선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- ∙Hollow 기법은 텍스트의 윤곽선만 표시하는 형태로 모든 텍스트는 서로 연결되도록 설계되었다. 또한 보안성과 사용성을 동시에 향상시키는데 목적을 두고 개발되었다. CAPTCHA 자동화 공격에 기본적으로 이용되는 분할(Segmentation) 및 인식 (Recognition)방법에 저항력이 높다.
- 본 논문에서는 웹 사이트에서 자동화 공격을 방어하기 위해 사용되는 보안 솔루션인 CAPTCHA에 대한 동향을 파악하였다. 텍스트, 오디오, 이미지 기반 CAPTCHA로 분류하여 보안성 및 사용성에 대한 분석을 진행하였다.
제안 방법
- Sivakorn 등 [8]은 딥러닝(Deep Learning) 기술을 이용하여 Google 및 Facebook의 이미지 기반 CAPTCHA에 대한 자동화 공격을 시도하였다. Google의 reCAPTCHA 2.0에서 봇을 판단하는데 사용되는 정보(캐시, 마우스 움직임 등)를 이용하였고 오픈소스로 공개된 다양한 딥러닝 알고리즘을 이용하여 reCAPTCHA 2.0에 대한 공격을 시도하였다. 연구 결과에 의하면 reCAPTCHA 2.
- Gao 등 [4]은 이러한 문제점을 해결하기 위해 새로운 공격 기법을 제안하였다. Log-Gabor 필터를 이용하여 문자의 요소들(Components)을 추출하고 인식 엔진(k-Nearest Neighbors)을 이용하여 인접한 문자의 요소의 다양한 조합을 시도한 후 가장 올바른 조합으로 결과를 선택한다. 제안한 기법을 이용해서 reCAPTCHA에 대해 공격을 진행한 결과 77.
- Bursztein 등 [5]은 실제 웹사이트에서 사용되고 있는 다양한 텍스트 기반 CAPTCHA를 공격하기 위해 기계학습(Machine Learning)을 이용하였다. 기계학습을 통해 분할과 인식을 동시에 수행함으로써 텍스트 이미지의 정보와 문맥을 추출한다. 제안하는 기법을 이용하여 Baidu에 대해 38.
- 또한 [그림 1]에서 볼 수 있듯이 왜곡된 텍스트 이미지(예: 글자를 휘고 가로획을 이어버림)를 사용함으로써 봇에 의한 자동화 공격에 대한 저항력을 증가시키는 방법을 사용한다. 이러한 텍스트 기반 CAPTCHA의 텍스트 이미지를 구성하는데 사용되는 기술은 다음과 같다.
- 본 논문에서는 최근 웹사이트에서 실제로 사용되는 CAPTCHA를 텍스트, 오디오 및 이미지 기반으로 분류하고 보안성과 사용성 측면에서 분석한다. 분류한 CAPTCHA는 다음과 같이 설명할 수 있다 [1].
- Soupionis 등 [9]는 12개 정도의 오디오 기반의 CAPTCHA에 대해 분석을 진행하였다. 사람이 통과하는 성공률에 대해서는 영어가 모국어이며 주당 컴퓨터사용시간이 20 시간 이상이 되는 참가자를 모집하여 각각 CAPTCHA 들의 challenge를 총 100개씩 시도함으로써 성공률을 실험을 진행하였다. 사람들이 가장 많이 사용하는 Google, MSN, reCAPTCHA에 대한 성공률은 각각 60%, 80%, 50%로 매우 낮은 결과를 나타냈다.
- 제안하는 시스템은 보안 수준에 따라 3×3(9개 조각)부터 5×5(25개 조각)로 분할된 퍼즐이 주어지고 그 중 오직 2개의조각만 잘못된 위치에 주어진다.
- 본 논문에서는 웹 사이트에서 자동화 공격을 방어하기 위해 사용되는 보안 솔루션인 CAPTCHA에 대한 동향을 파악하였다. 텍스트, 오디오, 이미지 기반 CAPTCHA로 분류하여 보안성 및 사용성에 대한 분석을 진행하였다. 현재까지 제공되는 솔루션 중 보안성과 사용성을 동시에 만족하는 솔루션이 존재하지 않는다.
대상 데이터
- Lee 등 [6]은 연령으로 구분한 2개의 그룹을 만들고 텍스트의 찌그러짐 정도에 따른 태스크(task)를 24명의 참가자들에게 부여하는 유저스터디를 실시하였다. 23-24세 12명과 50-56세 12명을 대상으로 실험을 진행하였다. 6개의 세션 중 [표 3]의 Normal Text가 항상 우선적으로 할당되었고 나머지 5개의 CAPTCHA는 랜덤하게 할당되었다.
- Jigsaw puzzle [7]의 사용성을 평가하기 위해 250명의 사용자를 대상으로 유저스터디를 진행 하였다. 3×3퍼즐의 경우 사용자에 의한 성공률이 86.
이론/모형
- 텍스트 이미지로 숫자만 사용한다는 특징이 있고 길이, 크기를 변경할 수 있으며 회전이 가능하다. 또한 CAPTCHA를 구성하는데 CCT 기법을 사용한다.
- 그러나 출력된 텍스트 이미지를 자동으로 인식하는 기법(예:Optical Character Recognition)을 이용하여 CAPTCHA를 공격하는 다양한 공격들이 연구되었다[3, 4, 5]. 이러한 CAPTCHA 공격에 대한 비용을 높이기 위해 텍스트 이미지(예: 숫자, 글자)를 회전시키거나(Rotation) 가로획을 이어 버리는(Arc) 등의 방법을 사용하였다. 결과적으로 봇(Bot)을 이용한 자동화 공격으로부터 저항력이 증가하여 보안성이 강화되었지만 웹사이트를 이용하는 사용자도 육안으로 구별하기 힘든 수준의 왜곡된 텍스트 이미지들로 인해 사용성이 크게 감소되는 단점이 동시에 발생하였다.
성능/효과
- 6개의 세션 중 [표 3]의 Normal Text가 항상 우선적으로 할당되었고 나머지 5개의 CAPTCHA는 랜덤하게 할당되었다. 50-56세 그룹의 참가자들이 23-24세 그룹의 참가자들에 비해 응답시간이 더 오래 걸렸고 실패 확률도 더 높은 것으로 나타났다. 결론적으로 동일한 CAPTCHA에 대해 연령별로 인지하는 능력이 다른 것을 확인할 수 있었다.
- 23-24세 12명과 50-56세 12명을 대상으로 실험을 진행하였다. 6개의 세션 중 [표 3]의 Normal Text가 항상 우선적으로 할당되었고 나머지 5개의 CAPTCHA는 랜덤하게 할당되었다. 50-56세 그룹의 참가자들이 23-24세 그룹의 참가자들에 비해 응답시간이 더 오래 걸렸고 실패 확률도 더 높은 것으로 나타났다.
- Bursztein 등 [12]은 오디오 파일에서 DiscreetFourier Transform (DFT)을 적용하여 에너지 spike를 추출하여 기계학습을 통해 eBay의 오디오 기반CAPTCHA에 대한 자동화 공격을 진행하였다. DFT를 사용한 방법을 적용하여 공격을 진행하였을 때 기존 연구 [11]의 성공률인 71%보다 더 높은 75%의 공격 성공률을 보였다. 그 외에도 음향처리 기술 및 기계학습의 발전으로 인하여 오디오 기반의 CAPTCHA는 앞으로 자동화 공격을 위한 연구가 지속될 것으로 예상되며 높은 성공률을 나타낼 것으로 예상된다.
- Tam 등 [11]은 classification 기술을 이용하여 Google, Digg, reCAPTCHA에 대한 자동화 공격을 진행하였다. Google의 오디오 기반 CAPTCHA의 경우MFCC를 포함한 5가지의 추출법을 통해 오디오의 특징들을 추출한 뒤, AdaBoost, SVM, k-NN classifier를 사용하여 실험한 결과, 최대 67%의 공격 성공률을 보였다. 또한, Digg와 reCAPTCHA의 경우 Google의 오디오 기반 CAPTCHA를 공격한 방법과 동일하게 실험한 결과, 각각 71%, 45%의 공격 성공률을 보였다.
- 이러한 CAPTCHA 공격에 대한 비용을 높이기 위해 텍스트 이미지(예: 숫자, 글자)를 회전시키거나(Rotation) 가로획을 이어 버리는(Arc) 등의 방법을 사용하였다. 결과적으로 봇(Bot)을 이용한 자동화 공격으로부터 저항력이 증가하여 보안성이 강화되었지만 웹사이트를 이용하는 사용자도 육안으로 구별하기 힘든 수준의 왜곡된 텍스트 이미지들로 인해 사용성이 크게 감소되는 단점이 동시에 발생하였다. 또한 오디오 및 이미지 기반 CAPTCHA를 이용하여 텍스트 기반 CAPTCHA의 문제점을 해결하려는 연구도 진행되었다[7].
- 50-56세 그룹의 참가자들이 23-24세 그룹의 참가자들에 비해 응답시간이 더 오래 걸렸고 실패 확률도 더 높은 것으로 나타났다. 결론적으로 동일한 CAPTCHA에 대해 연령별로 인지하는 능력이 다른 것을 확인할 수 있었다. 향후 CAPTCHA를 설계할 때 위와 같은 요소들을 고려해서 설계할 필요가 있다.
- 그러나 이러한 방법들은 자동화 공격에 대한 저항력을 증가시키는 반면에 사용자도 CAPTCHA를 해결하는데 어려움이 발생하는 사용성에 문제가 생겼다. 결론적으로 사용성이 크게 감소되면서 사용자가 웹사이트를 사용하는데 불편함을 초래하였다.
- 또한 연구 결과에서 4×4 퍼즐의 경우 공격 성공률이 0.83%로 100번 시도했을 경우 1번미만으로 성공할 수 있기 때문에 상대적으로 텍스트 기반 CAPTCHA에 비해 보안성 측면에서 우수하다고 볼 수 있다.
- 2 장에서 언급한 자동화 공격에 대한 성공률과 비슷한 수준으로 CAPTCHA의 기본 설계 목적인 사람과 기계를 구분하고자하는 목적과는 부합하지 않는다. 또한 오디오 기반의 CAPTCHA는 텍스트 기반의 CAPTCHA에 비해 걸리는 시간이 오래 걸린다는 점에서 사용성이 매우 떨어지는 것을 확인할 수 있다. 최종적으로 컴퓨터를 능숙히 사용하는 사용자조차도 성공률이 높지 않은 것을 확인할 수 있었고 향후 CAPTCHA 설계 시 사용성 분석 등의 요소들을 고려해서 설계할 필요가 있다.
- 텍스트 이미지를 분할(Segmentation)하고 각각의 문자를 인식(Recognition)하는 방법으로 글자 분할의 성공률은 90% 이상, 평균 80ms의 시간 소요되었다는 연구결과를 발표하였다. 또한 전체 텍스트 이미지를 복원하는데 성공한 공격 성공률은 약 60%정도였다. 기본적인CAPTCHA 설계의 목표는 자동화 공격을 시도했을 때 0.
- Google의 오디오 기반 CAPTCHA의 경우MFCC를 포함한 5가지의 추출법을 통해 오디오의 특징들을 추출한 뒤, AdaBoost, SVM, k-NN classifier를 사용하여 실험한 결과, 최대 67%의 공격 성공률을 보였다. 또한, Digg와 reCAPTCHA의 경우 Google의 오디오 기반 CAPTCHA를 공격한 방법과 동일하게 실험한 결과, 각각 71%, 45%의 공격 성공률을 보였다. 텍스트 기반의 CAPTCHA와 마찬가지로 0.
- 사람이 통과하는 성공률에 대해서는 영어가 모국어이며 주당 컴퓨터사용시간이 20 시간 이상이 되는 참가자를 모집하여 각각 CAPTCHA 들의 challenge를 총 100개씩 시도함으로써 성공률을 실험을 진행하였다. 사람들이 가장 많이 사용하는 Google, MSN, reCAPTCHA에 대한 성공률은 각각 60%, 80%, 50%로 매우 낮은 결과를 나타냈다. 실제로 이는 3.
- 0에 대한 공격을 시도하였다. 연구 결과에 의하면 reCAPTCHA 2.0에 대해 70.78%의 공격성공률과 19초 정도의 시간이 소요되었고, Facebook의 이미지 기반 CAPTCHA에 대해 83.5%의 성공률을 얻을 수 있었다. 전체적인 성공률을 비교해보면 텍스트기반 CAPTCHA에 비해 자동화 공격에 더 취약하다는 것을 알 수 있다.
- 5%의 성공률을 얻을 수 있었다. 전체적인 성공률을 비교해보면 텍스트기반 CAPTCHA에 비해 자동화 공격에 더 취약하다는 것을 알 수 있다. 따라서 실제 웹사이트에서 사용되는 CAPTCHA의 보안성 향상 연구가 요구된다.
- 기계학습을 통해 분할과 인식을 동시에 수행함으로써 텍스트 이미지의 정보와 문맥을 추출한다. 제안하는 기법을 이용하여 Baidu에 대해 38.68%(2011년 버전) 및55.22%(2013년 버전), CNN에 대해 51.09%, eBay에 대해 51.39%, Wikipedia에 대해 28.29%, 마지막으로 Yahoo에 대해 5.33%의 성공률을 보였다. 그러나 reCAPTCHA에 대해 22.
- Log-Gabor 필터를 이용하여 문자의 요소들(Components)을 추출하고 인식 엔진(k-Nearest Neighbors)을 이용하여 인접한 문자의 요소의 다양한 조합을 시도한 후 가장 올바른 조합으로 결과를 선택한다. 제안한 기법을 이용해서 reCAPTCHA에 대해 공격을 진행한 결과 77.2%의 성공률과 평균10.27초가 공격에 소요되었다.
- Yan 등 [3]은 봇을 이용하여 Microsoft CAPTCHA에 대한 자동화 공격을 진행하였다. 텍스트 이미지를 분할(Segmentation)하고 각각의 문자를 인식(Recognition)하는 방법으로 글자 분할의 성공률은 90% 이상, 평균 80ms의 시간 소요되었다는 연구결과를 발표하였다. 또한 전체 텍스트 이미지를 복원하는데 성공한 공격 성공률은 약 60%정도였다.
후속연구
- DFT를 사용한 방법을 적용하여 공격을 진행하였을 때 기존 연구 [11]의 성공률인 71%보다 더 높은 75%의 공격 성공률을 보였다. 그 외에도 음향처리 기술 및 기계학습의 발전으로 인하여 오디오 기반의 CAPTCHA는 앞으로 자동화 공격을 위한 연구가 지속될 것으로 예상되며 높은 성공률을 나타낼 것으로 예상된다. 따라서 기본적으로 선택할 수 있는 스페이스를 증가시킬 수 있는 연구가 요구된다.
- 플랫폼에 상관없이 CAPTCHA를 해결할 수 있는 소프트웨어도 다수 존재하기 때문에 실제 웹사이트에서 사용되는 텍스트 기반 CAPTCHA는 자동화 공격에 취약하다고 볼 수 있다. 또한 더 높은 성공률과 빠른 시간 내에 텍스트 기반 CAPTCHA를 공격하기 위한 연구가 더욱 지속될 것으로 예상된다.
- 또한 오디오 기반의 CAPTCHA는 텍스트 기반의 CAPTCHA에 비해 걸리는 시간이 오래 걸린다는 점에서 사용성이 매우 떨어지는 것을 확인할 수 있다. 최종적으로 컴퓨터를 능숙히 사용하는 사용자조차도 성공률이 높지 않은 것을 확인할 수 있었고 향후 CAPTCHA 설계 시 사용성 분석 등의 요소들을 고려해서 설계할 필요가 있다.
- 결론적으로 동일한 CAPTCHA에 대해 연령별로 인지하는 능력이 다른 것을 확인할 수 있었다. 향후 CAPTCHA를 설계할 때 위와 같은 요소들을 고려해서 설계할 필요가 있다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.