reCAPTCHA가 핸드폰 인증을 요구하기 시작했습니다
2026년 5월 초 (글 쓴 날짜 기준으로 4일 전), reCAPTCHA가 핸드폰으로 QR코드를 찍어 인증해야하는 이상한 방식을 도입했습니다. 또한 이 정책으로 인해 안드로이드 사용자는 검증에 최신 버전의 Google Play Services를 요구하기 시작했습니다.
웹사이트 운영자 입장에서는 전환율만 떨어지는 변경이라고 생각할수도 있지만 그 이상의 문제입니다.
갤럭시나 다른 보통 사용하는 안드로이드 폰에서는 사용자가 귀찮을 뿐 통과는 할수 있습니다. 하지만 GrapheneOS, LineageOS, /e/OS 등 구글 서비스가 없는 De-Googled 기기 사용자는 통과하지 못하고 봇이라고 차단당해버립니다.
무엇이 바뀌었나
reCAPTCHA는 원래 의심이 안가면 바로 통과, 의심이 가거나 구글 로그인이 안되어있으면 신호등 퍼즐같은 귀찮은것들을 보여주는 방식이였습니다.
5월 초부터는 의심가는 경우 컴퓨터에 뜬 QR코드를 핸드폰으로 찍어서 폰으로 인증을 마쳐야 통과되는 이해가 안가는 이상한 방식이 추가됐습니다.
구글은 이 변경을 크게 공지하지 않았습니다. 개발자들은 커스텀 ROM 사용자가 갑자기 거부되기 시작하면서 알게 됐습니다. 5월 7~8일경 Android Authority, PiunikaWeb, OSNews, Reclaim The Net에서 보도가 나왔고, r/degoogle 스레드는 거의 1,000개 업보트(추천)을 받았습니다.
누가 막히나
앞에서 말했듯 새 흐름은 챌린지를 통과하려면 iOS 16 이상 버전에 reCAPTCHA 앱이 설치되어있는 아이폰 사용자이거나, 최신 버전의 구글 플레이 서비스가 깔려있는 구글이 인증한 안드로이드 폰 사용자여야 합니다. 플레이 서비스가 없거나, 비활성화돼 있거나, 구형 폰이거나, 25.41.30 미만이면 구글은 그 사람을 봇으로 취급해버립니다.
가장 먼저 떠오르는 건 GrapheneOS 사용자입니다. 많은 사용자가 구글 서비스를 피하려고 GrapheneOS를 설치합니다. 그 선택이 이제 reCAPTCHA 검증을 해제하지 못하게 만듭니다.
LineageOS, CalyxOS, /e/OS 같은 다른 커스텀 ROM도 같은 문제를 겪습니다.
'커스텀 롬 사용자가 얼마나 된다고' 라고 생각할수도 있지만 그 외에도 구글 플레이 서비스가 없는 폰은 많습니다.
- 2019년 이후 출시된 화웨이 폰
- Universal Android Debloater 같은 도구로 Play Services를 제거한 기기
- 완전한 구글 인증이 없는 하드웨어
- Play Services를 의도적으로 비활성화한 프라이버시 중심 사용자
쇼핑몰같은 일반 사이트에서는 작은 비율일겁니다. 하지만 VPN, 암호화폐 도구, 보안 메신저, 프라이버시 블로그, 개발자 도구 등을 다루는 사이트에선 꽤 큰 비율이 될 수 있습니다.
락인의 문제
구글은 이걸 사기 방지를 위한 어쩔수 없는 수정이라고 설명합니다. 악성 사용자를 막는데 효과적인건 맞습니다. 정상 사용자도 막을 뿐이죠.
하지만 reCAPTCHA를 생태계 관문으로도 만듭니다. reCAPTCHA를 쓰는 사이트는 방문자에게 구글 인증 안드로이드 인프라를 기대하게 됩니다.
웹 폼 하나에 붙기에는 무거운 호환성 요구사항입니다.
reCAPTCHA vs PrivateStater Captcha
| 항목 | reCAPTCHA | PrivateStater Captcha |
|---|---|---|
| Google Play Services 필요 | 예, 25.41.30+ | 아니오 |
| GrapheneOS / De-Googled Android | 실패 가능 | 동작 |
| iOS와 데스크톱 | 예 | 예 |
| 프라이버시 모델 | "Google이 만든 제품" | 쿠키 없음, 추적 없음, Google 없음 |
| 챌린지 방식 | 신호등 선택, 마우스 움직임 추적, 구글 로그인 여부 | 퍼즐, 작업 증명, 허니팟 |
| 무료 티어 | 월 10,000회 | 월 20,000회 |
저는 사이트 운영자입니다. 무엇을 해야할까요?
더이상 reCAPTCHA를 사용하지 마세요. 대체 서비스는 많습니다. 이 글에서 비교해봤습니다.
사용하지 말라는 이유는 이것뿐만이 아닙니다. 윗 글에서 왜 이런 말을 하는지 읽어보시면 아실수 있습니다.
PrivateStater가 의존성을 피하는 방식
PrivateStater Captcha는 제 서버에서 챌린지를 검증합니다. 다른 기기에서 인증하는 그런 상식 밖의 일은 하지 않습니다.
- 슬라이딩 퍼즐: 간단하고 쉬운 드래그 챌린지를 보여주고 해제하도록 합니다.
- 작업 증명: 브라우저가 유동적인 Argon2id 챌린지를 풉니다.
- 허니팟: 단순한 봇들이 숨은 필드를 채우면 실패합니다.
이건 간단하게 동작하고, JavaScript가 되는 브라우저라면 동작합니다. GrapheneOS, iOS, 리눅스, 6년된 안드로이드, Chrome, Safari, 아니면 그냥 웹 뷰이더라도 모두 가능합니다. 월 20,000회까지 무료이며 성공한 요청만 카운트됩니다. (실패한 요창은 무료)
더 넓은 비교는 reCAPTCHA 대체 서비스 정리 글에 정리했습니다.