reCaptcha QR 코드, 피싱 위험 높인다?

커뮤니티에서는 새로운 reCaptcha 방식이 사용자 행동 보안(User Behavior Security) 측면에서 큰 하향이라고 지적합니다. 공격자가 악성 QR 코드를 생성하여 사용자를 임의의 목적지로 유도할 수 있으며, 코드의 진위 여부를 확인할 방법이 없다는 점이 문제입니다. 이는 기존의 Cloudflare Turnstile 페이지에서 발생했던 피싱 시도와 유사하며, 사용자 교육만으로는 해결하기 어렵다는 의견이 지배적입니다.

특히 2단계 인증(2FA) 환경에서 이 방식은 심각한 공격 벡터가 될 수 있다고 논의됩니다. 사용자가 휴대폰을 두 번째 인증 요소로 사용할 경우, 공격자는 QR 코드 스캔을 통해 사용자를 통제 가능한 페이지로 유도하여 두 요소 모두를 탈취할 수 있다는 분석입니다. 이는 기존의 인증 방식을 무력화시킬 수 있는 잠재적 위협으로 간주됩니다.

Tor 브라우저 사용자와 같이 익명성 보장을 중요하게 생각하는 사용자들에게 이 방식은 큰 문제입니다. 휴대폰으로 QR 코드를 스캔하는 행위 자체가 익명성을 침해할 수 있으며, 특히 Google 계정과 연동된 기기 사용 시 더욱 그렇습니다. 일부 사용자는 시각적 캡챠(Visual Captcha)로 대체할 수 있었지만, 향후 이러한 기능이 사라질 경우 익명 인터넷 사용이 더욱 어려워질 것이라는 우려가 제기됩니다.

reCaptcha 측에서 이 기능을 AI 저항성(AI-resistant)이라고 주장하는 것에 대해 회의적인 시각이 많습니다. 커뮤니티에서는 QR 코드 스캔 과정을 자동화하는 것이 충분히 가능하며, 'AI 저항성'이라는 표현이 기술적 근거가 부족한 과장일 수 있다고 비판합니다. 자동화된 봇이 이 챌린지를 통과할 가능성을 배제할 수 없다는 지적입니다.

일부 사용자는 GrapheneOS와 같은 강화된 보안 환경을 사용함에도 불구하고, 이러한 변화로 인해 별도의 기기를 뱅킹 앱이나 캡챠용으로 준비해야 할 수도 있다고 토로합니다. 이는 개인 기기 사용의 편리성을 크게 저해하며, QR 코드 스캔을 꺼리는 사용자는 해당 웹사이트 이용을 포기할 가능성이 높다는 의견도 있습니다.