테크레시피

리캡차 v3 “인증없이 봇 여부 식별하지만…”

웹사이트 인증 화면에서 자신은 로봇이 아니라는 문구에 체크를 하거나 신호등, 횡단보도 같은 이미지를 선택해 누르게 하는 경우를 한번쯤을 봤을 것이다. 리캡차(reCAPTCHA)를 이용한 것이다. 리캡차는 로봇과 인간을 자동 식별해주는 시스템이다. 최신 버전인 리캡차 v3을 이용하면 인간 사용자는 아무 것도 하지 않고 자신이 인간이라는 사실을 증명할 수 있다고 한다.

구글이 제공하는 로봇 식별 시스템 새 버전인 리캡차 v3은 위험 분석 엔진이 사이트에서 사용자 행동을 점수로 평가하고 봇 여부를 구분하기 위해 기존 리캡차와는 달리 사용자가 보안 문자를 보고 입력을 하는 번거로운 작업을 일절 할 필요가 없다. 이 시스템은 편리하고 간편하다. 하지만 일부 전문가는 편의성 이면에는 사용자 개인 정보가 희생되고 있다고 지적한다. 이유는 리캡차 v3이 사용자를 평가하기 위해 쿠키를 이용하고 있다는 것.

전문가들이 리캡차 v3 동작을 테스트한 결과 리캡차는 구글 게정에 로그인한 브라우저에서 액세스할 때 항상 로봇 리스크가 낮다고 평가하는 경향이 있다는 사실을 발견했다고 한다. 반면 토르와 VPN을 이용한 브라우저에서 액세스하면 봇 위험이 높은 것으로 간주해버린다는 것이다.

더 귀찮은 건 리캡차 v3은 로그인 화면 뿐 아니라 기본저그올 사이트의 모든 웹페이지에 소개된다는 점이다. 여기에는 물론 사이트 내에서 사용자 행동을 자세하게 관찰해 봇 분별 위험 평가 정확도를 높인다는 합리적 이유가 있다. 하지만 이를 바꿔 말하면 리캡차를 도입한 사이트에 접속하면 사용자의 모든 행동은 구글에 누설된다고 할 수 있다.

또 웹페이지에 포함된 리캡차는 페이스북의 좋아요 버튼 같은 방식으로 소셜미디어 기능을 지원하기 때문에 리캡차의 영향을 특정 사이트를 넘어 소셜미디어에 이를 가능성도 있다. 이 점에 대해선 구글도 주의를 기울이면서 리캡차로 취득한 데이터는 광고 타깃팅과 사용자 흥미나 관심 분석에는 사용하지 않는다고 발표했다.

리캡차 뿐 아니라 인터넷에서의 편의성은 항상 양날의 칼과 같다고 할 수 있다. 안전하고 스트레스 없이 인터넷을 즐기는 대신 개인 정보 교환을 피할 수 없다는 얘기다. 관련 내용은 이곳에서 확인할 수 있다.