Google, De‑Googled Android 사용자들의 reCAPTCHA를 망가뜨렸다

Source: Hacker News

Background

Google은 차세대 reCAPTCHA 시스템을 Android의 Google Play Services에 연결했습니다. 이는 de‑Googled 폰을 사용하는 사람이라면 시스템이 챌린지를 제시할 때 자동으로 인증에 실패한다는 의미입니다.

이 요구 사항은 Android 사용자가 인간임을 증명하기 위해 Google의 독점 앱 프레임워크 버전 25.41.30 이상을 실행해야 합니다.

reCAPTCHA가 의심스러운 활동이라고 판단하면 기존 이미지 퍼즐을 포기하고 QR 코드를 스캔하도록 요구합니다. 이 스캔은 백그라운드에서 Play Services가 실행되고 Google 서버와 통신해야 합니다. GrapheneOS와 같이 Google 소프트웨어를 제거한 커스텀 ROM을 사용하면 인증이 실패합니다.

Google은 4월 23일 Cloud Next에서 Google Cloud Fraud Defense라는 더 넓은 시스템을 발표했으며, 이를 자율 AI 에이전트와 전통적인 봇 모두를 처리하도록 설계된 신뢰 플랫폼으로 소개했습니다. 그러나 Google이 강조하지 않은 부분은 인간임을 증명하기 위해 이제 자체 독점 감시 체계에 복종해야 한다는 점입니다.

Evidence and Timeline

• 2025년 10월의 Internet Archive 스냅샷에는 동일한 지원 페이지에 이미 Play Services 버전 25.39.30 요구 사항이 명시되어 있었습니다.
• Google은 최소 7개월 동안 이 의존성을 조용히 구축했으며, 이후 de‑Google 서브레딧의 한 사용자가 이를 지적했습니다.
• PiunikaWeb와 Android Authority의 보도가 이 문제를 더 널리 알렸습니다.

Comparison with iOS

iOS 비교는 의미심장합니다. iOS 16.4 이상을 실행하는 Apple 기기는 추가 앱을 설치하지 않고도 동일한 인증을 완료합니다. Google은 iPhone 사용자가 테스트를 통과하기 위해 Google 소프트웨어를 설치하도록 요구하지 않았습니다. Play Services를 거부하는 Android 사용자만이 차단됩니다. 이러한 비대칭은 변화가 보안보다 생태계 통제에 더 초점을 맞추고 있음을 보여줍니다.

Implications for Web Developers

reCAPTCHA는 수백만 웹사이트 앞에 배치됩니다. Google이 인증을 Play Services에 연결하면 기본 웹 콘텐츠에 접근하려면 Google 소프트웨어를 실행하고 Google 서버에 데이터를 전송해야 한다는 선례가 만들어집니다.

이 버전의 reCAPTCHA를 도입하는 개발자는 자신이 무엇을 선택하고 있는지 이해해야 합니다. 이를 구현하는 모든 사이트는 사실상 de‑Googled Android 사용자에게 환영받지 못한다는 신호를 보냅니다. 현재 이 사용자층은 작지만, 데이터 관행에 가장 민감하고 강제 감시에 가장 거부감이 큰 집단입니다.