--- title: "지메일 가입, 이제 QR 찍고 문자까지 보내야 할 수도" published: 2026-05-11T07:26:54.000Z canonical: https://jeff.news/article/2396 --- # 지메일 가입, 이제 QR 찍고 문자까지 보내야 할 수도 구글 계정 신규 가입 과정에서 QR 코드를 스마트폰으로 스캔하고, 사용자가 직접 구글로 문자를 보내는 방식의 전화번호 인증이 나타난다는 제보가 나왔다. 아직 모든 국가와 모든 가입 시나리오에 공통 적용되는지는 불확실하지만, 프록시 품질·위치·기기 상태 같은 위험 신호에 따라 인증 방식이 달라지는 것으로 보인다. 프라이버시를 중시하는 사용자 입장에서는 가상 SMS 번호 사용이 어려워지고, 기기·위치 정보 노출 우려도 커지는 변화다. > [!NOTE] > 이 내용은 공식 발표가 아니라 사용자 제보와 토론 기반임. 그래서 “전면 적용”이라기보다는 일부 조건에서 보이는 가입 흐름으로 보는 게 맞음. - 구글 계정 신규 가입 과정에서 이상한 인증 흐름이 보인다는 제보가 나옴 — QR 코드를 스마트폰으로 찍고, 사용자가 직접 구글에 SMS를 보내는 방식임 - 기존 SMS 인증은 보통 “구글이 내 번호로 코드를 보내고 내가 입력”하는 식이었음 - 이번 제보는 반대로 “내 폰이 구글 쪽으로 문자를 보내 번호를 증명”하는 형태라서, 프라이버시 커뮤니티에서 바로 반응이 터짐 - 보안 명분은 있음 — 가짜 번호나 SMS 수신 대행 서비스를 써서 계정을 대량 생성하는 걸 더 어렵게 만들 수 있으니까 - 글쓴이도 이 방식이 피싱이나 악용을 더 어렵게 만드는 논리는 인정함 - 다만 SMSpool 같은 SMS 인증 대행 서비스를 막는 효과도 있어서, 익명 계정을 만들려는 사용자에게는 장벽이 확 올라감 - 문제는 이게 단순한 “번호 확인”에서 끝나지 않을 수 있다는 점임 - QR을 스마트폰으로 스캔하는 순간, 사용자는 브라우저·기기·위치·네트워크 상태 같은 추가 신호를 더 노출할 수 있다고 우려함 - 특히 프록시나 VPN을 쓰는 사용자 입장에서는 “내 위치를 숨겼다고 생각했는데 스마트폰 쪽 신호로 다시 엮이는 거 아님?”이라는 의심이 생김 - 적용 범위는 아직 불명확함 — 모든 국가에서 항상 뜨는 건 아닌 듯함 - 토론 참여자에 따르면 어떤 때는 QR 코드가 뜨고, 어떤 때는 안 뜸 - QR을 찍어도 어떤 경우엔 SMS 발송을 요구하고, 어떤 경우엔 요구하지 않는다고 함 - 결국 프록시 품질, 접속 위치, 계정 생성 패턴, 기기 상태 같은 위험 점수 기반 시스템이 작동하는 것 같다는 추정이 나옴 - SIM 실명 등록 국가에서는 더 찝찝한 질문이 생김 - 예를 들어 이탈리아처럼 SIM 구매나 사용에 신분증 등록이 필요한 나라에서 잠깐 번호를 사서 구글 계정을 만들었다고 치자는 거임 - 이후 인증 앱, YubiKey, 복구 코드까지 설정하고 SMS 없이 몇 달·몇 년 동안 계정을 쓰면, 구글이 그 초기 번호를 통해 실제 신원까지 추적할 수 있느냐는 질문이 나옴 - 번호가 재할당된 뒤에도 통신사나 정부가 “과거 이 번호를 누가 썼는지” 기록을 보관하는지 국가별로 확인해야 한다는 얘기도 이어짐 - “덤폰 쓰는 사람은 어쩌냐”도 꽤 현실적인 지적임 - QR 스캔과 스마트폰 기반 인증을 전제로 하면, 의도적으로 피처폰을 쓰는 사람은 계정 생성 단계에서 막힐 수 있음 - 보안 강화를 이유로 스마트폰 보유를 사실상 강제하는 건 접근성 측면에서 깔끔하지 않음 - 개발자 입장에서 흥미로운 포인트는 계정 생성이 점점 “단일 인증값”이 아니라 “리스크 스코어링” 문제로 바뀌고 있다는 거임 - 전화번호 하나만 보는 게 아니라, IP·프록시·국가·기기·브라우저·행동 패턴을 합쳐서 인증 강도를 다르게 거는 구조로 보임 - 보안팀 입장에서는 당연한 방향인데, 사용자 입장에서는 어떤 조건 때문에 추가 인증이 걸렸는지 거의 알 수 없다는 게 문제임 > [!IMPORTANT] > 핵심은 “구글 가입에 SMS가 필요하다”가 아니라, 계정 생성 단계에서 전화번호·기기·위치 신호가 더 강하게 묶일 수 있다는 점임. 익명성이나 분리된 계정 운영을 기대하던 사용자에겐 꽤 큰 변화임. ## 핵심 포인트 - 구글 계정 가입 시 QR 코드 스캔 뒤 사용자가 직접 SMS를 보내는 인증 흐름이 일부 사용자에게 나타남 - 이 방식은 SMS 수신 대행 서비스 사용을 막는 효과가 있어 익명 계정 생성이 더 어려워짐 - 국가별 적용 여부와 발동 조건은 명확하지 않고, 프록시·위치·기기 신호에 따라 달라질 가능성이 큼 - SIM 실명 등록 국가에서는 전화번호 이력이 계정 식별성에 어떤 영향을 주는지도 쟁점으로 떠오름 ## 인사이트 이건 단순히 가입 UX가 귀찮아졌다는 얘기가 아니라, 대형 플랫폼이 계정 생성 단계에서 ‘번호 소유’와 ‘기기 신호’를 더 강하게 묶는 흐름으로 봐야 한다. 보안 명분은 이해되지만, 익명성·접근성·프라이버시를 포기하게 만드는 비용도 꽤 크다.