지메일 가입, 이제 QR 찍고 문자까지 보내야 할 수도

구글 계정 신규 가입 과정에서 이상한 인증 흐름이 보인다는 제보가 나옴 — QR 코드를 스마트폰으로 찍고, 사용자가 직접 구글에 SMS를 보내는 방식임

• 기존 SMS 인증은 보통 “구글이 내 번호로 코드를 보내고 내가 입력”하는 식이었음
• 이번 제보는 반대로 “내 폰이 구글 쪽으로 문자를 보내 번호를 증명”하는 형태라서, 프라이버시 커뮤니티에서 바로 반응이 터짐

보안 명분은 있음 — 가짜 번호나 SMS 수신 대행 서비스를 써서 계정을 대량 생성하는 걸 더 어렵게 만들 수 있으니까

• 글쓴이도 이 방식이 피싱이나 악용을 더 어렵게 만드는 논리는 인정함
• 다만 SMSpool 같은 SMS 인증 대행 서비스를 막는 효과도 있어서, 익명 계정을 만들려는 사용자에게는 장벽이 확 올라감

문제는 이게 단순한 “번호 확인”에서 끝나지 않을 수 있다는 점임

• QR을 스마트폰으로 스캔하는 순간, 사용자는 브라우저·기기·위치·네트워크 상태 같은 추가 신호를 더 노출할 수 있다고 우려함
• 특히 프록시나 VPN을 쓰는 사용자 입장에서는 “내 위치를 숨겼다고 생각했는데 스마트폰 쪽 신호로 다시 엮이는 거 아님?”이라는 의심이 생김

적용 범위는 아직 불명확함 — 모든 국가에서 항상 뜨는 건 아닌 듯함

• 토론 참여자에 따르면 어떤 때는 QR 코드가 뜨고, 어떤 때는 안 뜸
• QR을 찍어도 어떤 경우엔 SMS 발송을 요구하고, 어떤 경우엔 요구하지 않는다고 함
• 결국 프록시 품질, 접속 위치, 계정 생성 패턴, 기기 상태 같은 위험 점수 기반 시스템이 작동하는 것 같다는 추정이 나옴

SIM 실명 등록 국가에서는 더 찝찝한 질문이 생김

• 예를 들어 이탈리아처럼 SIM 구매나 사용에 신분증 등록이 필요한 나라에서 잠깐 번호를 사서 구글 계정을 만들었다고 치자는 거임
• 이후 인증 앱, YubiKey, 복구 코드까지 설정하고 SMS 없이 몇 달·몇 년 동안 계정을 쓰면, 구글이 그 초기 번호를 통해 실제 신원까지 추적할 수 있느냐는 질문이 나옴
• 번호가 재할당된 뒤에도 통신사나 정부가 “과거 이 번호를 누가 썼는지” 기록을 보관하는지 국가별로 확인해야 한다는 얘기도 이어짐

“덤폰 쓰는 사람은 어쩌냐”도 꽤 현실적인 지적임

• QR 스캔과 스마트폰 기반 인증을 전제로 하면, 의도적으로 피처폰을 쓰는 사람은 계정 생성 단계에서 막힐 수 있음
• 보안 강화를 이유로 스마트폰 보유를 사실상 강제하는 건 접근성 측면에서 깔끔하지 않음

개발자 입장에서 흥미로운 포인트는 계정 생성이 점점 “단일 인증값”이 아니라 “리스크 스코어링” 문제로 바뀌고 있다는 거임

• 전화번호 하나만 보는 게 아니라, IP·프록시·국가·기기·브라우저·행동 패턴을 합쳐서 인증 강도를 다르게 거는 구조로 보임
• 보안팀 입장에서는 당연한 방향인데, 사용자 입장에서는 어떤 조건 때문에 추가 인증이 걸렸는지 거의 알 수 없다는 게 문제임