새 reCAPTCHA, 통과하려면 승인된 휴대폰 필요

1 hour ago 1

Google의 새 reCAPTCHA는 데스크톱·노트북 이용 중에도 호환 모바일 기기로 QR 코드를 스캔해야 하는 검증을 요구함
GrapheneOS는 iOS 또는 Google Play Services가 설치된 Android 기기가 없으면 온라인 서비스 접근이 막힐 수 있다고 경고함
Google의 지원 목록은 Google Play Services 설치 Android와 iOS/iPadOS 기기만 담고 있어 deGoogled Android 스마트폰 등은 검증을 완료하지 못함
Google은 QR 코드 기반 과제가 AI 에이전트가 이전 과제를 쉽게 푸는 상황을 막고, 자동화된 사기를 경제적으로 불가능하게 만들기 위한 방식이라고 봄
Hacker News, X, Reddit 등에서는 원격 증명과 인증 기기 요구가 보안보다 컴퓨팅 자유와 모바일 시장 경쟁을 제한한다는 반발이 커짐

무엇이 바뀌었나

새 reCAPTCHA는 사용자가 “호환 모바일 기기”로 QR 코드를 스캔하도록 요구하며, privacy-focused OS와 기기를 쓰는 사용자를 배제할 수 있음
GrapheneOS는 iOS 또는 Android 기기가 없는 사람들이 데스크톱이나 노트북으로 웹을 탐색하더라도 온라인 서비스 접근에서 배제될 수 있다고 경고함
최근 변경으로 deGoogled Android 스마트폰 같은 임의 기기와 운영체제는 Google reCAPTCHA 검증을 완료하지 못하게 됨
reCAPTCHA는 수백만 웹사이트와 주요 서비스가 사람과 봇을 구분하는 데 쓰는 Google 보안 도구임
reCAPTCHA는 대부분 백그라운드에서 보이지 않게 작동하지만, 의심스러운 상황에서는 소화전이나 신호등 식별 같은 과제를 요구함
QR 코드 기반 검증
- Google은 4월에 AI 저항형 봇 완화를 위해 새 QR 코드 기반 과제를 발표함
- 지원 목록은 Google Play Services가 설치된 Android 기기와 iOS/iPadOS 기기만 담고 있음
- GrapheneOS는 이 변화가 하드웨어 기반 증명의 확장이고, 하드웨어와 운영체제 경쟁을 점점 더 배제한다고 봄
- GrapheneOS는 “Apple 또는 Google이 승인하지 않은 하드웨어와 소프트웨어 사용을 막는 것”이 이 시스템의 목적이라고 비판함
- GrapheneOS는 10년 동안 패치가 없는 기기는 허용하면서 더 안전한 운영체제는 허용하지 않는다고 비판함
Cloud Fraud Defense와 AI 저항형 과제
- 새 reCAPTCHA는 4월 22일 발표된 Google의 Cloud Fraud Defense 플랫폼의 일부임
- Cloud Fraud Defense는 봇, 사람, AI 에이전트의 정당성을 검증하도록 설계됨
- Google은 정교한 자동화 증가가 위험 관리의 근본적 전환을 요구한다고 봄
- 웹사이트 운영자는 위험 점수, 자동화 유형, 에이전트 정체성 같은 조건에 따라 봇과 AI 에이전트를 허용하거나 차단할 수 있음
- QR 코드 기반 CAPTCHA는 이전 과제를 쉽게 풀 수 있는 AI 에이전트를 막기 위한 방식임
- Google은 이 AI 저항형 완화 과제가 사람 존재를 증명하고 자동화된 사기를 경제적으로 불가능하게 만들도록 설계됐다고 봄
- Google은 기존 reCAPTCHA 고객을 가격 변경이나 조치 없이 Fraud Defense로 이전함
- 2025년 10월 Google 블로그는 QR 코드 접근법이 더 강한 AI 저항형 보안을 제공하고 대규모 공격자의 사업 모델을 깨뜨린다고 밝힘
- PC 또는 Mac에서 탐색하더라도 물리적 모바일 기기를 개입시키면 고유한 사람이 존재한다는 높은 보증 수준의 증명이 가능해진다고 Google은 봄
- GrapheneOS는 인증된 스마트폰의 QR 스캔을 일부 reCAPTCHA 통과 조건으로 요구하면서 Windows, 데스크톱 Linux, OpenBSD 등에 하드웨어 증명 요구를 가져오고 있다고 비판함

반발과 우려

웹사이트 운영자는 어떤 CAPTCHA 솔루션을 쓰고 얼마나 엄격하게 적용할지 결정함
프라이버시 옹호자들은 Apple App Attest 또는 Google Play Integrity 요구가 늘어나면서 모바일 시장의 양강 구도를 굳힌다고 경고함
GrapheneOS는 EU가 디지털 결제, ID, 연령 확인 등에 이런 요구를 적용하는 흐름을 주도하고 있으며 많은 EU 정부 앱이 이를 요구한다고 봄
기술 커뮤니티와 소셜미디어 반응
- Hacker News 기술 커뮤니티에서는 논쟁의 핵심이 보안이 아니라 권력 장악이라는 의견이 넓게 나타남
- 한 Hacker News 사용자는 “원격 증명이 우리의 컴퓨팅 자유가 죽는 방식이 될 것”이라고 씀
- X에서는 관련 게시물이 수백만 조회수와 수만 건의 반응을 얻음
- International Cyber Digest는 GrapheneOS, CalyxOS, /e/OS 등 deGoogled Android 휴대폰 사용자가 의도적으로 제거한 Google Play Services를 설치하지 않으면 수백만 웹사이트에서 차단된다고 씀
- International Cyber Digest는 Google이 이제 프라이버시를 기본적으로 의심스러운 행동으로 취급한다고 씀
과거 유사 시도와 보안 우려
- 온라인 프라이버시 기업 Mega는 Google이 2023년에 Web Environment Integrity라는 유사 조치를 구현하려 했지만 공개 반발 뒤 철회했다고 밝힘
- Mega는 이번에는 공개 제안이 아니라 상업 제품으로 출시됐다고 봄
- Mega는 기존 CAPTCHA 방식이 현재는 대체 수단으로 접근 가능하지만 Google이 그 선택지를 얼마나 오래 유지할지는 알 수 없다고 씀
- Mega는 인증 기기가 없는 사람은 검증할 수 없다고 씀
- Reddit에서도 유사한 논의가 이어짐
- 한 Reddit 사용자는 CAPTCHA에 QR 코드가 개입되는 것을 거부하며, 연령 확인과 anti-VPN처럼 감시를 위한 또 다른 방식이라고 경고함
- 일부 사용자는 새 QR 코드 reCAPTCHA가 사기범에게 가짜 QR 코드 확인과 검증 흐름 모방 같은 새 공격 경로를 만들 수 있다고 우려함
- 또 다른 Reddit 사용자는 설계자가 보안을 고려하지 않았고 사기범들이 이를 크게 악용할 것이라고 비판함