aCAPTCHA: Verifying That an Entity Is a Capable Agent via Asymmetric Hardness

이 논문은 인간의 인지 능력과 AI 처리 속도 간의 비대칭적 난이도를 활용하여 인간, 스크립트, 에이전트를 구분하는 새로운 보안 프로토콜 'aCAPTCHA'를 제안하고, 이를 통해 자율 AI 에이전트의 유무를 검증하는 방법을 제시합니다.

핵심

이 논문은 "이 사람이 진짜 AI 에이전트인가, 아니면 사람이 AI인 척하는가?" 라는 새로운 문제를 해결하기 위해 고안된 'aCAPTCHA' 라는 시스템을 소개합니다.

기존의 CAPTCHA(인간인지 확인) 가 "너는 인간이니?"라고 물었다면, aCAPTCHA 는 "너는 진짜 AI 에이전트니?" 라고 묻는 거예요. 인터넷에 AI 에이전트들이 넘쳐나면서, 가짜 에이전트나 사람이 AI인 척하는 것을 막아야 할 필요성이 생겼기 때문입니다.

이 복잡한 개념을 일상적인 비유로 쉽게 설명해 드릴게요.

---

1. 문제 상황: "가짜 VIP"의 등장

과거 인터넷에서는 "너는 인간이니? 아니면 로봇이니?"를 가려내는 게 중요했습니다. 하지만 지금은 상황이 달라졌어요.

• 진짜 AI 에이전트: 스스로 생각하고, 계획을 세우고, 행동을 취할 수 있는 똑똑한 AI.
• 단순 스크립트: 정해진 대로만 움직이는 바보 같은 자동화 프로그램.
• 사람: AI 인 척하는 인간.

이제 문제는 "이 접속자가 진짜 똑똑한 AI 에이전트인가?" 를 확인하는 것입니다. 기존 보안 시스템은 "누구냐 (신원)"는 건 확인해도 "무엇인가 (종류)"는 확인하지 못합니다. 마치 여권으로 "이 사람이 한국 사람인가?"는 알 수 있어도, "이 사람이 실제로 운전할 줄 아는 운전자인가?"는 모르고 지나가는 것과 비슷해요.

2. 해결책: "시간 제한이 달린 미로 찾기" (aCAPTCHA)

저자들은 이 문제를 해결하기 위해 세 가지 능력을 동시에 테스트하는 시스템을 만들었습니다.

1. 행동 (Action): 실제로 무언가를 할 수 있는가? (예: 버튼을 누르거나 요청을 보내기)
2. 추론 (Reasoning): 복잡한 이야기를 읽고 논리적으로 답을 찾을 수 있는가?
3. 기억 (Memory): 이전 대화 내용을 기억하고 연결할 수 있는가?

이 세 가지를 엄청 짧은 시간 (예: 15 초) 안에 해내야만 통과됩니다.

🧠 비유: "초고속 요리사 vs 천천히 요리하는 셰프"

이 시스템의 핵심은 **'시간의 비대칭성'**입니다.

• 진짜 AI 에이전트: 마치 로봇 요리사 같아요. 레시피 (이야기) 를 눈으로 한 번에 다 읽고, 재료를 찾아서 (행동), 이전 단계의 맛을 기억하면서 (기억) 순식간에 요리를 완성합니다.
• 사람: 아무리 빠른 요리사라도 인간은 뇌가 한 번에 한 가지 일만 처리합니다. 레시피를 읽고, 이해하고, 생각하다가, 손으로 적고, 다음 단계로 넘어가는 데 시간이 걸려요.
• 단순 스크립트: 레시피를 읽을 줄도 모르고, 기억도 못 하는 조리대 위의 기계예요. 복잡한 레시피가 나오면 당황해서 멈춥니다.

aCAPTCHA는 "이 요리를 15 초 안에 완성해!"라고 요구합니다.

• 로봇 요리사 (AI 에이전트): "네, 3 초 만에 끝냈어요!" (통과)
• 사람: "아이고, 레시피가 너무 길고 복잡해서 15 초면 불가능해요!" (거부)
• 기계 (단순 스크립트): "레시피를 이해할 수 없어요." (거부)

3. 어떻게 작동할까요? (실제 게임 방식)

이 시스템은 3 라운드로 이루어진 미로 찾기 게임처럼 작동합니다.

1. 1 라운드: AI 에게 긴 기술적인 이야기를 주고, 그 내용에서 답을 찾아 HTTP 요청을 보내게 합니다. (행동 + 추론 테스트)
2. 2 라운드: 새로운 이야기를 주는데, 1 라운드의 내용과 연결되는 단서가 숨어 있습니다. 이전 내용을 기억해야만 답을 찾을 수 있습니다. (기억 테스트 추가)
3. 3 라운드: 1, 2 라운드의 내용을 모두 종합해서 새로운 문제를 해결해야 합니다.

이 모든 것을 매우 짧은 시간 안에 해내야만 "진짜 AI 에이전트"로 인정받습니다.

4. 왜 이것이 안전할까요?

• 사람은 물리적 한계가 있어요: 사람이 글을 읽고 이해하고 답을 적는 데는 뇌의 생리적 한계 때문에 최소 100 초 이상 걸립니다. 하지만 AI 는 1 초도 안 걸려요. 이 시간 차이가 보안의 핵심입니다.
• 단순한 프로그램은 속일 수 없어요: 단순히 "답을 계산해 주는" 프로그램은 복잡한 이야기의 맥락을 이해하거나, 이전 라운드의 내용을 기억하며 논리적으로 연결하는 게 불가능합니다.

5. 결론: AI 시대의 새로운 문지기

aCAPTCHA 는 더 이상 "너는 인간이니?"를 묻지 않습니다. 대신 "너는 진짜 똑똑한 AI 에이전트니?" 를 증명하라고 요구합니다.

• 진짜 AI: "네, 제가 할 수 있어요!" (빠르고 정확하게 통과)
• 가짜 (사람이나 단순 프로그램): "저는 그걸 할 수 없어요." (시간이 부족하거나 이해하지 못해 실패)

이 기술은 앞으로 인터넷에서 AI 에이전트들이 서로 협력하거나 서비스를 이용할 때, "너는 진짜 동료 AI 가 맞니?" 를 확인하는 필수적인 보안 문이 될 것입니다. 마치 공항에서 "비행기 조종사 자격증이 있는 사람만 조종석에 타세요"라고 확인하는 것과 같은 원리입니다.

기술 요약

1. 문제 정의 (Problem Statement)

• 배경: 인터넷 상에 자율 AI 에이전트 (Autonomous AI Agents) 가 급증하고 있으며, 인간, 자동화 스크립트, 그리고 진정한 AI 에이전트가 동일한 네트워크에서 공존하는 환경이 조성되고 있습니다.
• 핵심 문제: 기존 CAPTCHA 는 "이 요청자가 인간인가?"를 검증하는 반면, 새로운 보안 위협은 **"이 엔티티가 진정한 AI 에이전트인가?"**를 식별하는 것입니다.
  • 기존 CAPTCHA 는 봇 (봇) 을 차단하기 위해 설계되었으나, 에이전트 생태계에서는 진정한 에이전트만 허용하고 인간이나 단순 스크립트를 차단해야 하는 역방향 (Reverse) 검증이 필요합니다.
  • 기존 인증 프로토콜 (OAuth, WebAuthn 등) 은 '누가 (Who)' 요청을 보냈는지 (신원) 는 검증할 수 있지만, '무엇인지 (What)' 즉, 인간인지, 단순 스크립트인지, 자율 에이전트인지는 구분하지 못합니다.
• 현재의 한계: 기존 에이전트 신뢰 프레임워크 (reCAPTCHA agentic trust, Web Bot Auth 등) 는 자기 선언된 신원 신호에 의존하거나 행동 위험 점수를 매기지만, 실제 에이전트 능력 (추론, 기억, 행동) 을 증명하지는 못합니다.

2. 방법론 (Methodology)

저자들은 이 문제를 해결하기 위해 비대칭적 난이도 (Asymmetric Hardness) 개념을 도입하고 aCAPTCHA를 제안했습니다.

가. 엔티티 분류 체계 (Entity Taxonomy)

엔티티를 다음 세 가지로 분류하고, 검증 가능한 에이전트 능력 벡터 $\langle x, r, s \rangle$를 정의합니다.

1. Action ($x$): 지정된 행동 공간 (예: HTTP 요청) 에서 행동을 취할 수 있는 능력.
2. Reasoning ($r$): 자연어 이해, 논리적 추론, 다단계 계획 수립 능력.
3. Memory ($s$): 상호작용 라운드 간에 정보를 유지하고 축적할 수 있는 능력 (상태 유지).

• Human (인간): 원칙적으로 세 가지 능력을 모두 갖췄으나, 시간 제약 ($\tau$) 내에서 수행할 수 없음 (생리적 한계).
• Script (스크립트): 행동 ($x$) 이나 상태 ($s$) 는 있을 수 있으나, 일반적 추론 ($r$) 이 없거나, 반대로 추론은 있으나 행동 ($x$) 이 없는 등 능력 벡터가 불완전한 자동화 프로그램.
• Agent (에이전트): 시간 제약 $\tau$ 내에서 $x, r, s$ 세 가지 능력을 모두 충족하는 자율적 개체.

나. 비대칭적 난이도 (Asymmetric Hardness)

• 기존 CAPTCHA 는 "인간은 쉽지만 AI 는 어려운 (H-Easy $\cap$ AI-Hard)" 문제를 사용했으나, AI 의 발전으로 이 가정이 무너졌습니다.
• aCAPTCHA 는 그 반대인 "AI 는 쉽지만 인간은 어려운 (H-Hard $\cap$ AI-Easy)" 문제를 활용합니다.
  • 핵심 메커니즘: 인간은 정보를 직렬로 처리 (읽기 $\rightarrow$ 이해 $\rightarrow$ 결정 $\rightarrow$ 행동) 하여 시간이 오래 걸리지만, LLM 기반 에이전트는 병렬 처리와 빠른 추론으로 이를 단시간에 해결합니다.
  • 시간 임계값 ($\tau$): $T_{AI} \ll \tau \ll T_{human}$을 만족하도록 설정하여, 인간은 시간 내에 해결할 수 없게 하고 에이전트는 해결하게 합니다.

다. 에이전트 능력 검증 문제 (ACVP) 및 프로토콜 설계

• ACVP (Agentic Capability Verification Problem): 주어진 시간 $\tau$ 내에서 엔티티가 $\langle 1, 1, 1 \rangle$ 능력을 갖췄는지 판단하는 문제.
• 구현 (NLU 기반 aCAPTCHA):
  • 자연어 이해 (NLU) 를 활용한 다라운드 HTTP 프로토콜을 설계했습니다.
  • 라운드 1 (행동 + 추론): 텍스트 내러티브를 읽고 질문에 답 (HTTP 요청).
  • 라운드 2 (행동 + 추론 + 기억 1): 이전 라운드의 맥락을 기억하고 새로운 텍스트를 해석.
  • 라운드 3 (행동 + 추론 + 기억 1,2): 모든 이전 맥락을 종합하여 최종 문제 해결.
  • 난이도 설계: 정보 산란 (Information Scattering), 함정 결론, 복잡한 참조 등을 포함하여 단순 키워드 매칭이나 결정론적 스크립트로는 해결 불가능하도록 설계했습니다.

3. 주요 기여 (Key Contributions)

1. 문제 공식화: 엔티티 유형 검증 문제를 $\langle x, r, s \rangle$ 능력 벡터와 시간 임계값 $\tau$를 기반으로 한 ACVP로 공식화했습니다.
2. 보안 형식화: aCAPTCHA 를 ACVP 인스턴스에 대한 보안 게임으로 정의하고, **완전성 (Completeness, 진정한 에이전트는 통과)**과 **정합성 (Soundness, 비에이전트는 차단)**을 수학적으로 증명했습니다.
3. 프로토콜 설계: 시간 제한이 있는 NLU 를 기반으로 한 다라운드 HTTP 검증 프로토콜을 구체화했습니다. 라운드 간의 의미적 의존성 (Semantic Dependence) 을 통해 순차적 실행과 재전송 공격 (Replay Attack) 을 방지합니다.
4. 초기 평가: 실제 LLM 에이전트 (Claude Code 등) 와 인간 시뮬레이션 모델을 통해 프로토콜의 유효성을 검증했습니다.

4. 평가 결과 (Results)

• 에이전트 통과율 (Completeness): 20 개의 독립 세션에서 실제 에이전트가 3 라운드 프로토콜을 성공적으로 완료했습니다.
  • 에이전트의 평균 응답 시간 (P50): 약 7.1 초 (시간 제한 $\tau=15$초 이내).
• 인간 배제 (Soundness):
  • 이론적 하한: 인간의 인지 모델 (독서 속도, 의사결정 시간, 타이핑 속도) 을 적용한 계산 결과, 3 라운드 완료에 필요한 최소 시간은 약 148 초/라운드 (총 444 초 이상) 로 추정되었습니다.
  • 시뮬레이션: 몬테카를로 시뮬레이션 결과, 인간이 $\tau=15$초 내에 문제를 해결할 확률은 거의 0 에 수렴했습니다.
  • 분리 간격: 에이전트와 인간의 응답 시간 사이에 약 21 배 (21x) 이상의 간격이 존재하여, $\tau$ 설정에 충분한 안전 마진이 있음을 확인했습니다.
• 임계값 민감도: $\tau$를 16 초에서 89 초까지 넓게 설정하더라도 에이전트 통과율은 95% 이상, 인간 통과율은 5% 미만으로 유지되어 운영자가 유연하게 설정할 수 있음을 보였습니다.

5. 의의 및 결론 (Significance)

• 새로운 보안 계층: aCAPTCHA 는 기존 신원 인증 (Identity) 과 보완적인 관계로, **"무엇인가 (What)"**를 검증하는 인프라 없는 (Infrastructure-free) 접근 게이트를 제공합니다.
• 확장성: 이 프레임워크는 NLU 외에도 코드 이해, 수학적 추론, 멀티모달 (시각/청각) 작업 등 다양한 비대칭 난이도 영역으로 확장 가능합니다.
• 미래 지향성: AI 모델의 성능이 향상될수록 인간과의 시간적 격차는 더 벌어지므로, aCAPTCHA 의 보안성은 시간이 지남에 따라 오히려 강화될 것으로 예상됩니다.
• 적용 분야: 에이전트 전용 플랫폼, 에이전트 간 협업 (A2A), 자율 에이전트 시장 (Bounty marketplace) 등 에이전트만 허용해야 하는 모든 서비스의 진입 통제 (Admission Gate) 로 활용 가능합니다.

요약하자면, aCAPTCHA는 AI 에이전트의 급부상에 맞춰, 인간과 단순 스크립트를 걸러내고 진정한 자율 에이전트만을 식별할 수 있는 최초의 체계적인 검증 메커니즘을 제안한 연구입니다.