동적 인지 게임 캡차의 보안·사용성 종합 분석

초록

본 논문은 움직이는 이미지와 드래그‑드롭 인터랙션을 활용한 동적 인지 게임(Dynamic Cognitive Game, DCG) 캡차를 설계·구현하고, 자동화 공격, 인간 중계 공격, 그리고 사용성 측면에서 체계적으로 평가한다. 실험 결과, DCG 캡차는 사용성이 우수하고 중계 공격에 일정 수준의 저항성을 보이나, 사전 구축된 이미지 사전(dictionary)을 이용한 자동화 공격에 취약함을 확인하였다.

상세 분석

이 연구는 기존 텍스트 기반 캡차가 자동화 공격과 인간 중계 공격에 취약하고, 사용자에게 큰 불편을 초래한다는 문제점을 인식하고, 게임 요소를 도입한 DCG 캡차를 제안한다. 저자는 DCG 캡차를 “동적”, “인지적”, “게임적”이라는 세 가지 특성으로 정의하고, 정적 타깃과 움직이는 오브젝트가 존재하는 네 가지 인스턴스(Ships, Shapes, Parking, Animals)를 구현하였다. 구현은 Adobe Flash를 이용한 클라이언트‑사이드 모델(모델 1)로, 보안 모델에 따라 코드 암호화·난독화를 적용할 수 있음을 언급한다.

보안 모델은 두 가지로 구분한다. 모델 1은 클라이언트에 게임 로직을 전송하되, 암호화·난독화를 통해 봇이 코드를 분석하기 어렵게 만든다. 모델 2는 클라우드 게임 방식으로 서버에서 모든 로직을 실행하고 화면만 스트리밍하여 클라이언트가 로직을 알 수 없게 한다. 논문에서는 모델 1을 사용했지만, 제시된 공격 방법은 모델 2에도 적용 가능하도록 설계되었다.

자동화 공격은 이미지 처리와 비지도 학습을 결합한 사전 구축(dictionary) 기반 프레임워크로 수행된다. 공격자는 캡차 화면을 캡처하고, 객체와 타깃 영역을 색상·형태 특징으로 분류한 뒤, 사전에 저장된 정답 매핑을 이용해 드래그‑드롭 순서를 자동으로 생성한다. 이 과정은 프레임당 1~2ms의 연산으로 실시간에 가깝게 수행되며, 사전이 충분히 풍부하면 95% 이상의 성공률을 보인다. 따라서 DCG 캡차는 사전 구축 비용이 낮은 경우 실질적인 방어가 되지 못한다.

인간 중계 공격에 대해서는 두 가지 시나리오를 실험하였다. 첫 번째는 전통적인 캡차와 동일하게 전체 게임 화면을 인간 솔버에게 전송하는 방식이며, 이는 반응 시간만을 요구하는 단순 작업으로 전환된다. 두 번째는 모바일 디바이스에서 오브젝트가 움직이는 특성을 이용해, 인간 솔버가 실시간으로 객체를 추적·드래그해야 하는 형태로 설계하였다. 후자의 경우 평균 반응 시간이 1.2초 이상 필요해 비용이 상승하고, 성공률이 70% 이하로 떨어졌다. 이는 DCG 캡차가 움직이는 오브젝트를 활용하면 중계 공격에 어느 정도 저항성을 가질 수 있음을 시사한다.

사용성 평가는 40명의 대학생을 대상으로 20개의 게임 인스턴스를 라틴 스퀘어 방식으로 제시하고, 작업 시간, 오류율, SUS(간단 사용성 설문) 점수를 수집하였다. 평균 해결 시간은 7.8초(표준편차 2.3초)였으며, 오류율은 4.2%에 불과했다. SUS 점수는 84점으로, “우수” 수준에 해당한다. 객체 수와 속도가 증가할수록 시간과 오류가 약간 상승했지만, 전반적인 만족도는 크게 감소하지 않았다.

종합적으로, DCG 캡차는 사용성 면에서 기존 캡차를 크게 능가하지만, 사전 기반 자동화 공격에 취약하다는 한계가 있다. 보안을 강화하려면 사전 구축 비용을 높이는 동적 난수 생성, 객체 외관 변형, 그리고 서버‑클라이언트 간 암호화된 상호작용을 도입해야 한다. 또한, 중계 공격 저항성을 높이기 위해 객체 움직임을 예측 불가능하게 만들고, 인간 행동 특성을 분석하는 행동 기반 방어 메커니즘을 추가하는 것이 바람직하다.