Google Cloud Fraud Defence는 포장만 바꾼 WEI일 뿐

13 hours ago 4

Google Cloud Fraud Defense는 2026년 “reCAPTCHA의 다음 진화”로 발표됐지만, 핵심은 2023년 철회된 Web Environment Integrity와 같은 기기 증명 인프라에 있음
Fraud Defense의 QR 챌린지는 사용자가 휴대폰으로 코드를 스캔하면 Play Integrity API로 기기를 인증하고, 그 결과를 원래 사이트에 돌려보내 사람 존재의 증거로 사용함
통과 가능한 하드웨어는 Google Play Services가 설치된 최신 Android 기기 또는 최신 iPhone/iPad로 제한되며, GrapheneOS, LineageOS for microG, Firefox for Android 같은 선택지는 기본적으로 배제됨
QR 챌린지는 카메라를 화면 앞에 두는 방식으로 우회 가능하고, 호환 Android 기기도 약 $30에 살 수 있어 전문 봇팜에는 큰 장벽이 되기 어려움
챌린지가 성공할 때마다 Google에는 “인증된 기기가 특정 시간에 특정 사이트에 접근했다”는 신호가 전달되며, 이는 세션과 브라우저를 가로지르는 귀속 정보를 만들 수 있음

Google Cloud Fraud Defense와 WEI의 연결

2026년 5월 Google은 Google Cloud Fraud Defense를 “reCAPTCHA의 다음 진화”로 발표했고, 사용자가 휴대폰으로 QR 코드를 스캔해 사람 존재를 증명하는 챌린지를 소개함
2023년 Google 엔지니어 Yoav Weiss는 Chromium 프로젝트에 Web Environment Integrity 제안을 올림
- 브라우저가 기기 하드웨어에 암호학적 증명을 서명하게 해, 브라우저가 수정되지 않았고 Google 인증 하드웨어에서 실행 중임을 증명하는 구조였음
- 웹사이트는 이 서명을 검증해 콘텐츠를 마찰 없이 제공할지, 추가 챌린지를 요구할지 결정할 수 있었음
- 제안의 명분은 봇과 자동 스크래핑에 맞서 웹 무결성을 보호하는 것이었음
Mozilla는 며칠 안에 공식 입장을 냈고, 이 제안이 “사용자의 이익에 반한다”며 “OS와 기기 벤더가 통제하는 게이트형 인터넷을 만든다”고 평가함
Electronic Frontier Foundation은 이를 “Chrome의 웹 DRM 계획”이라고 불렀고, 설계상 Android나 인증 하드웨어에서 실행되는 Chrome만 손쉽게 증명을 통과해 트래픽이 Google 생태계로 향하게 된다고 봄
Google은 공개 3주 뒤 WEI를 철회했고 Chromium GitHub 스레드는 닫혔지만, 2026년 Fraud Defense에서는 같은 기기 증명 인프라가 상업 제품의 기반으로 출시됨

Fraud Defense 챌린지는 사용자가 웹사이트에서 QR 코드를 보고 휴대폰 카메라로 스캔하는 방식으로 동작함
휴대폰은 Google의 Play Integrity API를 통해 인증되고, 기기가 인증된 하드웨어임을 확인함
이 확인 결과가 원래 사이트로 돌아가 사람 존재의 증거로 쓰임
Fraud Defense 요구사항 페이지는 통과 가능한 하드웨어를 “Google Play Services가 설치된 최신 Android 기기 또는 최신 iPhone/iPad”로 지정함
Google Play Services는 인증 Android 기기에서 실행되는 Google의 비공개 소스 소프트웨어 계층이며, 기기가 수정되지 않았고 Google이 승인했음을 증명하는 Play Integrity API를 제공함
Play Services가 없는 기기는 Fraud Defense가 요구하는 수준의 Play Integrity 검사를 만족할 수 없으며, 이 조건 자체가 Fraud Defense의 핵심 메커니즘으로 작동함
WEI는 표준 검토 과정에서 Google이 메커니즘을 공개적으로 방어해야 했고 반대에 부딪혀 철회됐지만, Fraud Defense는 Google Cloud 결제 계정이 있는 조직이 사용할 수 있는 상업 서비스로 바로 출시됨

QR 코드 챌린지는 봇 운영자가 화면 앞에 카메라를 두는 방식으로 기계적으로 우회 가능함
Play Integrity 증명이 필요한 작업에서도 호환 Android 기기는 약 $30에 구입 가능하며, 예로 Walmart의 $29.88 Motorola Moto g 2025가 있음
대량으로 기기를 구매하는 전문 봇팜에는 이 비용이 운영을 실질적으로 방해하지 않는 고정 비용에 가까움
HN 스레드에서는 사고 대응 전문가가 현실적으로 “HR의 Susan”에게 진짜 Google Captcha QR 코드와 악성 피싱 QR 코드를 구분하도록 가르치기 어렵다고 우려함
QR 챌린지는 사용자가 웹사이트 접근을 위해 코드를 스캔하도록 훈련시키며, 피싱 캠페인이 이 행동을 바로 악용할 수 있음

iOS App Attestation은 앱이 App Store를 통해 설치됐고 수정되지 않았음을 검증함
iPhone 사용자가 선택한 폐쇄형 생태계 안에서 앱을 관리하는 것과, 열린 웹 브라우징에서 URL 접근을 민간 기업이 인증한 하드웨어에 조건부로 거는 것은 성격이 다름
열린 인터넷에 이런 방식으로 적용된 전례는 없으며, 앱스토어는 명시적 약관이 있는 선택형 생태계지만 웹은 하드웨어 조건을 전제로 설계되지 않았음
QR 기반 인증도 이미 존재함
- Estonia의 Smart ID는 은행 포털, 정부 서비스, 건강 기록처럼 경계와 동의 범위가 정해진 리소스에서 QR 코드를 사용해 사용자를 검증함
- 사용자가 인증을 선택하고, 보호되는 리소스가 사전에 정의되며, 범위가 명확함
Google Cloud Fraud Defense는 운영자가 게이트로 지정한 어떤 URL에도 열린 웹에서 기기 증명을 적용할 수 있음
이 방식에는 동등한 동의 구조나 목적 제한이 없고, 사용자가 자신의 하드웨어 정체성이 접근 자격 증명처럼 작동한다는 사실을 알기 어려울 수 있음

Google Play Integrity 증명에는 Google Play Services가 필요함
GrapheneOS는 기본적으로 Play Services를 포함하지 않는 보안 강화 Android 포크이며, EFF가 권장하고 언론인·변호사·활동가가 고위험 환경에서 사용함
GrapheneOS는 일부 Play Services 기능을 실행하는 샌드박스 호환 계층을 지원하지만, Fraud Defense가 요구하는 MEETS_DEVICE_INTEGRITY 수준의 Play Integrity를 만족하지 못함
오픈소스 대안을 원하는 사용자를 위해 만들어진 프라이버시 지향 Android 배포판 LineageOS for microG도 같은 이유로 실패함
Play Services를 제외한 모든 커스텀 ROM은 Fraud Defense의 요구사항을 통과하지 못함
Firefox for Android는 Google이 명시한 Fraud Defense 브라우저 지원 목록에 보이지 않음
Firefox는 설계상 Google Play Integrity를 통합하지 않으며, Mozilla의 2023년 기기 증명 반대 입장은 명확했고 현재도 유지됨
결과적으로 주요 모바일 브라우저 중 프라이버시를 중시하는 Firefox 사용자는 봇이라서가 아니라 Google의 인증 아키텍처 참여를 거부하는 소프트웨어를 쓰기 때문에 기본적으로 검증된 접근에서 제외됨