 AI가 생성한 달팽이 닮은 모습의 요요인 것 같다.

테크 기업과 소비자은 모두 변화의 시간이 도래했다고 느낀다. 우선 현재도 사용되고 있는 기존의 캡차는 더 이상 효과가 없어졌다. 링크드인과 HBO의 캡차 개발에 종사하고 있는 아코스 랩스(Arkose Labs)의 아시시 자인(Ashish Jain) 최고기술책임자(CTO)는 MIT 테크놀로지 리뷰에 “버스나 도로 표지판 등의 이미지를 클릭하는 것은 낡은 방식”이라며 “봇은 진화했지만 기존 캡차는 진화하지 않았다”고 주장했다. 앞으로는 미니 게임을 복잡하게 만들어 봤자 AI를 막을 수 없을지 모른다는 것이다. 실제로 인간의 지도를 받은 챗봇이 시각장애인인 척하고 사람을 고용해서 캡차를 뚫은 적도 있다.

마우로 미그리알디(Mauro Migliardi) 이탈리아 파도바 대학교 교수(소프트웨어 공학)는 캡차 디자이너들은 AI보다 앞서가기 위해 더욱 발전해야 한다고 믿는다. AI가 모든 인지적 작업을 다루도록 훈련받을 수 있는 이상 앞으로 사용자에게 스마트폰을 회전시키거나 비디오 게임에서 그런 것처럼 특정한 방식으로 움직이게 만드는 등의 물리적 테스트를 내는 식으로 캡차 테스트를 바꿔야 할 수도 있다는 것이다.

하지만 그렇게 했을 때 어느 정도 문제가 해결될지도 모르나 다른 문제가 발생할 수도 있다. 캡차 테스트가 복잡해질수록 사용자는 웹상에서 하고 싶은 일을 하기가 어려워져 버린다. 또한 캡차 중에 사용자의 접근을 아예 차단해 버리는 것도 등장할 수 있다. 제스 르로이(Jess Leroy) 구글 클라우드 제품 관리 담당 수석 부장은 “모든 사람이 풀기 쉬운 과제를 내주기가 실제로는 매우 어려운 일”이라며 “한 사람에게는 분명하고 쉬운 일이더라도 다른 사람에게는 어려운 일도 많다”고 말했다. 예를 들어, 장애와 문화적 차이 때문에 이런 일이 벌어질 수 있다는 것이다.

장기적으로는 캡차가 완전히 폐지될 가능성도 있을 것 같다. 구글이나 미국의 종합 IT 기업인 클라우드 플레어(Cloudflare) 등의 기업은 이미 인간과 봇을 구별하기 위해 커서의 움직임이나 브라우징 동작 등 인간이 하는 행동의 온라인 지문을 감시하는 ‘보이지 않는’ 과제로 은밀히 전환했다. 이러한 종류의 신호를 통해 소프트웨어가 사용자를 인간으로 인식할 수 있으면 이제 캡차를 풀 필요는 사라질 것이다.

하지만 이런 방법은 자칫 프라이버시에 대한 우려를 일으킬 수 있다. 광고주와 웹사이트가 이러한 신호를 이용해 인터넷에서 사용자의 행동을 추적할 수 있기 때문이다. 이에 대한 대안은 구글, 패스틀리(Fastly), 클라우드 플레어, 애플 등의 기업 연합이 제공할 수 있다. 이 기업 연합은 ‘프라이버시 패스(Privacy Pass)’라는 보다 프라이버시를 배려한 메커니즘을 개발하고 있다. 이 메커니즘 하에서는 브라우저를 열어 캡차 테스트를 만나기 전에 얼굴 인증으로 잠금을 해제하는 식으로 스마트폰이나 PC에서 봇이 모방하기 힘든 수많은 행동을 사용자에게 수행하게 한다. 프라이버시 패스가 유효한 웹사이트에서는 우리가 쓰는 기기가 그런 모든 정보를 취해 우리임을 입증해 캡차를 아예 완전히 건너뛸 수 있게 해준다. 인증에 사용된 데이터는 기기에서 유출되지 않고, 웹사이트와 공유되지도 않는다. 애플은 이러한 서명을 ‘프라이빗 액세스 토큰(Privacy Access Tokens·PAT)’이라고 부르고, iOS 16 이후의 아이폰에서 이 기능이 벌써 디폴트로 작동하게 만들었다.

에이치캡차와 클라우드 플레어 등 대부분의 캡차 공급사는 이 PAT도 지원한다. 존 그레이엄 커밍(John Graham-Cumming) 클라우드 플레어 CTO는 올해 7월 iOS 기기로부터 받은 요청의 절반 이상이 PAT를 사용했다고 말했다. 르로이 구글 수석 부장은 구글 크롬과 안드로이드 팀도 비슷한 기술을 연구 중이라고 말했다.

그래도 캡차가 조만간 사라질 거라는 생각은 무리일 수 있다. 프라이버시 패스가 신뢰할 수 있는 대안이 될 수도 있겠지만 캡차는 여전히 인기 있는 수단이다. 팅 왕(Ting Wang) 펜실베이니아 주립대학교 교수(정보과학기술학)는 “캡차는 저렴하고 플랫폼에 의존하지 않는 보편적인 검증 솔루션으로 앞으로도 계속 존재할 것”이라고 예측했다.

이 글을 쓴 Shubham Agarwal은 프리랜스 테크 저널리스트다.