새 reCAPTCHA, 통과하려면 승인된 휴대폰 필요

• Google의 새 reCAPTCHA는 데스크톱·노트북 이용 중에도 호환 모바일 기기로 QR 코드를 스캔해야 하는 검증을 요구함
• GrapheneOS는 iOS 또는 Google Play Services가 설치된 Android 기기가 없으면 온라인 서비스 접근이 막힐 수 있다고 경고함
• Google의 지원 목록은 Google Play Services 설치 Android와 iOS/iPadOS 기기만 담고 있어 deGoogled Android 스마트폰 등은 검증을 완료하지 못함
• Google은 QR 코드 기반 과제가 AI 에이전트가 이전 과제를 쉽게 푸는 상황을 막고, 자동화된 사기를 경제적으로 불가능하게 만들기 위한 방식이라고 봄
• Hacker News, X, Reddit 등에서는 원격 증명과 인증 기기 요구가 보안보다 컴퓨팅 자유와 모바일 시장 경쟁을 제한한다는 반발이 커짐

무엇이 바뀌었나 - 새 reCAPTCHA의 기기 제한

• 사람임을 증명하려면 승인된 Android 또는 iPhone 소유가 필요한 구조로, 사용자는 "호환 가능한 모바일 기기"로 QR 코드를 스캔해야 함
  • 프라이버시 중심 OS·기기 사용자는 검증에서 배제된다고 GrapheneOS가 경고
• 최근 변경으로 deGoogled Android 스마트폰 같은 임의의 기기·운영체제가 Google의 reCAPTCHA 검증을 완료할 수 없게 됨
• 검증 완료가 가능한 기기 목록은 Google Play Services가 설치된 Android와 iOS/iPadOS 기기로만 한정
• reCAPTCHA는 수백만 웹사이트와 주요 서비스가 사용하는 보안 도구로, 사람과 봇을 구분하는 기능
  • 대부분 백그라운드에서 보이지 않게 작동하나, 의심스러운 정황이 보이면 소화전·신호등 식별 같은 챌린지를 제시

• GrapheneOS의 비판

  • GrapheneOS는 공개 성명에서 이 조치를 "대단히 반경쟁적"이라고 표현
  • "reCAPTCHA에 대한 통제권은 Google이 웹의 막대한 영역을 사용하려면 iOS나 인증된 Android 기기를 요구할 수 있는 위치에 서게 함"
  • 이번 변화를 하드웨어 기반 어테스테이션의 확장으로 규정, 하드웨어·OS 경쟁을 점점 더 배제한다고 지적
    • attestation : 내장된 보안 칩을 통해 하드웨어가 정품 기기임을 암호학적으로 증명하는 방식
  • "이 시스템의 목적은 Apple이나 Google이 승인하지 않은 하드웨어·소프트웨어 사용을 막는 것이며, 이는 보안 기능으로 잘못 제시된 것"
    • "10년간 패치되지 않은 기기는 허용하면서 훨씬 더 안전한 OS는 막는다", Google Mobile Services 라이선싱을 통한 독점 강제가 목적이라고 주장

• Cloud Fraud Defense와 AI 저항형 과제

  • 새 reCAPTCHA는 4월 22일 발표된 Cloud Fraud Defense 플랫폼의 일부로, 봇·사람·AI 에이전트의 정당성을 검증하도록 설계
  • Google은 "정교한 자동화의 증가가 위험 관리의 근본적 전환을 요구한다"고 설명
  • 지원 목록은 Google Play Services가 설치된 Android 기기와 iOS/iPadOS 기기만 담고 있음
  • 웹사이트 운영자는 위험 점수, 자동화 유형, 에이전트 신원 등의 조건을 기반으로 봇·AI 에이전트를 허용하거나 차단하는 세밀한 제어 사용
  • 새 QR 코드 기반 CAPTCHA는 기존 챌린지를 쉽게 푸는 AI 에이전트 차단을 목적으로 함
    • Google은 "사람의 존재를 증명하는 이 AI 저항형 완화 챌린지는 자동화된 사기를 경제적으로 불가능하게 만들도록 설계됐다"고 설명
  • Google은 기존 reCAPTCHA 고객을 별도 조치나 가격 변경 없이 Fraud Defense로 이전
  • 최소 2025년 10월부터 조용히 기능을 배포해 왔으며, 당시 블로그 게시물이 "더 강력한 AI 저항형 보안"을 제공하는 QR 코드 접근을 발표
    • PC나 Mac에서 탐색하더라도 물리적 모바일 기기의 개입이 "고유한 인간이 존재한다는 높은 신뢰도의 어테스테이션"을 제공
  • GrapheneOS는 "Windows, desktop Linux, OpenBSD 등에 하드웨어 어테스테이션 요구를 도입하는 것이며, 인증된 스마트폰의 QR 스캔을 요구한다. 더 확대될 수도 있다"고 설명
  • 프라이버시 옹호자들은 Apple App Attest나 Google Play Integrity를 점점 더 요구하는 서비스가 모바일 시장의 복점을 굳히고 있다고 경고
    • GrapheneOS는 "EU가 디지털 결제, ID, 연령 인증 등에서 이런 요구를 주도하며, 다수 EU 정부 앱이 이를 요구한다"고 언급

반발과 우려

• 웹사이트 운영자는 어떤 CAPTCHA 솔루션을 쓰고 얼마나 엄격하게 적용할지 결정함
• 프라이버시 옹호자들은 Apple App Attest 또는 Google Play Integrity 요구가 늘어나면서 모바일 시장의 양강 구도를 굳힌다고 경고함
• GrapheneOS는 EU가 디지털 결제, ID, 연령 확인 등에 이런 요구를 적용하는 흐름을 주도하고 있으며 많은 EU 정부 앱이 이를 요구한다고 봄

• 기술 커뮤니티와 소셜미디어 반응

  • Hacker News 기술 커뮤니티에서는 논쟁의 핵심이 보안이 아니라 권력 장악이라는 의견이 넓게 나타남
  • 한 Hacker News 사용자는 “원격 증명이 우리의 컴퓨팅 자유가 죽는 방식이 될 것”이라고 씀
  • X에서는 관련 게시물이 수백만 조회수와 수만 건의 반응을 얻음
  • International Cyber Digest는 GrapheneOS, CalyxOS, /e/OS 등 deGoogled Android 휴대폰 사용자가 의도적으로 제거한 Google Play Services를 설치하지 않으면 수백만 웹사이트에서 차단된다고 씀
  • International Cyber Digest는 "Google은 이제 프라이버시를 기본적으로 의심스러운 행위로 취급한다" 라고 표현

• 과거 유사 시도와 보안 우려

  • 온라인 프라이버시 기업 Mega는 Google이 2023년에 Web Environment Integrity라는 유사 조치를 구현하려 했지만 공개 반발 뒤 철회했다고 밝힘
    • "이번에는 공개 제안 대신 상용 제품으로 출시했다. 기존 CAPTCHA 방식은 당분간 폴백으로 접근 가능하나 언제까지 유지될지는 알 수 없다"
    • "인증된 기기가 없는 사람은 누구도 검증할 수 없다"
  • Reddit에서도 유사한 논의가 이어짐
    • 한 Reddit 사용자는 CAPTCHA에 QR 코드가 개입되는 것을 거부하며, 연령 확인과 anti-VPN처럼 감시를 위한 또 다른 방식이라고 경고함
    • 일부 사용자는 새 QR 코드 reCAPTCHA가 사기범에게 가짜 QR 코드 확인과 검증 흐름 모방 같은 새 공격 경로를 만들 수 있다고 우려함
    • "이걸 설계한 자들은 보안을 전혀 고려하지 않았다. 사기범들이 완전히 신날 것"이라는 결론