스팸방지 뚫는 포르노 집단지성
요즘 자주 볼 수 있는 익숙한 이 모습은 네이버에 가입할 때 나오는 자동가입방지용 화면으로, 캡차(CAPTCHA, "Completely Automated Public Turing test to tell Computers and Humans Apart")라는 이름을 갖고 있다. 컴퓨터와 사람을 구분해내는 테스트라는 건데, 봇을 잡아낸다(Capture)는 중의적 의미를 노리기도 한 약어인듯.
아무튼 이게 있는 이유는 자명하다 - 갈수록 아무 서버에서나 이메일을 대량으로 보낼 수 없게 되다보니, 스패머들이 자동화된 프로그램으로 무료 이메일 서비스나 게시판 댓글등을 이용해서 광고성 글을 쏟아내기 때문. 한국의 실명과 주민번호 리스트가 중국에서도 마구 돌아다니는 현실에서 실명확인 가입을 받는 우리나라도 이런 공격에 예외는 아니다. (리니지2 계정 명의도용 사건처럼)
하지만 컴퓨터가 아무리 발전했어도 음성인식, 문자인식 분야는 아직 걸음마 단계이기 때문에, 아직 이 CAPTCHA 를 쉽게 뚫기는 어렵다. 행여나 이를 인식하는 스팸 프로그램이 나와도, 글자 폰트 좀 바꿔주고 기울이고 둘쭉날쭉 뒤틀고 선 몇 개 그어주면 인식률이 현저히 떨어질 것이기 때문에, 적어도 한동안은 CAPTCHA 는 컴퓨터와 사람을 잘 구분해줄 것이다. (지금 사용되는 상당수 CAPTCHA 는 현재 기술로도 프로그램에 의해 아주 어렵지 않게 뚫린다1지금 사용되는 CAPTCHA 들이 얼마나 잘 뚫리는가를 보려면 아래 사이트들을 보면 된다.
http://sam.zoy.org/pwntcha/
http://www.lafdc.com/captcha/
아래 사이트는 한 중국 사이트의 가격표인데, CAPTCHA 를 타입별로 분류해서 난이도별로 CAPTCHA 를 해독하는 기술을 판매하고 있다 -_-
'>)
작년에 회사에서 여러가지 주제로 세미나를 했었는데, 한번은 Gold Farming (일명 '작업장'에서 전문적으로 노가다를 수행해서 게임 캐릭터/아이템을 만들어 파는것) 이야기를 하다가, 저런 CAPTCHA 도, 콜센터처럼 전문적으로 분화된 시스템을 운영하면 대책 없겠구나- 라는 생각을 하고 얘기한적이 있었다. "1개 1센트에 CAPTCHA를 입력해드립니다! 연중무휴 24 시간! 1분 1200개까지 처리가능한 고효율 시스템!" 같은 느낌?
그런데, Google Tech Talks 에서 Human Computation 이라는 발표를 보다보니, 이런게 정말로 있었다. CAPTCHA sweatshop 이라고..
게다가 더 놀라운건, 포르노 사이트들의 놀라운 발상인데, 이런식이다.
포르노 사이트에서 "다음 사진을 보려면 입력하세요" 라는 안내와 함께 야후메일 가입시에 나오는 CAPTCHA 를 가져와 보여준다. 그리고 유저가 그걸 입력하면 뒤에서 그걸 이용하여 야후메일 계정을 생성하고, 생성한 계정으로는 포르노 사이트 홍보 스팸을 보낸다. -_-
저기까지는 생각 못했다 - 이런 놀라운 발상에 경의를 표한다. -_-
게다가 "맛뵈기 사진" 등에 5장마다 한번씩 물어본다고 하면, 유저당 여러 개의 계정을 생성시킬 수도 있을 거고, 다른데 스팸용 계정을 대량으로 팔 수도 있을듯..
[참고자료]
- '
[본문으로]
