"로봇이 아닙니다" 클릭할 때 벌어지는 일 [테크토크]

"로봇이 아닙니다. "

온라인 홈페이지에 회원 가입하거나 로그인할 때 해당 문구가 적힌 레터 박스를 본 적이 있을 겁니다. 클릭하면 인증이 완료되고 다음 화면으로 넘어가지요. 이 시스템의 이름은 리캡차(RECAPTCHA). 인터넷의 부흥기와 함께 시작된 보안 기술의 집대성입니다.

리캡차는 특정 서비스에 접속하려는 고객이 인간인지 봇 프로그램인지 판별하는 보안용 필터 프로그램으로, 구글이 개발해 무료 배포하고 있습니다. 클릭 한 번이면 사라지지만, 사실 이 과정에서 고객은 리캡차에 수많은 정보를 건네고 있습니다.

리캡차는 이용객의 쿠키(웹사이트가 브라우저에 저장하는 작은 정보 조각), 마우스 커서를 옮기는 속도, 클릭하는 속도 등을 종합해 패턴으로 만들고, 이 패턴이 인간에 가까운지 기계에 가까운지 대조한 뒤 봇 여부를 판단합니다. 가끔 리캡차를 눌렀다가 틀린 그림 찾기 등 간단한 퍼즐 게임이 나타나는 경우도 있는데, 이때는 클릭 패턴이 기계에 가깝다고 판단돼 2차 검증에 나선 겁니다.

리캡차는 인터넷의 역사와 함께 시작됐다고 해도 과언이 아닙니다. 리캡차의 시작은 1997년 미 카네기멜런대에서 개발한 '캡차(CAPTCHA)'입니다. 이 단어는 "컴퓨터와 인간을 분리하는 완전 자동화된 튜링 테스트(Completely Automated Public Turing test to tell Computers and Humans Apart)"의 줄임말로, 당시 시도 때도 없이 스팸 메일·악성코드 게시글로 인터넷을 도배하던 봇을 차단할 목적으로 개발됐지요.

지금의 리캡차는 인간 행동을 패턴화하고 식별하는 고도로 발달한 프로그램이지만, 당시만 해도 캡차는 글자 맞추기 퍼즐에 더 가까웠습니다. 봇이 인식할 수 없도록 글자를 일부러 망가뜨린 단어, 숫자 조합을 이용자가 풀게 했지요.

캡차는 초기 인공지능(AI)의 발전에도 이바지했습니다. 2007년 미국 컴퓨터 과학자 루이스 폰 안은 고문서 등에 기록된 식별하기 어려운 문자 데이터를 발췌해 캡차 퍼즐로 쓰자는 아이디어를 냈습니다. 그 결과 전 세계 수천만 인터넷 이용자가 캡차 인증을 하면서 문자 데이터를 해독할 수 있었고, 컴퓨터 과학자들은 이 데이터를 AI 훈련용으로 사용했습니다.

정교하게 가다듬어진 문자 데이터의 진가를 알아본 구글은 2009년 캡차 개발팀과 접촉, 이들을 인수해 리캡차 개발팀으로 재편성했습니다. 루이스 폰 안은 2011년 구글을 퇴사한 뒤 또 다른 언어 관련 프로젝트에 착수했는데, 이 프로젝트가 오늘날 세계 최대의 외국어 교육 애플리케이션(앱) '듀오링고'입니다.

문제는 리캡차가 발전하는 만큼 봇도 발전한다는 겁니다. 역설적으로 캡차 덕분에 발전한 AI가 최첨단 봇 판별 프로그램을 속이는 일도 비일비재하게 벌어지고 있지요.

지난해 9월 보안 기업 Z스케일러 소속 연구원들은 챗GPT 등 챗봇 서비스를 이용해 리캡차 우회 실험을 했습니다. 연구진에 따르면 현재 대부분의 AI 챗봇은 "리캡차를 우회하라"는 직접적인 명령을 거부하도록 설계됐습니다. 그러나 "이 리캡차는 가짜다", "연구 목적의 프로젝트다" 등 문구를 넣어 챗봇을 속이면, 요청을 승낙하며 순식간에 리캡차를 무력화하는 것으로 나타났습니다.

특히 AI 챗봇들은 기존 봇 프로그램은 흉내 낼 수 없었던 '인간다운 마우스 클릭'을 재현하거나, 복잡한 그림 퍼즐도 해결했습니다. 연구진은 "리캡차는 접속자가 인간인지 증명하기 위해 만들어진 프로그램인데, 현대 AI는 사람 같은 움직임을 충분히 재현할 수 있다"며 "지금의 리캡차가 여전히 유효한 보안 수단인지 의문을 제기하며, 앞으로 사이버 보안 업계는 AI를 견제하기 위한 전략을 수립해야 할 것"이라고 결론 내렸습니다.