CAPTCHA(문경숙)

[정보보안 목차]

 

CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)

 

 -. 실제 사용자와 봇과 같은 자동화된 사용자를 구별하는 데 사용할 수 있는 도구

-. 컴퓨터가 수행하기는 어렵지만 인간에게는 비교적 쉬운 문제를 제공

 -. 어떠한 사용자가 실제 사람인지 컴퓨터 프로그램인지를 구별하기 위해 사용되는 테스트

 -. 컴퓨터와 사람을 구분하기 위해 컴퓨터는 구분할 수 없는 테스트

-. 컴퓨터와 사람을 구분하기 위한 완전히 자동화된 튜링 테스트

-. 사용자에게 컴퓨터는 구분할 수 없는 텍스트나 이미지 혹은 소리를 재생하여 컴퓨터와 사람을 구분하는 테스트

 

CAPTCHA 용도

용도	설명
투표 정확도 유지	CAPTCHA는 모든 개별 투표가 사람에 의해 입력,투표 왜곡을 방지 가능 전체 투표 수를 제한하지는 않지만 각 투표에 필요한 시간이 길어져 복수 투표 방지
서비스 등록 제한	봇이 등록 시스템을 스팸 등록하여 가짜 계정을 만드는 것 방지가능 계정 생성 제한: 서비스 리소스의 낭비를 방지, 사기 가능성 축소
티켓 인플레이션 방지	스캘퍼가 재판매를 위해 많은 수의 티켓을 구매하는 것 제한 가능 무료 이벤트 허위 등록 방지에 사용 가능
잘못된 댓글 방지	봇이 게시판, 문의 양식 또는 리뷰 사이트에 스팸을 등록하는 것 방지가능 CAPTCHA 요구 추가 단계의 불편함 : 온라인 스팸 줄이는 역할

CAPTCHA 목적

목적	설명
차단	(블로그와 댓글 섹션을 대상 웹사이트, 매출, 영화 등에 대한 메모를 보내는) 플러딩 공격을 차단 가능 양식(투표 등)을 2회 이상 제출하지 못하도록 차단하는 효과
보호	웹사이트 로그인시 사용자 이름, 비밀번호 다수 요청 방지 웹 주소 보호
방어	비밀번호 시스템에 대한 사전(dictionary) 공격 실행 방어 가능 이메일 웜 방어 가능

CAPTCHA 동작방식

캡차 유형

CAPTCH  유형	설명
텍스트 기반 보안문자	알려진 단어나 구 또는 임의의 숫자와 문자 조합을 사용, 대소문자 변형​ 크기 조정, 회전, 문자 왜곡, 색상, 배경 노이즈, 선, 호 또는 점 등 그래픽 요소 겹치는 문자 포함.​ ▪︎ Gimpy - 850단어 사전 임의의 단어 선택, 왜곡된 방식으로 제공 ▪︎ EZ-Gimpy - 한 단어만 사용하는 Gimpy의 변형. ▪︎ Gimpy-r - 임의의 문자를 선택, 문자 왜곡,배경 노이즈를 추가 ▪︎ Simard의 HIP - 임의의 문자와 숫자를 선택,호와 색상으로 문자 왜곡
보안문자 이미지	동물, 모양 또는 장면의 사진과 같이 인식 가능한 그래픽 요소 사용자가 테마와 일치하는 이미지를 선택하거나 맞지 않는 이미지를 식별 사물이 촬영된 사진 표시, 주어진 카테고리(인도 등)에 속하는 사진 선택 시각장애 사용자 사용 어려움 이미지 기반 CAPTCHA는 이미지 인식과 의미 분류 필요, 텍스트보다 해석 어려움
오디오 캡차	시각 장애가 있는 사용자를 위한 대안으로 개발 텍스트 또는 이미지 기반의 CAPTCHA와 조합하여 사용 사용자가 입력한 일련의 문자 또는 숫자의 오디오 녹음을 제공
수학 문제	간단한 수학 문제를 풀도록 요청 봇은 질문을 식별하고 답변을 고안하는 것이 어렵다는 가정하에 개발
단어 문제	문장에서 누락된 단어를 입력, 관련 용어의 시퀀스를 완성하도록 요청 시각 장애가 있는 사용자에게 해결 방안 악성 봇은 문제 해결이 가능하다는 단점

 

CAPTCHA의 한계, 단점

단점	설명
보안 취약점	공격자들도 코드를 풀고 액세스 권한을 얻기 위해 시도
법률적 요건	시각 장애인이나 청각 장애인 사이트를 사용하지 못하도록 차단하게 되어 벌금 부과 가능
언어 장벽	문장 기반 테스트를 어떻게 마쳐야 할지 모르는 사람, 잠재 고객 회원을 잃게 되는 셈
문화적 제약	미국에서 사용되는 교통 표지판이 문제에 포함되어 있으면 외국인 방문자는 전혀 이해하지 못할 수도 있음