
Google, 인간임을 증명하기 위해 손 스캔을 요구하는 논란의 웹캠 기반 reCAPTCHA 테스트 중 — 테스터들이 스톡 사진으로 통과
요약
Google이 웹캠을 통해 손 제스처를 인식하여 인간임을 증명하는 새로운 reCAPTCHA 방식을 테스트 중이나, 테스터들이 스톡 사진과 가상 카메라를 이용해 이를 쉽게 우회하는 데 성공했습니다. 이 방식은 생체 인식 단계를 추가하여 자동화된 공격을 막으려 했으나, 사용자 편의성 저하와 보안 취약성 문제를 동시에 드러냈습니다.
핵심 포인트
- Google의 새로운 reCAPTCHA는 손의 21개 좌표를 매핑하여 인간을 식별함
- OBS 가상 카메라와 스톡 이미지를 이용한 우회 공격에 취약함이 확인됨
- 보안 강화 목적과 달리 일반 사용자에게는 인증 마찰(Friction)만 가중시킬 우려가 있음
- 개인정보 보호 정책에 따른 데이터 수집 및 저장 범위의 불명확성 존재
Google은 사용자의 카메라를 켜고 손을 흔들거나 펼친 손바닥을 들라고 요청하여, 손의 21개 좌표를 매핑함으로써 실제 사람이 있는지 결정하는 reCAPTCHA 확인 방식을 테스트하고 있습니다. 제한된 테스트로 출시된 이 실험적 방법은, OBS Virtual Camera를 통해 손의 정지된 스톡 사진을 입력한 테스터들에 의해 며칠 만에 무력화되었으며, 실제 사람도, 비디오도, AI도 개입되지 않은 상태로 통과되었습니다.
이 확인 절차는 로그인 화면, 가입 양식, 결제 페이지의 reCAPTCHA를 지원하는 플랫폼인 Google Cloud Fraud Defense 내에 위치합니다. 이는 자동화된 계정 생성 및 크리덴셜 스터핑 (Credential Stuffing)과 같이 기존의 챌린지들이 점점 놓치고 있는 것들을 잡아내기 위한 것입니다.
챌린지가 트리거되면 브라우저는 카메라 권한을 요청하고 사용자에게 짧은 제스처를 안내합니다. Google의 머신러닝 (Machine-learning) 모델은 짧은 영상을 기록하고, MediaPipe 손 추적 (Hand-tracking) 도구를 구동하는 것과 동일한 랜드마크 체계를 사용하여 21개의 손가락 및 손가락 관절 지점을 포함하는 손 랜드마크 (Hand-landmark) 데이터를 추출합니다.
Google의 문서에 따르면, 영상은 인증이 완료되면 삭제되며, 오디오는 녹음되지 않고, 영상은 사용자의 신원과 연결되거나 제3자와 공유되지 않는다고 명시되어 있습니다. 하지만 동일한 페이지에서 수집된 모든 데이터는 Google 개인정보 보호정책 (Google Privacy Policy)에 따라 사용 및 저장된다고 덧붙이고 있어, 어느 쪽이 사실인지 또는 어떤 데이터가 수집되는지 완전히 명확하지는 않습니다. 제스처를 수행할 수 없는 사용자는 기존의 시각 및 오디오 퍼즐로 전환되며, 이 기능은 현재 선택 사항입니다. 제스처 확인은 기존의 챌린지들을 폐지하는 대신, 그 위에 카메라 기반의 생체 인식 (Biometric) 단계를 추가하는 방식입니다.
출시 직후, 인터넷상에서 이 새로운 방식에 대한 소문이 퍼지는 데는 오랜 시간이 걸리지 않았습니다. 테스터들은 OBS Virtual Camera (OBS 가상 카메라)에 손을 흔드는 사람의 스톡 이미지 (Stock image) 하나만을 사용하여, reCAPTCHA를 해당 가상 피드(Virtual feed)로 향하게 한 뒤 이미지 위치를 몇 번 조정한 것만으로 챌린지를 통과했습니다. 전체 시퀀스 (Sequence)가 짧은 스크립트 (Script)로 구동될 수 있기 때문에, 현재 상태의 제스처 reCAPTCHA는 공격자에게는 거의 저항을 제공하지 못하는 반면 일반 사용자들에게는 마찰 (Friction)만 가중시키는 것으로 보입니다.
😁 Google의 새로운 캡차 (Captcha)는 웹캠으로 손 제스처를 보여달라고 요구하지만, 사람들은 이미 스톡 사진으로 이를 우회하고 있습니다. 이 시스템은 "인간과 AI를 구별하는 가장 좋은 방법"이 될 예정이었습니다. 우리가 다시 이 상황에 직면했네요. https://t.co/Q3oK6yXwmY pic.twitter.com/RwR3mHnTsf2026년 6월 29일
reCAPTCHA는 수년 동안 유사한 문제로 고군분투해 왔습니다. 2024년, 연구원들은 기성 객체 탐지 (Object-detection) 모델을 사용하여 reCAPTCHA v2를 상대로 100%의 성공률을 기록했다고 보고했으며, 작년에는 OpenAI 에이전트가 각 단계를 설명하면서 Cloudflare의 "로봇이 아닙니다" 체크를 클릭하여 통과하는 모습이 기록되었습니다. 손 제스처 테스트는 손 스캔이 생체 인식 (Biometric) 정보라는 점에서 사용자들에게 더 높은 위험 부담을 안겨줍니다. 이는 Google이 데이터를 수집하지 않겠다고 약속하는지 여부와는 별개의 문제입니다.
2주도 채 되지 않은 시점에 Cloudflare, Google, Mozilla, 그리고 Microsoft는 CAPTCHA 챌린지를 대체하기 위해 프라이버시를 보호하는 증명 방식인 Private Access Control Tokens (PACT)를 공동 제안했습니다. 이는 요청이 정당한 클라이언트로부터 왔음을 입증하는 암호화 방식(cryptographic scheme)입니다. 이 제안은 전 세계 HTTP 요청의 약 58%가 봇(bot)으로부터 발생한다는 조사 결과에 따라 나온 것으로, Cloudflare는 이 수치가 2027년 이전에는 도달하지 않을 것으로 예상했었습니다.
Mozilla의 Firefox CTO인 Bobby Holley는 발표에서 “우리는 강력한 프라이버시를 유지하면서도 웹을 사용하는 실제 인간들에게 훨씬 덜 짜증 나는 경험을 제공하는 더 나은 솔루션을 구축할 수 있습니다”라고 말했습니다.
Google은 이 손동작(hand-gesture) 테스트가 일반 공개(general availability) 단계로 넘어갈지 여부에 대해서는 언급하지 않았습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Tom's Hardware의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기