캡차(CAPTCHA)는 일부러 왜곡된 문자열을 입력시키거나 지정 사진을 선택하게 하는 것으로 인간과 봇을 구별하는 시스템이다. 클라우드플레어가 이런 캡차를 대체하는 수단인 턴스타일(Turnstile) 오픈 베타 버전을 출시했다.
클라우드플레어 측은 캡차는 서비스에 액세스하기 직전에 있는 경우가 많고 일일이 사진을 선택하거나 문자열을 입력해야 하는 탓에 번거로움으로 사용자 경험이 크게 손상된다고 말한다. 또 캡차 제작자 자신도 모르는 사이 수백만 시간이라는 소중한 자원인 인간의 뇌 사이클을 낭비하는 시스템을 만들어 버렸다고 할 만큼 캡차를 싫어하는 사람도 많다.
이런 이유로 발표한 게 턴스타일이다. 턴스타일은 사용자에게 시각적 퍼즐을 제시하는 게 아니라 많은 웹브라우저에 과제를 적용해 인간다운 행동을 찾아 사용자가 비인간적인 행동을 나타낼 경우 클리어 난이도를 올린다. 자바스크립트 기반 과제를 이용해 웹브라우저 환경을 읽고 브라우저에서 행동 액세서리를 찾고 작업 증명, 공간 증명, 웹 API 등 테스트를 순환시킨다.
또 기계학습 모델을 활용해 과거 성공한 과제와 새로운 과제를 비교하고 합격까지 프로세스를 가속화한다. 클라우드플레어에 따르면 캡차에선 과제를 클리어해 인증을 끝내기까지 평균 32초가 걸리지만 턴스타일을 사용하면 불과 1초로 줄일 수 있다고 한다.
더구나 클라우드플레어는 턴스타일이 캡차보다 프라이버시가 뛰어나다고 주장한다. 보통 캡차는 사용자 브라우저에 구글이 발행하는 쿠기가 있는지 여부를 결정한다. 구글은 이 쿠키에 대한 정보를 광고 타깃팅에 사용하지 않는다고 말하지만 클라우드플레어는 결국 구글은 광고 판매 업체라고 말한다.
애플이 지난 6월 발표한 프라이빗 액세스 토큰은 iOS 16 등에서 캡차를 우회하기 위한 기능으로 기본 기술은 클라우드플레어나 구글과 협력해 개발했다. 턴스타일에선 이런 프라이빗 액세스 토큰을 내장해 기기 검증을 애플에 의뢰하는 것으로 데이터 수집을 최소한으로 억제한다고 한다. 또 클라우드플레어는 쿠키를 이용해 모든 종류 정보를 수집하거나 저장하지 않는다고 밝히고 있다.
클라우드플레어가 캡차를 없애려는 건 이번이 처음이 아니다. 2021년 회사 측은 캡차를 완전히 제거할 것이라며 유비키(YubiKey)나 피도키(FIDO key) 같은 USB 기반 물리적 키를 이용하는 하드웨어 인식 인증 기능을 만들었다.
턴스타일은 현재 베타 버전으로 제공되고 있으며 클라우드플레어가 제공하는 다른 서비스를 이용하거나 트래픽을 클라우드플레어 네트워크에 전송할 필요는 없으며 누구나 무료로 이용할 수 있다. 관련 내용은 이곳에서 확인할 수 있다.