구글이 reCAPTCHA까지 무기화했다 — 탈구글 안드로이드 사용자가 웹에서 쫓겨나는 날

요즘 IT 커뮤니티에서 조용히, 그러나 무겁게 번지고 있는 이야기가 하나 있습니다. 프라이버시를 지키기 위해 구글 서비스를 빼버린 안드로이드, 이른바 ‘탈구글(de-Googled)’ 기기를 쓰는 사용자들이 reCAPTCHA 앞에서 무한 루프에 빠지고 있다는 겁니다. 단순한 버그가 아니라, 구글이 웹의 ‘관문’까지 자신들의 생태계 검증 도구로 만들고 있다는 신호라서 더 심각한데요.

어디서 시작된 이야기인가

지난 5월 9일 유튜브에 올라온 한 영상(David C, 조회수 집계 전)이 이 문제를 정면으로 다루며 화제가 됐습니다. 제목부터 직설적입니다. “구글 검증 시스템이 탈구글 휴대폰을 봉쇄한다”는 내용인데요. AWS 데이터센터 과열 사태와 함께 묶여 다뤄질 만큼, 인프라 권력 집중 이슈로 분류되고 있습니다.

핵심은 이렇습니다. GrapheneOS나 LineageOS처럼 구글 서비스 프레임워크(GMS) 없이 구동되는 안드로이드 기기에서 크롬이 아닌 브라우저로 웹사이트에 접속하면, reCAPTCHA가 끝나지 않는 퍼즐을 계속 던진다는 겁니다. 이미지를 다 골라도, 체크박스를 눌러도 통과가 안 됩니다. 신호등을 100번 골라도 “다시 시도하세요"만 반복됩니다.

reCAPTCHA가 이제 ‘신원 검증’을 한다

원래 reCAPTCHA의 목적은 단순했습니다. 봇과 사람을 구분하는 것. 하지만 v3로 넘어오면서 동작 원리가 완전히 바뀌었습니다. 이제는 사용자의 브라우저 핑거프린트, 쿠키 히스토리, 마우스 움직임, 그리고 결정적으로 구글 계정 로그인 상태를 종합해 ‘신뢰 점수’를 매깁니다.

문제는 여기서 발생합니다. 탈구글 기기 사용자는 구글 계정에 로그인하지 않습니다. 광고 ID도 없고, 크롬도 안 씁니다. 구글 입장에서 보면 이 사용자는 ‘데이터가 없는 유령’이고, 그래서 ‘봇일 확률이 높다’고 판단합니다. 결과는? 영원히 풀리지 않는 퍼즐입니다.

Play Integrity API와 한 묶음으로 봐야 한다

이게 단발성 사건이 아니라는 점이 중요한데요. 구글은 이미 Play Integrity API를 통해 앱 단계에서 비슷한 검증을 강화해왔습니다. 은행 앱, 결제 앱, 심지어 일부 게임이 GrapheneOS에서 실행을 거부하는 사례가 늘어났습니다. 루팅된 기기뿐 아니라, 단지 구글이 ‘인증하지 않은’ OS를 쓴다는 이유만으로요.

reCAPTCHA의 강화는 이 흐름을 웹까지 확장하는 결정타입니다. 앱은 거부당해도 웹브라우저로 우회할 수 있었는데, 이제 그 출구마저 막히고 있는 겁니다. 미국에서 한때 추진하다 철회된 Web Environment Integrity(WEI) 제안의 정신이, 다른 이름으로 부활한 셈이라는 분석도 나옵니다.

사용자에게 남은 선택지

현실적인 우회 방법이 없는 건 아닙니다. VPN을 켜거나, Mullvad Browser 같은 핑거프린트 저항 브라우저를 쓰거나, hCaptcha를 사용하는 사이트로 우회하는 방법이 있습니다. 하지만 이런 건 기술에 익숙한 사용자에게나 가능한 이야기입니다.

더 본질적인 문제는, 프라이버시를 지키려는 행동이 곧 ‘의심받을 행동’이 된다는 점입니다. 구글 계정에 로그인해 모든 행적을 추적당하는 사용자는 reCAPTCHA를 1초 만에 통과하고, 그렇지 않은 사용자는 웹에서 쫓겨납니다. 이건 기술적 실패가 아니라 설계된 결과입니다.

마무리하며

웹은 한때 누구에게나 열려 있는 공간이었습니다. 어떤 OS를 쓰든, 어떤 브라우저를 쓰든 같은 페이지에 접속할 수 있다는 게 인터넷의 약속이었죠. 하지만 reCAPTCHA, Play Integrity, 그리고 다양한 ‘Integrity’ 시스템이 쌓여가면서, 그 약속은 조용히 깨지고 있습니다. 여러분은 프라이버시와 편의성 중 어느 쪽을 선택하시겠습니까? 그리고 그 선택을 기업이 대신 해주는 세상은 과연 정상일까요?