Gmail 가입, 이제 QR 코드를 스캔하고 문자 메시지를 보내는 흐름이 나타남

• Google 새 계정 생성에서 기존처럼 SMS를 받는 대신, 스마트폰으로 QR 코드를 스캔해 Google에 SMS를 보내는 흐름이 나타남
• 직접 시도한 사용자에게는 QR 코드 없는 등록이 불가능했고, 휴대전화가 Google에 SMS를 보내 전화번호를 확인하는 방식으로 동작함
• 이 방식은 피싱을 더 어렵게 만들 수 있지만 완전히 막지는 못하며, SMSpool 같은 SMS 인증 서비스 사용을 제한함
• 평균 사용자는 SMS 인증 서비스를 거의 쓰지 않아 영향이 작고, 실제로는 프라이버시에 민감한 사용자의 새 Google 계정 생성이 더 어려워짐
• 국가별 SIM 실명 등록과 번호 재할당 때문에, Google이 과거 전화번호 기록으로 신원을 추적하거나 재확인을 요구할 수 있는지가 쟁점으로 커짐

Google 계정 가입의 QR 코드 기반 SMS 확인

• Google 새 계정 생성에서 기존처럼 SMS를 받는 방식 대신, 스마트폰으로 QR 코드를 사용해 Google에 SMS를 보내는 방식이 나타남
• 직접 시도한 사용자에게는 QR 코드 없는 등록이 불가능했고, 스마트폰에서 QR 코드를 사용하면 전화번호 확인을 위해 사용자의 휴대전화가 Google에 SMS를 보내는 흐름으로 이어짐
• 함께 링크된 YouTube 영상 Google Just Made It Impossible to Stay Anonymous에서는 Google이 새 계정 생성의 SMS 확인을 QR 코드로 대체했으며 목적은 보안이라고 다룸

보안 목적과 프라이버시 영향

• 이 방식은 피싱을 더 어렵게 만들 수 있어 보안상 논리가 있지만, 피싱을 불가능하게 만들지는 못함
• 동시에 SMSpool 같은 SMS 인증 서비스 사용을 막는 효과가 있음
• 평균 사용자는 애초에 SMS 인증 서비스를 쓰지 않기 때문에, 영향을 받는 쪽은 프라이버시에 민감한 사용자에 가까움
• Google 계정은 여러 마켓플레이스에서 오래전부터 판매돼 왔기 때문에, 이 변화가 막는 대상은 평균 사용자 수준에 그칠 수 있음
• 중고 계정을 사는 방식은 과거에 그 계정이 누구와 연결돼 있었는지 알 수 없어 자체 위험을 가짐

우회 가능성과 향후 계정 생성 문제

• Google에 SMS를 보내는 서비스가 새로 만들어질 수 있음
• Google이 점점 더 닫힌 방향으로 가고 있으며, 우회 방법의 필요성이 커짐
• 핵심 질문은 앞으로 프라이버시를 중시하는 사용자가 새 Google 계정을 어떻게 만들 수 있느냐로 모아짐

국가별 SIM 등록과 실명 추적 가능성

• QR 코드 확인이 모든 국가에 보편적으로 적용되는지는 불분명함
• 예시로, SIM 구매나 사용에 신분증 등록이 필요한 이탈리아에서 휴가 중 SIM을 구입하고 해당 번호로 “익명” Google 계정을 만드는 경우가 있음
• 계정 생성 직후 인증 앱과 YubiKey로 2단계 인증을 켜고 복구 코드를 저장하면, SMS 확인 없이 Google 계정에 로그인할 수 있음
• 이후 사용자가 본국으로 돌아가고 이탈리아 번호가 빠르게 재할당되더라도, Google 계정을 수개월 또는 수년 동안 추가 번호 확인 없이 계속 사용할 수 있는지는 불확실함
• Google이 이탈리아 번호를 통해 실제 신원을 추적할 수 있는지, 통신사나 정부가 같은 번호를 소유했던 모든 사람의 기록을 보관하는지 확인이 필요함
• Google은 사용자가 Google에 사용한 모든 전화번호 기록을 보관하며, 더 이상 소유하지 않는 번호로 계정을 확인하게 해주지 않는 경우가 많음