새 reCAPTCHA, 통과하려면 승인된 휴대폰 필요

 (cybernews.com)
2P by GN⁺ | ★ favorite | 댓글 1개
  • Google의 새 reCAPTCHA는 데스크톱·노트북 이용 중에도 호환 모바일 기기로 QR 코드를 스캔해야 하는 검증을 요구함
  • GrapheneOS는 iOS 또는 Google Play Services가 설치된 Android 기기가 없으면 온라인 서비스 접근이 막힐 수 있다고 경고함
  • Google의 지원 목록은 Google Play Services 설치 Android와 iOS/iPadOS 기기만 담고 있어 deGoogled Android 스마트폰 등은 검증을 완료하지 못함
  • Google은 QR 코드 기반 과제가 AI 에이전트가 이전 과제를 쉽게 푸는 상황을 막고, 자동화된 사기를 경제적으로 불가능하게 만들기 위한 방식이라고 봄
  • Hacker News, X, Reddit 등에서는 원격 증명과 인증 기기 요구가 보안보다 컴퓨팅 자유와 모바일 시장 경쟁을 제한한다는 반발이 커짐

무엇이 바뀌었나 - 새 reCAPTCHA의 기기 제한

  • 사람임을 증명하려면 승인된 Android 또는 iPhone 소유가 필요한 구조로, 사용자는 "호환 가능한 모바일 기기"로 QR 코드를 스캔해야 함
    • 프라이버시 중심 OS·기기 사용자는 검증에서 배제된다고 GrapheneOS가 경고
  • 최근 변경으로 deGoogled Android 스마트폰 같은 임의의 기기·운영체제가 Google의 reCAPTCHA 검증을 완료할 수 없게 됨
  • 검증 완료가 가능한 기기 목록은 Google Play Services가 설치된 AndroidiOS/iPadOS 기기로만 한정
  • reCAPTCHA는 수백만 웹사이트와 주요 서비스가 사용하는 보안 도구로, 사람과 봇을 구분하는 기능
    • 대부분 백그라운드에서 보이지 않게 작동하나, 의심스러운 정황이 보이면 소화전·신호등 식별 같은 챌린지를 제시

  • GrapheneOS의 비판

    • GrapheneOS는 공개 성명에서 이 조치를 "대단히 반경쟁적"이라고 표현
    • "reCAPTCHA에 대한 통제권은 Google이 웹의 막대한 영역을 사용하려면 iOS나 인증된 Android 기기를 요구할 수 있는 위치에 서게 함"
    • 이번 변화를 하드웨어 기반 어테스테이션의 확장으로 규정, 하드웨어·OS 경쟁을 점점 더 배제한다고 지적
      • attestation : 내장된 보안 칩을 통해 하드웨어가 정품 기기임을 암호학적으로 증명하는 방식
    • "이 시스템의 목적은 Apple이나 Google이 승인하지 않은 하드웨어·소프트웨어 사용을 막는 것이며, 이는 보안 기능으로 잘못 제시된 것"
      • "10년간 패치되지 않은 기기는 허용하면서 훨씬 더 안전한 OS는 막는다", Google Mobile Services 라이선싱을 통한 독점 강제가 목적이라고 주장

  • Cloud Fraud Defense와 AI 저항형 과제

    • 새 reCAPTCHA는 4월 22일 발표된 Cloud Fraud Defense 플랫폼의 일부로, 봇·사람·AI 에이전트의 정당성을 검증하도록 설계
    • Google은 "정교한 자동화의 증가가 위험 관리의 근본적 전환을 요구한다"고 설명
    • 지원 목록은 Google Play Services가 설치된 Android 기기와 iOS/iPadOS 기기만 담고 있음
    • 웹사이트 운영자는 위험 점수, 자동화 유형, 에이전트 신원 등의 조건을 기반으로 봇·AI 에이전트를 허용하거나 차단하는 세밀한 제어 사용
    • 새 QR 코드 기반 CAPTCHA는 기존 챌린지를 쉽게 푸는 AI 에이전트 차단을 목적으로 함
      • Google은 "사람의 존재를 증명하는 이 AI 저항형 완화 챌린지는 자동화된 사기를 경제적으로 불가능하게 만들도록 설계됐다"고 설명
    • Google은 기존 reCAPTCHA 고객을 별도 조치나 가격 변경 없이 Fraud Defense로 이전
    • 최소 2025년 10월부터 조용히 기능을 배포해 왔으며, 당시 블로그 게시물이 "더 강력한 AI 저항형 보안"을 제공하는 QR 코드 접근을 발표
      • PC나 Mac에서 탐색하더라도 물리적 모바일 기기의 개입이 "고유한 인간이 존재한다는 높은 신뢰도의 어테스테이션"을 제공
    • GrapheneOS는 "Windows, desktop Linux, OpenBSD 등에 하드웨어 어테스테이션 요구를 도입하는 것이며, 인증된 스마트폰의 QR 스캔을 요구한다. 더 확대될 수도 있다"고 설명
    • 프라이버시 옹호자들은 Apple App AttestGoogle Play Integrity를 점점 더 요구하는 서비스가 모바일 시장의 복점을 굳히고 있다고 경고
      • GrapheneOS는 "EU가 디지털 결제, ID, 연령 인증 등에서 이런 요구를 주도하며, 다수 EU 정부 앱이 이를 요구한다"고 언급

반발과 우려

  • 웹사이트 운영자는 어떤 CAPTCHA 솔루션을 쓰고 얼마나 엄격하게 적용할지 결정함
  • 프라이버시 옹호자들은 Apple App Attest 또는 Google Play Integrity 요구가 늘어나면서 모바일 시장의 양강 구도를 굳힌다고 경고함
  • GrapheneOS는 EU가 디지털 결제, ID, 연령 확인 등에 이런 요구를 적용하는 흐름을 주도하고 있으며 많은 EU 정부 앱이 이를 요구한다고 봄

  • 기술 커뮤니티와 소셜미디어 반응

    • Hacker News 기술 커뮤니티에서는 논쟁의 핵심이 보안이 아니라 권력 장악이라는 의견이 넓게 나타남
    • 한 Hacker News 사용자는 “원격 증명이 우리의 컴퓨팅 자유가 죽는 방식이 될 것”이라고 씀
    • X에서는 관련 게시물이 수백만 조회수와 수만 건의 반응을 얻음
    • International Cyber Digest는 GrapheneOS, CalyxOS, /e/OS 등 deGoogled Android 휴대폰 사용자가 의도적으로 제거한 Google Play Services를 설치하지 않으면 수백만 웹사이트에서 차단된다고 씀
    • International Cyber Digest는 "Google은 이제 프라이버시를 기본적으로 의심스러운 행위로 취급한다" 라고 표현

  • 과거 유사 시도와 보안 우려

    • 온라인 프라이버시 기업 Mega는 Google이 2023년에 Web Environment Integrity라는 유사 조치를 구현하려 했지만 공개 반발 뒤 철회했다고 밝힘
      • "이번에는 공개 제안 대신 상용 제품으로 출시했다. 기존 CAPTCHA 방식은 당분간 폴백으로 접근 가능하나 언제까지 유지될지는 알 수 없다"
      • "인증된 기기가 없는 사람은 누구도 검증할 수 없다"
    • Reddit에서도 유사한 논의가 이어짐
      • 한 Reddit 사용자는 CAPTCHA에 QR 코드가 개입되는 것을 거부하며, 연령 확인과 anti-VPN처럼 감시를 위한 또 다른 방식이라고 경고함
      • 일부 사용자는 새 QR 코드 reCAPTCHA가 사기범에게 가짜 QR 코드 확인과 검증 흐름 모방 같은 새 공격 경로를 만들 수 있다고 우려함
      • "이걸 설계한 자들은 보안을 전혀 고려하지 않았다. 사기범들이 완전히 신날 것"이라는 결론

함께 보면 좋은 글 β

GN⁺   [-]
Lobste.rs 의견들

  • 사용자 행동 보안 관점에서는 큰 후퇴처럼 보임
    이제 공격자가 reCaptcha QR 코드를 위조해 사용자를 원하는 곳으로 보낼 수 있고, 이 코드가 진짜인지 확인할 보장이나 기대가 없음
    이미 Windows+R을 누르고 뭔가를 붙여넣으라고 요구하는 가짜 Cloudflare Turnstile 페이지도 있는데, 사용자를 어떻게 교육해야 할지 거의 불가능해 보임

    • 두 번째 요소가 휴대폰인 2단계 인증을 공격하기 좋은 방식임
      이제 두 인증 요소를 모두 공격자가 통제하는 곳으로 보낼 수 있게 됨
    • 끔찍함
      QR 코드를 스캔하려면 전용 reCaptcha 앱이 필요할 줄 알았는데, 그냥 일반 URL을 담은 QR 코드일 뿐임
    • “이건 실제 피싱과 구분이 안 되고 사용자가 크게 당할 것”이라는 식으로 조직 차원에서 반대할 수 있어 보임
      다만 이미 시도 중이라면 들어줄지는 모르겠음

  • 처음 이걸 봤을 때 허술한 피싱 시도인 줄 알고 놀랐음
    당시 Tor를 쓰고 있었는데, Google 계정과 연결된 휴대폰으로 코드를 스캔하면 그 익명성이 깨질 수 있었음
    시각 CAPTCHA로 되돌릴 수는 있었지만, 조만간 그 선택지도 사라질까 걱정됨
    이렇게 되면 익명으로 인터넷을 쓰기가 훨씬 어려워짐
    “AI-resistant”라는 주장도 헛소리임
    QR 코드 스캔 과정을 자동화하는 걸 정말 상상 못 하는 건가 싶음

    • 바로 그게 목적임
      최종 목표는 범용 컴퓨팅에 자유롭게 접근할 수 있는 모든 기기를 배제하고, 모든 방문자의 익명성을 제거하는 것임
    • 당연히 QR 코드 스캔 자동화 가능성은 알고 있을 것임
      다만 글에서 말하듯 이 과정은 특정 하드웨어 사용을 요구하고, 핵심은 그 하드웨어를 물리적으로 증명할 수 있다는 데 있음
      그 목적은 규모 확장을 비싸게 만드는 것임
      휴대폰이 차단되면 Docker 컨테이너를 다시 초기화하는 게 아니라 새 휴대폰을 구해야 함
      QR 코드가 정확히 어떻게 동작하는지는 모르고, 안정적인 식별자를 쓰는지도 모름
      TPM 카운터처럼 덜 침해적인 선택지도 있을 수 있고, 완전히 다른 방식을 쓸 수도 있음
      그래도 특정 하드웨어를 요구하는 이유는 하드웨어 증명을 가능하게 하려는 것이라고 봄
      이건 web environment integrity proposal과 사실상 같은 목표를 더 귀찮은 방식으로 달성하는 것임
      WEI에 대한 반발로 그 접근은 중단됐지만, 그게 해결하려던 시빌 공격 문제는 사라지지 않았고, 무제한 시빌 공격 비용이 거의 0이면 현재 형태의 웹은 근본적으로 유지될 수 없음
      그래서 어떤 방식으로든 계속 해결하려 할 것임

  • 웹 탐색은 주로 데스크톱이나 노트북에서 하고, 무작위 웹사이트의 QR 코드를 휴대폰으로 스캔할 생각은 없음
    그러면 그냥 다른 곳으로 갈 것임

  • GrapheneOS를 쓰고 있는데 계속 쓸 수 있으면 좋겠음
    점점 은행 앱과 이제 CAPTCHA용으로까지 보조 기기가 필요해질 것 같은 느낌이라 낭비가 심함

    • 오히려 이런 걸 요구하는 서비스에는 점점 더 거부라고 말하는 게 중요해지고 있음

  • 이게 어떻게 동작하는지 모르겠음
    내가 어떤 기기로 코드를 스캔하는지 어떻게 검증하는 걸까
    쉽게 위조될 수밖에 없어 보이는데 이해가 안 됨

  • 나는 플립폰만 있는데, 그러면 이제 reCaptcha 사이트는 못 쓰는 건가?

  • 기술 자본가들이 “게시 패턴으로 사용자의 익명성을 벗기기” 문제를 충분히 빨리 해결하지 못한 건가 싶음

답변달기