가입이 갑자기 왜 이렇게 까다로워졌을까
최근 새로 Gmail 계정을 만들려고 시도해본 분들 중에 '어, 이게 뭐지?' 하셨던 분들이 꽤 있을 거예요. 구글이 신규 가입 절차에 새로운 단계를 슬쩍 추가했거든요. 절차가 어떻게 바뀌었냐면, 가입 도중 화면에 QR코드가 뜨고, 사용자가 본인 휴대폰으로 그 QR코드를 찍은 다음, 휴대폰에서 구글로 SMS 문자를 직접 보내야 인증이 완료돼요. 예전처럼 구글이 내 폰으로 인증번호를 보내주는 게 아니라, 내가 구글한테 문자를 보내는 방식이에요. 이게 privacyguides.net 커뮤니티에서 처음 알려지면서 보안·프라이버시 쪽에서 진지하게 논의되고 있어요.
왜 이게 문제가 되냐면, 이 방식은 단순히 전화번호를 확인하는 게 아니거든요. SMS를 발신하면 통신사 단계에서 발신자 정보(IMSI, IMEI, 발신 기지국 위치 등)가 통신망에 기록돼요. 구글은 그 발신 메타데이터까지 받을 수 있고, 그러면 '이 휴대폰이 실제로 활성화돼서 통신사 망에 연결돼 있다'는 강한 증거를 확보하게 돼요. 기존 방식(수신 인증)은 VoIP 가상번호나 임시 SMS 수신 서비스로 우회가 쉬웠는데, 발신 인증은 그게 거의 불가능해지죠.
기술적으로 어떻게 동작하나
조금 더 깊이 들어가 볼게요. 'SMS를 발신한다'는 건 통신사의 SMSC(Short Message Service Center) 서버를 거친다는 의미예요. 발신 시점에 통신사는 사용자의 SIM 카드 정보와 단말기 정보를 검증하고 로그를 남겨요. 구글이 받는 건 메시지 본문(보통 짧은 인증 코드) 자체이긴 하지만, 그 메시지가 도착한 시점·발신 번호·서비스 경로를 종합하면 'A라는 휴대폰이 B시각에 C기지국 근처에서 실제로 발신했다'는 정보가 확정돼요. 봇이나 자동화 도구로 SMS를 발신하려면 실제 SIM과 모뎀이 있어야 하기 때문에 비용이 확 올라가요.
구글이 이걸 도입한 이유는 명확해요. 봇 계정 차단이에요. Gmail은 스팸과 사기성 계정 양산의 표적이고, 특히 생성형 AI가 등장한 뒤로 가짜 계정으로 ChatGPT, Gemini 같은 무료 API 키를 발급받아 악용하는 사례가 폭증했어요. 한 사람이 SMS 수신 사이트로 수십 개의 가짜 Gmail을 만들던 게 가능했던 환경이었거든요. 이제 SMS 발신을 요구하면 가짜 계정 한 개 만드는 비용이 수신 인증 때보다 10배 이상 비싸지는 셈이에요.
프라이버시 진영이 우려하는 이유
근데 보안과 프라이버시는 종종 충돌해요. 보안 강화는 좋지만, 이 방식은 몇 가지 부작용을 낳아요.
첫째, 익명성의 종말이에요. 그동안은 활동가, 기자, 내부고발자, 가정폭력 피해자처럼 본인 실명·실번호로 메일을 만들 수 없는 사람들이 임시 번호로 Gmail을 만들 수 있었어요. 이제 그게 사실상 불가능해져요. 구글이 본인 실제 통신사 계약과 연결된 번호를 강제하니까요.
둘째, 국가별 비대칭이에요. SMS 발신 요금이 무료에 가까운 한국·미국과 달리, 일부 국가는 국제 SMS 발신에 건당 0.5~1달러가 부과돼요. 가난한 나라 사용자에게는 그냥 '돈 내고 Gmail 만들어라'는 진입 장벽이 되는 셈이죠.
셋째, 메타데이터 축적이에요. 구글은 이미 검색 기록, 위치, 광고 ID로 사용자 프로파일을 만들고 있는데, 여기에 통신사망 연결 시점의 데이터까지 더해지면 추적 정밀도가 또 한 단계 올라가요.
업계 흐름에서의 위치
이 변화는 사실 구글만의 결정이 아니에요. Microsoft도 신규 Outlook 가입에 본인 인증을 강화했고, Apple ID는 이미 결제수단 등록을 사실상 요구해요. Twitter/X는 SMS 2단계 인증을 유료화했고, Discord와 Telegram도 신규 계정 검증을 계속 빡빡하게 만들고 있어요. AI 시대에 들어서면서 '진짜 사람인지'를 증명하는 비용이 전반적으로 올라가고 있는 거예요.
World ID(샘 알트먼의 홍채 인식 프로젝트), Apple의 Private Access Tokens, Cloudflare의 Turnstile 같은 'proof of personhood(사람임을 증명)' 기술들이 빠르게 발전하고 있는데, 결국 어느 쪽이든 사용자에게는 가입 한 번 하기가 점점 더 번거로워지는 방향으로 가고 있어요.
한국 개발자에게 의미하는 것
서비스 만드는 입장에서 이 흐름은 두 가지로 다가와요. 하나는 우리 서비스에 'Sign in with Google'을 붙여놨다면 가입 전환율이 떨어질 수 있다는 점. 특히 글로벌 서비스라면 일부 국가 사용자는 아예 Google 계정 만들기 자체에 실패할 수 있어요. 다른 하나는 봇 방지의 부담이 점점 클라이언트(=가입자) 쪽으로 옮겨가고 있다는 점이에요. 우리 서비스도 결국 비슷한 선택을 해야 할 시점이 와요. 가짜 계정을 막을 거냐, 진입 장벽을 낮출 거냐.
참고로 기존에 가입한 Gmail 계정에는 이 정책이 적용되지 않아요. 신규 가입에만 해당돼요. 만약 부계정이 필요하다면 지금이라도 미리 만들어두는 게 나을 수도 있겠네요. 여러분은 어떻게 보세요? 봇 방지를 위한 합리적인 비용일까요, 아니면 디지털 자유에 대한 침해일까요?
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공