2026년 모두 reCAPTCHA를 떠나는 이유

reCAPTCHA는 10년간 명백한 기본값이었음. 스크립트 태그 박고, 제출 시 시크릿 키 전송, 방문자가 봇인지 답 받기. 월 100만 요청까지 무료, 충분히 정확해서 생각도 안 함.

2023~2026 사이 세 가지가 그 기본값성을 깨뜨림.

프라이버시 규제가 진짜 이빨 갖춤

CNIL이 2022년 적절한 동의 없이 reCAPTCHA 사용한 프랑스 기관에 벌금, 2023년 독일 DPA 동참, 2025년 중반까지 reCAPTCHA를 부적절한 공개로 콕 집은 EU 집행 사례 12건 문서화. Schrems II 판결이 EU 사용자 데이터를 미국 서버로 전송하는 걸 진짜 복잡하게 만듦. EU 트래픽 있고 reCAPTCHA 쓰면, Google 데이터 처리 언급하는 명시적 동의 배너 필요, 아니면 교체.

미국 쪽도 따라옴: 캘리포니아 프라이버시법(CCPA, 이후 CPRA)은 reCAPTCHA 금지 안 하지만 제3자 데이터 판매 공개 요구, Google 개인정보처리방침이 광고 개인화 위해 데이터 사용 권리 유보할 때 어색.

Cloudflare Turnstile이 정확도 격차 좁힘

2022년 10월 출시 당시 Turnstile은 좋았지만 reCAPTCHA v3만큼은 아님. 2024년 대부분 공개 폼에 충분히 좋음, 2026년 일반 봇 트래픽 격차가 댓글 폼, 가입 폼, 컨택 폼, 대부분 공개 웹 폼에서 차이 못 느낄 만큼 작음. Cloudflare 네트워크는 크로스사이트 행동 이력 없이도 고정확도 점수화에 필요한 IP 평판 구축할 만큼 트래픽 봄.

고가치 계정 가입(은행, 거래소, 게임, 티켓팅)은 크로스사이트 행동 시그널 도움 덕에 reCAPTCHA가 여전히 의미 있는 우위. 단 reCAPTCHA가 지배하던 댓글 폼 시장보다 훨씬 작은 시장.

무료 대안이 실제로 무료가 됨

reCAPTCHA는 항상 100만 요청까지 무료였지만 모든 사이트가 프라이버시 비용 지불. 2026년 Turnstile은 사용량 한도 없는 무료 + 프라이버시 비용 없음. ALTCHA는 MIT 라이선스 셀프호스팅 가능 + 사용량 한도 없음 + 프라이버시 비용 없음. Friendly Captcha는 유료(€9/월)지만 EU 호스팅 + 프라이버시 깔끔. 선택지는 더 이상 "추적 있는 무료" vs "프라이버시 있는 유료" 아님 , "프라이버시 있는 무료" vs "추적 있는 무료".

프라이버시 있는 무료가 존재하면 reCAPTCHA의 락인 비용은 말이 안 됨. 2025~2026년 얘기 나눈 대부분 CTO는 엔지니어 1명 1일 마이그레이션 프로젝트 돌리고 끝냄.

대신 쓸 것

대부분 사이트: Cloudflare Turnstile. 무료, reCAPTCHA와 드롭인 호환, Cloudflare 프라이버시 스토리가 호스티드 옵션 중 가장 깔끔.

엄격한 EU 컴플라이언스 사이트: Friendly Captcha. EU 호스팅, 완전 DPA, 국경간 데이터 이슈 없음.

셀프호스팅 + 벤더 의존성 0: ALTCHA. MIT 라이선스, 단순 통합, 감사 가능한 작은 코드.

실제 정교한 봇 농장 직면 사이트(거래소, 티켓팅, 고가치 가입): Arkose Labs 또는 reCAPTCHA Enterprise. 실제 예산 필요.

패턴은 몇 년 전 Google Analytics에서 프라이버시 친화 대안으로 옮긴 것과 같음. 무료 프라이버시 친화 옵션이 존재하면 기본값이 뒤집힘. reCAPTCHA는 사라지지 않지만 새 빌드의 답은 더 이상 아님.