Gmail, CAPTCHA 시스템이 뚫리다

사용자 삽입 이미지구글 메일 계정의 임시 대량 생성을 방지하는 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)가 드디어 뚫린 모양입니다.

CAPTCHA는 2000년에 카네기 멜론 대학의 연구원들과 IBM 연구원이 공동 개발한, 간단히 설명해서 프로그램을 이용한 계정의 자동 생성을 방지하기 위해 반드시 가입 신청을 하는 사용자가 직접 랜덤하게 표시되는 특정 문자열을 입력하도록 강제하는 수단 중 하나로, 특정 문자열은 이미지로 표시해주는데 이 이미지는 OCR 프로그램이 인식할 수 없도록 노이즈가 들어가거나 문자열의 모양을 비틀어서 표시됩니다. 예를 들어 아래와 같은 문자열 이미지가 나오는 것이지요. 예시는 드림위즈 회원가입시 나오는 CAPTCHA이며, 다른 사이트들도 대부분 유사한 형태의 CAPTCHA를 도입하여 운영하고 있습니다.

사용자 삽입 이미지
CAPTCHA는 현재 상당히 많은 사이트에서 도입하고 있으며, 완전한 CAPTCHA가 아니더라도 부분적으로 개념이 같은 정책을 적용하는 곳도 많습니다. 대부분 대소문자를 구분하고 있어 이 부분을 통과하지 못하는 가입 신청자들도 생각보다 많습니다. -_-;

그러나 CAPTCHA는 나온지 꽤 오래된 기술이고, 이를 프로그램에 의해 인식할 수 있는 기술도 발달했기 때문에 한 조사에 따르면 2008년 2월 현재 Windows Live Hotmail에서 사용하는 CAPTCHA 중 약 30~35%, Gmail에서 사용하는 CAPTCHA 중 약 20%가 프로그램에 의한 자동 인식이 가능한 것으로 나타났습니다(물론 이 비율 중 OCR로의 인식 뿐 아니라 패킷 검출을 통한 방법도 포함되어있습니다). 이미지의 OCR 인식 방법이 발달함에 따라 CAPTCHA를 개발한 카네기 멜론 대학에서는 이를 보완한 reCAPTCHA의 사용을 권장하고 있기도 합니다.

이렇게 Gmail의 CAPTCHA가 뚫림에 따라 문제가 되는 것은 Gmail을 이용한 스팸, 즉 아웃바운딩되는 스팸이 많아지는 것입니다. ZDNet의 기사에서는 마치 Gmail의 인바운딩 스팸을 필터링하는 스팸 필터가 무력화된 것처럼 표현했던데요, 물론 인바운딩 스팸도 문제가 되겠지만 핵심은 아웃바운딩 스팸이지요.

구글 지메일 스팸 방어막 뚫렸다 [ZDNet Korea | 2008-03-11]

Gmail의 아웃바운딩 스팸이 많아지면, 즉 Gmail에 로그인하여 발송하는 스팸이 많아지면 그만큼 수신자의 INBOX로 들어가는 스팸의 양이 증가한다는 것을 뜻합니다. Gmail의 사용자 층이 아직까지 매니아(?)층이 많다보니 메일 수신이 되는지 여부에 민감하고, 현실적으로 Gmail의 메일을 받지 못하면 여러가지 의미로 수신측에서 꽤나 곤란해집니다. 거기에 Gmail은 워낙도 SPF와 DKIM을 동시에 출판하여 “Gmail은 무조건 잘 받아주라”라는 꼬리표를 달아 메일을 보내기 때문에 어느 한쪽만 쓰거나 아니면 아예 사용하지 않는 메일 서비스에 비해 INBOX에 들어갈 확률이 높은 메일 서비스입니다.

이는 곧 Gmail에서 Gmail로 보내는 스팸 또한 늘 수 있다는 얘기입니다. 앞서 ZDNet Korea의 기사가 완전히 틀렸다는 얘기를 못하는 것도 그 때문입니다. Gmail에서 아웃바운딩하는 스팸이 많아지면 그만큼 비례해서 Gmail→Gmail 로 전송되는 스팸도 많아지는 것은 당연한 얘기지요. 다만 이런 식으로 아웃바운딩 스팸을 보내는 작자들은 조금이라도 늦게 적발되기 위해 내부적으로는 스팸을 잘 안 보내곤 합니다. 예를 들어 드림위즈의 메일 계정을 뚫어서 들어왔다, 하면 드림위즈로 보내기보다는 한메일이나 네이버 같은 외부로 발송하는 양이 대부분이지요(한메일 점유율이 50%를 넘기도 하지만). 적발이 될때까지는 계속 쏘는 겁니다.

WEBSENSE Security Labs에 따르면 Gmail의 CAPTCHA가 뚫린 방법은 패킷 검출을 이용한 방법으로 보입니다. 이 부분은 구글에서 곧 보완하겠지만, 짧은 시간내에 유사한 네트웍에서의 집중 가입에 대한 대책이 없었다면 이 부분에 대한 보완도 마찬가지로 진행되어야할 것으로 판단됩니다. 사용자에 대한 배려 차원에서 이런 부분에 대한 팍팍한 정책을 진행하지 않았을 것이라곤 생각하지 않지만, 어뷰징(abusing) 행위의 근절을 통한 서비스의 보호 및 안정적인 운영 또한 또다른 모습의 사용자에 대한 배려니까요. ⓣ

11 댓글

  1. 매번 좋은 글 잘 읽고 있습니다. 감사합니다. ^^;

    혹시.. CAPTCHA 이걸 어떻게 읽나요? 그냥 씨에이.. 라고 읽으면 되는지;;

  2. 핑백: 학주니닷컴
  3. SmartMedia의 응용제풍로 Barcode Scanner를 갤S에 App받아 활용하면 재밋응 현상을 확인할 수있슴

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.