새 reCAPTCHA, 통과하려면 승인된 휴대폰 필요

사용자 행동 보안 관점에서는 큰 후퇴처럼 보임
이제 공격자가 reCaptcha QR 코드를 위조해 사용자를 원하는 곳으로 보낼 수 있고, 이 코드가 진짜인지 확인할 보장이나 기대가 없음
이미 Windows+R을 누르고 뭔가를 붙여넣으라고 요구하는 가짜 Cloudflare Turnstile 페이지도 있는데, 사용자를 어떻게 교육해야 할지 거의 불가능해 보임

두 번째 요소가 휴대폰인 2단계 인증을 공격하기 좋은 방식임
이제 두 인증 요소를 모두 공격자가 통제하는 곳으로 보낼 수 있게 됨

끔찍함
QR 코드를 스캔하려면 전용 reCaptcha 앱이 필요할 줄 알았는데, 그냥 일반 URL을 담은 QR 코드일 뿐임

“이건 실제 피싱과 구분이 안 되고 사용자가 크게 당할 것”이라는 식으로 조직 차원에서 반대할 수 있어 보임
다만 이미 시도 중이라면 들어줄지는 모르겠음

처음 이걸 봤을 때 허술한 피싱 시도인 줄 알고 놀랐음
당시 Tor를 쓰고 있었는데, Google 계정과 연결된 휴대폰으로 코드를 스캔하면 그 익명성이 깨질 수 있었음
시각 CAPTCHA로 되돌릴 수는 있었지만, 조만간 그 선택지도 사라질까 걱정됨
이렇게 되면 익명으로 인터넷을 쓰기가 훨씬 어려워짐
“AI-resistant”라는 주장도 헛소리임
QR 코드 스캔 과정을 자동화하는 걸 정말 상상 못 하는 건가 싶음

바로 그게 목적임
최종 목표는 범용 컴퓨팅에 자유롭게 접근할 수 있는 모든 기기를 배제하고, 모든 방문자의 익명성을 제거하는 것임

당연히 QR 코드 스캔 자동화 가능성은 알고 있을 것임
다만 글에서 말하듯 이 과정은 특정 하드웨어 사용을 요구하고, 핵심은 그 하드웨어를 물리적으로 증명할 수 있다는 데 있음
그 목적은 규모 확장을 비싸게 만드는 것임
휴대폰이 차단되면 Docker 컨테이너를 다시 초기화하는 게 아니라 새 휴대폰을 구해야 함
QR 코드가 정확히 어떻게 동작하는지는 모르고, 안정적인 식별자를 쓰는지도 모름
TPM 카운터처럼 덜 침해적인 선택지도 있을 수 있고, 완전히 다른 방식을 쓸 수도 있음
그래도 특정 하드웨어를 요구하는 이유는 하드웨어 증명을 가능하게 하려는 것이라고 봄
이건 web environment integrity proposal과 사실상 같은 목표를 더 귀찮은 방식으로 달성하는 것임
WEI에 대한 반발로 그 접근은 중단됐지만, 그게 해결하려던 시빌 공격 문제는 사라지지 않았고, 무제한 시빌 공격 비용이 거의 0이면 현재 형태의 웹은 근본적으로 유지될 수 없음
그래서 어떤 방식으로든 계속 해결하려 할 것임

웹 탐색은 주로 데스크톱이나 노트북에서 하고, 무작위 웹사이트의 QR 코드를 휴대폰으로 스캔할 생각은 없음
그러면 그냥 다른 곳으로 갈 것임

GrapheneOS를 쓰고 있는데 계속 쓸 수 있으면 좋겠음
점점 은행 앱과 이제 CAPTCHA용으로까지 보조 기기가 필요해질 것 같은 느낌이라 낭비가 심함

오히려 이런 걸 요구하는 서비스에는 점점 더 거부라고 말하는 게 중요해지고 있음

이게 어떻게 동작하는지 모르겠음
내가 어떤 기기로 코드를 스캔하는지 어떻게 검증하는 걸까
쉽게 위조될 수밖에 없어 보이는데 이해가 안 됨

나는 플립폰만 있는데, 그러면 이제 reCaptcha 사이트는 못 쓰는 건가?

기술 자본가들이 “게시 패턴으로 사용자의 익명성을 벗기기” 문제를 충분히 빨리 해결하지 못한 건가 싶음