최근 구글은 reCAPTCHA 검증을 강화하기 위한 새로운 기능인 "손 제스처 검증(HGV)"을 테스트하고 있습니다. 이 기능은 사용자의 손 영상을 수집하여 실제 사람인지 확인합니다. 그러나 이 기능은 개인 정보 보호 및 보안 측면에서 곧 논란을 불러일으켰습니다.

Google의 공식 문서에 따르면 HGV에서는 웹사이트 방문자가 "하나 이상의" 손 비디오 클립을 녹화하려면 기기 카메라에 대한 액세스 권한을 부여해야 합니다. 확인 과정에서 사용자는 카메라를 향해 손을 흔들거나 지정된 동작을 취해야 하며, 시스템은 주요 생체 특성을 추출하여 운영자가 자동화된 스크립트나 로봇이 아닌 사람인지 여부를 판단합니다.

구글은 이러한 생체 인식 기반 식별 방식이 reCAPTCHA의 보안을 향상시킬 수 있다고 믿고 있지만, 실제 테스트 결과 HGV는 기대했던 결과를 얻지 못한 것으로 나타났습니다. 보안 연구원과 일반 사용자는 이 시스템을 우회하기 위해 스톡 사진과 가상 카메라 기능을 성공적으로 사용했습니다. 공격자는 움직임에 해당하는 "흔들기" 또는 손 사진만 준비하면 되며 실제 카메라와 실제 사람이 협력할 필요 없이 OBS Studio와 같은 소프트웨어의 가상 카메라 출력을 통해 검증을 완료할 수 있습니다.

머신러닝과 자동화 기술이 발전하면서 기존 인증코드 시스템은 AI 로봇에 의해 자주 '파괴'됐다. 여러 연구에 따르면 복잡한 신호등 인식과 같은 기존 그래픽 인증 코드는 대부분의 경우 자동화된 도구로 해결할 수 있는 것으로 나타났습니다. HGV의 초기 실패 사례는 생체 인식이 도입되더라도 상호 작용 프로세스와 채널 자체에 위조 방지 설계가 부족할 경우 가상 카메라, 스톡 이미지 및 간단한 스크립트에 의해 일괄적으로 우회될 수도 있다는 점을 더욱 강조합니다.

기술적인 효율성 외에도 개인 정보 보호 문제도 논란의 대상이 되었습니다. 비평가들은 카메라와 생체인식을 기반으로 한 이러한 검증 방식이 사용자에 대한 지속적인 배경 모니터링을 눈에 보이지 않게 '정규화'하여 사용자가 일반 웹사이트에 액세스하기 위해 대규모 기술 회사에 보다 민감한 카메라 데이터를 공개할 수 있게 한다고 지적합니다. 개인 정보 보호가 점점 더 중요해지는 환경에서 사용자에게 실시간 이미지나 동영상을 자주 제공하도록 요청하는 것은 과도한 데이터 수집으로 간주될 가능성이 높습니다.

외부 의혹에 대해 구글은 HGV가 동영상 녹화 시 제스처를 인식하는 데만 사용되며 오디오 콘텐츠를 수집하거나 처리하지 않으며, 확인이 완료된 후 해당 동영상은 '가능한 한 빨리 삭제'될 것이라고 밝혔습니다. 또한 공식 노트에서는 이러한 동영상이 사용자의 신원과 직접적으로 연결되지 않을 것이라고 강조했습니다. 그러나 일부 보안 및 개인 정보 보호 전문가는 이러한 약속이 의심을 없애기 어렵다고 생각합니다. 한편으로는 일반 사용자는 백엔드 시스템의 실제 데이터 보존 정책을 확인할 수 없습니다. 반면, 대규모 플랫폼의 클라우드 인프라에는 중복된 백업 및 재해 복구 메커니즘이 있는 경우가 많으며 실제 데이터 수명 주기는 프런트 엔드 인터페이스에 표시되는 것보다 훨씬 더 복잡할 수 있습니다.

이런 우려는 근거 없는 것이 아니다. 이전에 세간의 이목을 끌었던 사건에서는 Google Nest 카메라에서 '삭제된' 영상이 클라우드 시스템에서 복구되어 고위험 납치 사건 수사를 지원하는 데 사용되었습니다. 이번 사례는 프런트엔드 인터페이스에 표시된 콘텐츠가 삭제되더라도 특정 조건 하에서는 백엔드 시스템에 해당 데이터의 사본이 여전히 남아 있을 수 있다는 증거로 보인다. 따라서 비평가들은 HGV가 녹화한 비디오 데이터가 특정 시나리오에서 유지되거나 Gemini를 포함한 다양한 모델을 훈련하는 데 사용되어 잠재적인 개인 정보 보호 위험이 증폭되는지 의문을 제기했습니다.

자동화된 트래픽과 악의적인 봇 활동이 계속 증가함에 따라 CAPTCHA 기술의 발전은 여전히 ​​주요 플랫폼이 직면한 중요한 문제입니다. 그러나 화물자동차의 초기 성능으로 볼 때, 카메라와 생체인식 기술의 도입만으로는 더 높은 보안을 보장할 수 없습니다. 대신, 기술이 아직 성숙되지 않은 경우 사용자를 사전에 더 큰 개인 정보 보호 위험에 노출시킬 수 있습니다. Cloudflare 및 브라우저 제조업체를 포함한 업계 플레이어는 사용자 마찰을 줄이기 위해 "de-captcha" 솔루션을 적극적으로 모색하고 있지만 보안, 남용 방지 및 개인 정보 보호 간의 균형을 유지하는 방법은 전체 업계가 직면해야 하는 문제가 되고 있습니다.