Google이 de-Googled Android 사용자를 위해 reCAPTCHA를 망가뜨림

• Google이 Android용 차세대 reCAPTCHA를 Google Play Services와 연결해, de-Googled Android 사용자는 추가 검증 단계에서 자동으로 실패하게 됨
• Android 사용자가 사람임을 증명하려면 Google의 독점 앱 프레임워크 Google Play Services 25.41.30 이상을 실행해야 함
• 의심스러운 활동으로 판단되면 기존 이미지 퍼즐 대신 QR 코드 스캔을 요구하며, 이 과정은 Play Services가 Google 서버와 통신해야 완료됨
• iOS 16.4 이상 기기는 추가 Google 소프트웨어 없이 같은 검증을 통과하지만, Play Services를 거부하는 Android 사용자만 잠기는 비대칭 구조가 생김
• reCAPTCHA가 수백만 웹사이트 앞단에 있는 만큼, 이 변화는 기본 웹 접근에 Google 소프트웨어 실행과 Google 서버로의 데이터 전송을 요구하는 선례를 만듦

Google Play Services에 묶인 검증 방식

• Android에서 사람임을 증명하는 과정은 Google의 독점 앱 프레임워크 Google Play Services 25.41.30 이상에 의존함
• reCAPTCHA가 의심스러운 활동으로 판단하면 기존 이미지 퍼즐 대신 QR 코드 스캔을 요구함
• QR 스캔은 백그라운드에서 실행되는 Play Services가 Google 서버와 통신해야 하므로, GrapheneOS나 Google 소프트웨어를 제거한 다른 커스텀 ROM에서는 검증이 실패함
• de-Googled phone을 쓰는 사용자는 시스템이 추가 검증을 요구할 때 자동으로 실패하게 됨

Google Cloud Fraud Defense와 도입 경위

• Google은 4월 23일 Cloud Next에서 더 넓은 시스템인 Google Cloud Fraud Defense를 발표함
• 이 시스템은 자율 AI 에이전트와 기존 봇을 모두 다루기 위한 신뢰 플랫폼으로 소개됨
• Android에서 사람임을 증명하는 과정이 Google의 독점 소프트웨어 실행과 연결됐다는 점은 발표의 전면에 드러나지 않음
• 이 변화는 갑자기 나타난 것이 아니며, 2025년 10월 Internet Archive 스냅샷의 같은 지원 페이지에 이미 Play Services 25.39.30 요구사항이 표시돼 있었음
• Reddit의 degoogle 서브레딧 사용자가 이를 확인했고, PiunikaWeb과 Android Authority 보도로 더 널리 알려짐

iOS와 Android의 차이

• iOS 16.4 이상을 실행하는 Apple 기기는 같은 검증을 추가 앱 설치 없이 완료함
• Google은 iPhone 사용자에게 reCAPTCHA 통과를 위해 Google 소프트웨어 설치를 요구하지 않음
• Play Services를 거부하는 Android 사용자만 잠기게 되는 비대칭 구조가 생김
• 이 차이는 보안보다 생태계 통제에 가깝게 보임

웹 접근성과 데이터 전송 문제

• reCAPTCHA는 수백만 개 웹사이트 앞단에 놓여 있음
• Google이 검증을 Play Services에 묶으면, 기본적인 웹 콘텐츠 접근에 Google 소프트웨어 실행과 Google 서버로의 데이터 전송이 필요한 선례가 생김
• de-Googled 폰 사용자는 Play Services의 데이터 관행을 확인하고 동의하지 않는다는 이유로 그런 구성을 선택함
• 새 시스템은 Google 독점 소프트웨어가 없는 상태를 기본적으로 의심스럽게 취급해, 그 선택에 불이익을 줌

웹 개발자가 선택하게 되는 배제

• 이 reCAPTCHA를 도입하는 웹사이트는 de-Googled Android 사용자를 환영하지 않는다는 신호를 보내게 됨
• 해당 사용자층은 현재는 작지만, 웹사이트가 데이터를 어떻게 다루는지에 가장 민감한 집단임
• 이 사용자층은 Google Play Services 요구에 쉽게 굴복하지 않을 가능성이 큼