# 새 reCAPTCHA, 통과하려면 승인된 휴대폰 필요

> Clean Markdown view of GeekNews topic #30374. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=30374](https://news.hada.io/topic?id=30374)
- GeekNews Markdown: [https://news.hada.io/topic/30374.md](https://news.hada.io/topic/30374.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-06-11T09:10:55+09:00
- Updated: 2026-06-11T09:10:55+09:00
- Original source: [cybernews.com](https://cybernews.com/privacy/google-qr-code-recaptcha-requires-approved-phone/)
- Points: 2
- Comments: 1

## Topic Body

- Google의 새 reCAPTCHA는 데스크톱·노트북 이용 중에도 **호환 모바일 기기**로 QR 코드를 스캔해야 하는 검증을 요구함  
- GrapheneOS는 iOS 또는 Google Play Services가 설치된 Android 기기가 없으면 온라인 서비스 접근이 막힐 수 있다고 경고함  
- Google의 지원 목록은 **Google Play Services 설치 Android**와 iOS/iPadOS 기기만 담고 있어 deGoogled Android 스마트폰 등은 검증을 완료하지 못함  
- Google은 QR 코드 기반 과제가 AI 에이전트가 이전 과제를 쉽게 푸는 상황을 막고, 자동화된 사기를 경제적으로 불가능하게 만들기 위한 방식이라고 봄  
- Hacker News, X, Reddit 등에서는 원격 증명과 인증 기기 요구가 보안보다 **컴퓨팅 자유와 모바일 시장 경쟁**을 제한한다는 반발이 커짐  
  
---  
  
### 무엇이 바뀌었나 - 새 reCAPTCHA의 기기 제한  
- 사람임을 증명하려면 **승인된 Android 또는 iPhone** 소유가 필요한 구조로, 사용자는 "호환 가능한 모바일 기기"로 QR 코드를 스캔해야 함  
  - 프라이버시 중심 OS·기기 사용자는 검증에서 배제된다고 GrapheneOS가 경고  
- 최근 변경으로 deGoogled Android 스마트폰 같은 **임의의 기기·운영체제**가 Google의 reCAPTCHA 검증을 완료할 수 없게 됨  
- 검증 완료가 가능한 기기 목록은 **Google Play Services가 설치된 Android**와 **iOS/iPadOS** 기기로만 한정  
- reCAPTCHA는 수백만 웹사이트와 주요 서비스가 사용하는 보안 도구로, 사람과 봇을 구분하는 기능  
  - 대부분 백그라운드에서 보이지 않게 작동하나, 의심스러운 정황이 보이면 소화전·신호등 식별 같은 챌린지를 제시  
- ## GrapheneOS의 비판  
  - GrapheneOS는 공개 성명에서 이 조치를 "**대단히 반경쟁적**"이라고 표현  
  - "reCAPTCHA에 대한 통제권은 Google이 웹의 막대한 영역을 사용하려면 **iOS나 인증된 Android 기기**를 요구할 수 있는 위치에 서게 함"  
  - 이번 변화를 **하드웨어 기반 어테스테이션**의 확장으로 규정, 하드웨어·OS 경쟁을 점점 더 배제한다고 지적  
    - attestation : 내장된 보안 칩을 통해 하드웨어가 정품 기기임을 암호학적으로 증명하는 방식  
  - "이 시스템의 목적은 Apple이나 Google이 승인하지 않은 하드웨어·소프트웨어 사용을 막는 것이며, 이는 **보안 기능으로 잘못 제시**된 것"  
    - "10년간 패치되지 않은 기기는 허용하면서 훨씬 더 안전한 OS는 막는다", **Google Mobile Services 라이선싱**을 통한 독점 강제가 목적이라고 주장  
- ## Cloud Fraud Defense와 AI 저항형 과제  
  - 새 reCAPTCHA는 4월 22일 발표된 **[Cloud Fraud Defense](https://cloud.google.com/blog/products/identity-security/introducing-google-cloud-fraud-defense-the-next-evolution-of-recaptcha)** 플랫폼의 일부로, 봇·사람·AI 에이전트의 정당성을 검증하도록 설계  
  - Google은 "**정교한 자동화의 증가**가 위험 관리의 근본적 전환을 요구한다"고 설명  
  - [지원 목록](https://support.google.com/recaptcha/answer/16609652)은 Google Play Services가 설치된 Android 기기와 iOS/iPadOS 기기만 담고 있음  
  - 웹사이트 운영자는 **위험 점수, 자동화 유형, 에이전트 신원** 등의 조건을 기반으로 봇·AI 에이전트를 허용하거나 차단하는 세밀한 제어 사용  
  - 새 QR 코드 기반 CAPTCHA는 기존 챌린지를 쉽게 푸는 **AI 에이전트** 차단을 목적으로 함  
    - Google은 "사람의 존재를 증명하는 이 **AI 저항형 완화 챌린지**는 자동화된 사기를 경제적으로 불가능하게 만들도록 설계됐다"고 설명  
  - Google은 기존 reCAPTCHA 고객을 **별도 조치나 가격 변경 없이** Fraud Defense로 이전  
  - 최소 **2025년 10월**부터 조용히 기능을 배포해 왔으며, 당시 블로그 게시물이 "더 강력한 AI 저항형 보안"을 제공하는 QR 코드 접근을 발표  
    - PC나 Mac에서 탐색하더라도 **물리적 모바일 기기**의 개입이 "고유한 인간이 존재한다는 높은 신뢰도의 어테스테이션"을 제공  
  - GrapheneOS는 "Windows, desktop Linux, OpenBSD 등에 **하드웨어 어테스테이션 요구**를 도입하는 것이며, 인증된 스마트폰의 QR 스캔을 요구한다. 더 확대될 수도 있다"고 설명  
  - 프라이버시 옹호자들은 **Apple App Attest**나 **Google Play Integrity**를 점점 더 요구하는 서비스가 모바일 시장의 복점을 굳히고 있다고 경고  
    - GrapheneOS는 "EU가 디지털 결제, ID, 연령 인증 등에서 이런 요구를 주도하며, 다수 EU 정부 앱이 이를 요구한다"고 언급  
  
### 반발과 우려  
- 웹사이트 운영자는 어떤 CAPTCHA 솔루션을 쓰고 얼마나 엄격하게 적용할지 결정함  
- 프라이버시 옹호자들은 Apple App Attest 또는 Google Play Integrity 요구가 늘어나면서 모바일 시장의 양강 구도를 굳힌다고 경고함  
- GrapheneOS는 EU가 디지털 결제, ID, 연령 확인 등에 이런 요구를 적용하는 흐름을 주도하고 있으며 많은 EU 정부 앱이 이를 요구한다고 봄  
- ## 기술 커뮤니티와 소셜미디어 반응  
  - [Hacker News](https://news.ycombinator.com/item?id=48086190) 기술 커뮤니티에서는 논쟁의 핵심이 보안이 아니라 권력 장악이라는 의견이 넓게 나타남  
  - 한 Hacker News 사용자는 “원격 증명이 우리의 컴퓨팅 자유가 죽는 방식이 될 것”이라고 씀  
  - X에서는 관련 게시물이 수백만 조회수와 수만 건의 반응을 얻음  
  - International Cyber Digest는 GrapheneOS, CalyxOS, /e/OS 등 deGoogled Android 휴대폰 사용자가 의도적으로 제거한 Google Play Services를 설치하지 않으면 수백만 웹사이트에서 차단된다고 씀  
  - International Cyber Digest는 "Google은 이제 **프라이버시를 기본적으로 의심스러운 행위**로 취급한다" 라고 표현  
- ## 과거 유사 시도와 보안 우려  
  - 온라인 프라이버시 기업 Mega는 Google이 2023년에 **Web Environment Integrity**라는 유사 조치를 구현하려 했지만 공개 반발 뒤 철회했다고 밝힘  
    - "이번에는 공개 제안 대신 **상용 제품**으로 출시했다. 기존 CAPTCHA 방식은 당분간 폴백으로 접근 가능하나 언제까지 유지될지는 알 수 없다"  
    - "인증된 기기가 없는 사람은 누구도 검증할 수 없다"  
  - Reddit에서도 유사한 논의가 이어짐  
    - [한 Reddit 사용자](https://www.reddit.com/r/privacy/comments/1t95tfw/google_broke_recaptcha_for_degoogled_android_users/)는 CAPTCHA에 QR 코드가 개입되는 것을 거부하며, 연령 확인과 anti-VPN처럼 감시를 위한 또 다른 방식이라고 경고함  
    - 일부 사용자는 새 QR 코드 reCAPTCHA가 사기범에게 가짜 QR 코드 확인과 검증 흐름 모방 같은 새 공격 경로를 만들 수 있다고 우려함  
    - "이걸 설계한 자들은 보안을 전혀 고려하지 않았다. 사기범들이 완전히 신날 것"이라는 결론

## Comments



### Comment 59383

- Author: neo
- Created: 2026-06-11T09:10:57+09:00
- Points: 1

###### [Lobste.rs 의견들](https://lobste.rs/s/p07gv1/new_recaptcha_requires_approved_phones) 
- **사용자 행동 보안** 관점에서는 큰 후퇴처럼 보임  
  이제 공격자가 reCaptcha QR 코드를 위조해 사용자를 원하는 곳으로 보낼 수 있고, 이 코드가 진짜인지 확인할 보장이나 기대가 없음  
  이미 Windows+R을 누르고 뭔가를 붙여넣으라고 요구하는 가짜 Cloudflare Turnstile 페이지도 있는데, 사용자를 어떻게 교육해야 할지 거의 불가능해 보임
  - 두 번째 요소가 휴대폰인 **2단계 인증**을 공격하기 좋은 방식임  
    이제 두 인증 요소를 모두 공격자가 통제하는 곳으로 보낼 수 있게 됨
  - 끔찍함  
    QR 코드를 스캔하려면 전용 reCaptcha 앱이 필요할 줄 알았는데, 그냥 **일반 URL을 담은 QR 코드**일 뿐임
  - “이건 실제 피싱과 구분이 안 되고 사용자가 크게 당할 것”이라는 식으로 조직 차원에서 반대할 수 있어 보임  
    다만 이미 시도 중이라면 들어줄지는 모르겠음

- 처음 이걸 봤을 때 허술한 피싱 시도인 줄 알고 놀랐음  
  당시 Tor를 쓰고 있었는데, Google 계정과 연결된 휴대폰으로 코드를 스캔하면 그 익명성이 깨질 수 있었음  
  시각 CAPTCHA로 되돌릴 수는 있었지만, 조만간 그 선택지도 사라질까 걱정됨  
  이렇게 되면 **익명으로 인터넷을 쓰기**가 훨씬 어려워짐  
  “AI-resistant”라는 주장도 헛소리임  
  QR 코드 스캔 과정을 자동화하는 걸 정말 상상 못 하는 건가 싶음
  - 바로 그게 목적임  
    최종 목표는 범용 컴퓨팅에 자유롭게 접근할 수 있는 모든 기기를 배제하고, 모든 방문자의 **익명성을 제거**하는 것임
  - 당연히 QR 코드 스캔 자동화 가능성은 알고 있을 것임  
    다만 글에서 말하듯 이 과정은 특정 하드웨어 사용을 요구하고, 핵심은 그 하드웨어를 **물리적으로 증명**할 수 있다는 데 있음  
    그 목적은 규모 확장을 비싸게 만드는 것임  
    휴대폰이 차단되면 Docker 컨테이너를 다시 초기화하는 게 아니라 새 휴대폰을 구해야 함  
    QR 코드가 정확히 어떻게 동작하는지는 모르고, 안정적인 식별자를 쓰는지도 모름  
    TPM 카운터처럼 덜 침해적인 선택지도 있을 수 있고, 완전히 다른 방식을 쓸 수도 있음  
    그래도 특정 하드웨어를 요구하는 이유는 하드웨어 증명을 가능하게 하려는 것이라고 봄  
    이건 [web environment integrity proposal](https://en.wikipedia.org/wiki/Web_Environment_Integrity)과 사실상 같은 목표를 더 귀찮은 방식으로 달성하는 것임  
    WEI에 대한 반발로 그 접근은 중단됐지만, 그게 해결하려던 **시빌 공격** 문제는 사라지지 않았고, 무제한 시빌 공격 비용이 거의 0이면 현재 형태의 웹은 근본적으로 유지될 수 없음  
    그래서 어떤 방식으로든 계속 해결하려 할 것임

- 웹 탐색은 주로 데스크톱이나 노트북에서 하고, 무작위 웹사이트의 QR 코드를 휴대폰으로 스캔할 생각은 없음  
  그러면 그냥 다른 곳으로 갈 것임

- GrapheneOS를 쓰고 있는데 계속 쓸 수 있으면 좋겠음  
  점점 은행 앱과 이제 CAPTCHA용으로까지 **보조 기기**가 필요해질 것 같은 느낌이라 낭비가 심함
  - 오히려 이런 걸 요구하는 서비스에는 점점 더 **거부**라고 말하는 게 중요해지고 있음

- 이게 어떻게 동작하는지 모르겠음  
  내가 어떤 기기로 코드를 스캔하는지 어떻게 검증하는 걸까  
  쉽게 위조될 수밖에 없어 보이는데 이해가 안 됨

- 나는 플립폰만 있는데, 그러면 이제 **reCaptcha 사이트**는 못 쓰는 건가?

- 기술 자본가들이 “게시 패턴으로 사용자의 익명성을 벗기기” 문제를 충분히 빨리 해결하지 못한 건가 싶음