왜 오늘날 CAPTCHA가 이렇게 형편없는가 (우리가 대신 구축해야 할 것)

Source: Dev.to

현대 CAPTCHA의 문제점

현대 CAPTCHA는 봇을 차단하기 위해 설계되었지만, 실제로는 주로 인간 사용자를 벌합니다. 교통 신호를 클릭하거나, 이미지를 회전시키거나, 퍼즐을 푸는 행위는 사용자 경험(UX), 접근성, 흐름을 깨뜨리며—고급 봇은 여전히 통과하는 경우가 많습니다.

잘못된 가정

핵심 문제는 구현이 아니라 사용자를 “인간” 또는 “봇”으로 구분한다는 가정입니다. 실제 행동은 확률적입니다. 타이밍, 리듬, 입력 엔트로피, 디바이스 일관성, 시간에 따른 궤적 등은 절대적인 것이 아니라 회색 지대에 존재합니다.

대부분의 CAPTCHA 시스템은 이러한 불확실성을 숨깁니다. 그러나 모든 보안 결정은 이미 구성에 의존합니다: 임계값, 신뢰 수준, 위험 허용도 등. 두 기업이 동일한 탐지 로직을 사용해도 전혀 다른 방식으로 동작할 수 있습니다—이는 버그가 아니라 정책 차이입니다.

실험적 대안

저는 ** 라는 실험 프로젝트를 진행하고 있습니다. 이는 완벽함을 가장하지 않는 보이지 않는 행동 기반 보안 시스템입니다. 사용자를 공격적으로 차단하는 대신, 구성 가능한 위험 허용도에 따라 점진적인 적용을 합니다. 탐지는 불확실성을 인정하고, UX는 점진적으로 저하되며, 행동은 시간이 지남에 따라 개선됩니다.

현재 화이트‑라벨 활용 사례와 실제 피드백을 탐색 중입니다.

연락처

이 아이디어에 관심이 있거나 행동 기반 보안에 대해 논의하고 싶다면:

• Discord: pixelhollow