유럽의 “연령 확인” “앱”은 모두에게 Android 또는 iOS 사용을 강요함
요약
유럽 연령 확인 앱 개발 논의에서 Google Play Integrity API와 Apple App Attestation 같은 특정 플랫폼 의존성이 제기되면서, 디지털 주권 및 접근성 문제가 핵심 쟁점으로 부상했습니다. 참여자들은 모든 사용자에게 열려야 한다는 상호운용성과 개방형 표준 기반의 시스템 구축을 요구하며, 미국 빅테크 기업에 대한 기술적 종속성을 피해야 한다고 주장합니다.
핵심 포인트
- 특정 OS(Android/iOS) 의존성은 디지털 주권 및 접근성 원칙과 충돌함.
- 모든 사용자에게 열린 개방형 표준 기반의 시스템이 필요하다는 요구가 중심임.
- Google Play Integrity 등 특정 공급자 증명은 기술적 종속성을 심화시킴.
- 스마트폰이나 Google 계정 없이도 서비스 이용이 가능해야 함.
토론 개설 당시 기술 명세 README에는 Google Play Integrity API와 Apple App Attestation을 이용한 앱·기기 검증이 적혀 있었으며, 이를 연령 확인의 전제로 삼으면 미국 플랫폼 사업자와 특정 모바일 운영체제에 의존하게 된다는 반대가 제기됨
특정 공급자의 증명을 요구하면 Google·Apple 소프트웨어가 없는 기기, 대체 Android 배포판, 스마트폰이 없는 사용자가 배제되고, 누구나 이용하며 사용자가 통제하고 여러 운영체제·지갑과 연동한다는 접근성·상호운용성 원칙과 충돌함
대안으로 Yivi, 표준 Android 하드웨어 증명, Digital Credentials API 기반 웹 앱, 국가 신원 제공자가 일회용 도전에 서명하는 방식, Unified Attestation 등이 거론됐지만 Yivi와 Unified Attestation도 각각 중앙 발급자·외부 생체 서비스 또는 다른 증명 사업자에 신뢰가 집중된다는 반론이 나옴
이탈리아 디지털 지갑의 Play Integrity 관련 다수 이슈와 Google 계정·정식 ROM 의존 문제가 사례로 제시됐으며, 공격자는 증명을 우회하거나 다른 사람에게 QR 코드를 대신 스캔하게 할 수 있어 정상 사용자만 제한할 수 있다는 실효성 비판도 이어짐
정부 서비스는 특정 기업 기술이 아니라 누구나 구현할 수 있는 개방형 표준을 기반으로 해야 한다는 요구가 중심이며, 제공된 토론에는 Google·Apple 증명 통합 여부에 관한 공식 결정이나 최종 해결 결과가 나타나지 않음
제안된 앱·기기 검증과 핵심 반대
토론 개설 당시 README에는 “Google Play Integrity API와 Apple App Attestation에 기반한 앱 및 기기 검증”이 다음 단계로 적혀 있었음
연령 확인을 이들 서비스에 연결하면 EU의 미국 기술 기업 의존과 미국의 인터넷 통제력이 더 커진다는 우려가 출발점이었음
디지털 주권을 위해 외부 제3자 서비스 의존 자체를 피해야 하며, 의존성이 추가될 때마다 잠재적인 보안 문제의 생태계도 함께 생긴다는 의견이 나옴
이후 한 참여자는 해당 문구가 README에 더는 없다고 답했지만, 변경 경위나 공식 결정은 제공된 본문에 없음
이 토론은 2025년 7월 31일 이슈 #18에서 Discussion으로 전환됐으며, 본문에는 최종 채택·철회 결과가 없음
접근성·사용자 통제·상호운용성
특정 운영체제와 공급자에 묶인 연령 확인은 조직이 내세운 다음 원칙과 충돌한다는 비판을 받음
사용을 원하는 누구에게나 제공할 것
사용자가 통제할 것
기술 명세의 상호운용성 원칙은 다양한 기기 운영체제, 지갑 앱, 온라인 서비스 사이의 원활한 통합을 요구하므로 Android·iOS 공급자별 증명에 의존하는 설계와 맞지 않는다는 지적이 나옴
Google이나 Apple 소프트웨어를 쓰지 않는 사용자, 비 Google 휴대전화 이용자가 많은 남유럽 지역, 대체 ROM·microG 사용자, 스마트폰이 없는 사람은 이용이 막힐 수 있음
Nokia 3310이나 노트북만 사용하는 사람도 접근할 수 있는지, 스마트폰·Google 계정·충전된 기기를 시민 서비스 이용 조건으로 삼을 수 있는지에 대한 질문이 이어짐
오픈소스로 코드를 공개해도 모든 참여자가 증명을 강제하면 수정한 포크는 실제 서비스에서 인정받지 못해 실질적인 포크 가능성이 사라진다는 비판도 나옴
기존 구현과 Play Integrity 사례
Google 의존성 없이 정부 연령 확인에 사용할 수 있는 네덜란드 신원 앱 Yivi가 대안 사례로 거론됨
이전 이름은 IRMA이며 F-Droid 같은 오픈소스 앱 스토어에서도 제공됨
일부 지원 플랫폼에서는 정부 연령 확인에 사용할 수 있으므로 Play Integrity가 필수는 아니라는 근거로 제시됨
다만 Yivi의 NFC 여권 등록도 의존성 없는 구조는 아님
원시 NFC 데이터 그룹을 중앙 발급자 서버로 전송함
DG1의 전체 MRZ와 DG2의 얼굴 이미지가 필수이며, 서버가 이름·문서 번호·국적·생년월일·성별을 파싱함
얼굴 일치는 Regula의 제3자 API를 사용함
데이터가 일시적으로 처리되고 발급자를 자체 호스팅할 수 있더라도, 기기 증명과 다른 형태의 중앙 신뢰 집중이라는 반론이 나옴
EU의 거대한 디지털 주권 논의에서 정작 외면받는 핵심 문제다. EU 기관들은 결국 미국 클라우드에서 이전해야 한다는 방향을 받아들이기 시작했지만, 비용이 막대해 예전으로 돌아가길 바라는 분위기도 여전하다
반면 모바일 플랫폼에는 거의 관심이 없다. 데스크톱의 Linux 같은 대안도 없고, 기존 대안에 자금도 지원하지 않으며, EU에서 Android 폰을 판매하려면 펌웨어를 공개하고 대체 운영체제 설치를 허용하도록 강제하자는 논의조차 없다. 백엔드 쪽은 주권의 의미를 어느 정도 이해했지만, 최종 사용자 기기가 만드는 디지털 예속에 대해서는 훨씬 더 많은 교육이 필요해 보인다
완전히 사실은 아니다. 지원 가능한 모바일 운영체제를 만들려는 자유 소프트웨어 프로젝트 2개에 참여하는 사람들을 알고 있는데, 과거와 달리 지금은 자금을 받고 있다
주권형 AI가 모바일 운영체제보다 중요하다는 AI 기업들의 로비와 여전히 경쟁해야 하지만 관심은 커지는 중이다. Linux 기반 Android 대안 자체는 그리 어렵지 않을 수 있으나, 하드웨어 업체가 전용 기기를 만들도록 설득하기가 어렵다. 정부가 먼저 보안용 공공 기기로 밀어야 할 듯하다
Jolla나 Sailfish 같은 프로젝트에 자금을 지원할 수도 있다
모바일은 사용자 인터페이스와 사용자 경험 측면에서 달 착륙이나 세계의 불가사의에 가까운 성취다. 복제가 불가능하다는 뜻은 아니지만, 실제로 쓸 만한 모바일 플랫폼을 만들려면 그 엄청난 난도를 제대로 존중해야 한다
AOSP가 대안이 될 수 있지 않나
이 모든 것은 정치적 움직임이다. 이른바 EU 주권 강화는 실제로 회원국의 권한과 통제권을 EU로 더 이전해 국가 주권을 약화하려는 것에 가깝다
디지털 신원 지갑도 회원국이 신원 인프라 통제권을 잃고 EU가 이를 장악하게 만든다. 국가 차원의 주권은 거의 남지 않게 된다
기술적으로 모든 사람에게 연령 확인을 강제할 방법을 고민하는 함정에 빠져서는 안 된다. 먼저 물어야 할 것은 왜 이를 모두에게 강요하느냐는 것이며, 나도 당신도 이에 동의한 적이 없다
정치인들이 아이들을 보호하는 데 필요하다고 하니 사실일 것이고, 반대하면 아이들과 민주주의에 위험하며 대안도 없다는 식이다
정치인들이 시민의 발언권 없이 주변 세계 전체를 계속 바꾸는 통치 구조에는 심각한 문제가 있다. 이 조치는 인터넷과 사회에 큰 위협인데도 실질적인 토론이나 저항 없이 추진되고 있다. 제대로 된 민주주의라면 이렇게 작동해서는 안 된다
EU는 누구도 동의하지 않았고 현실적인 민주적 영향력도 행사하기 어려운 일을 아주 많이 한다. 나는 영국에 살며 Brexit에 강하게 반대하지만, 영국이 EU에 남았더라도 European Commission의 닫힌 문 뒤에서 벌어지는 일에 어떻게 영향을 줄지 알 수 없었을 것이다
현재 영국의 Labour와 Conservative도 이런 사안에서는 통제 불능이지만, 적어도 이론상 정책에 영향을 줄 방법은 알고 있다
나도 전적으로 동의하지만, 이런 권력 구조에서 시민의 동의가 중요했던 적은 거의 없다
GitHub 이슈의 논지에는 전적으로 동의하지만, 정부가 발급하는 연령 확인 앱 자체를 회의적으로만 볼 필요는 없다. 현재 방식은 훨씬 나쁘다
13세 아들이 Roblox 게임을 만드는데, 몇 달 전부터 친구와 게임을 공유하려면 연령 확인을 해야 한다. Roblox에서는 수상한 미국 업체에 얼굴의 3D 형상을 넘겨야 하고, 업체는 나중에 삭제하겠다고 약속할 뿐이다. 아이의 생체 정보나 여권을 임의로 판매할 수 있는 미국 기술 기업에 주고 싶지 않다
차라리 개인정보 보호가 보장되고 데이터를 판매할 사업상 유인이 없으며 Roblox 같은 업체에 어떤 정보가 전달되는지 확인할 수 있는 정부 앱이 낫다. 정부가 미국 기술 기업보다 신뢰할 만해야 성립하는 얘기지만, 현재 EU와 다수 회원국은 그렇다고 본다. 네덜란드의 코로나 추적 앱처럼 개인정보 보호를 잘 구현한 공공 앱도 이미 있다
가족 모두가 연령 확인을 할 때 같은 연장자인 나를 사용한다. 지금까지 한 번도 실패하지 않았고, 데이터의 신뢰성도 흐려 놓을 수 있다
정부 발급과 기업 발급 중 하나만 선택해야 한다는 것은 거짓 양자택일이다. 연령 확인을 요구하는 게임을 거부하는 방법도 있으며, 우리 집 청소년에게는 실제로 Roblox를 그렇게 금지했다
미국 기업의 연령 확인이 초래하는 개인정보 문제에는 공감하지만, 정부 개인정보 등록부도 역사적으로 위험했다
제2차 세계대전 당시 네덜란드 주민등록부는 종교를 꼼꼼히 기록했고, 점령된 서유럽에서 가장 높은 약 75%의 네덜란드 유대인이 살해되는 데 크게 작용했다. 1942년 미국 Census Bureau는 비밀 보장에도 일본계 미국인의 구역별 정보를 제공했고, 이후 연구에서는 이름과 주소까지 공유한 사실이 드러났다. 르완다에서는 벨기에 식민 정부가 1930년대 신분증에 후투족과 투치족을 기록했고, 60년 뒤 학살 검문소의 핵심 도구가 됐다
지금의 유럽이 안전해 보여도 특정 목적으로 수집한 정보는 시대가 바뀌면 전혀 다른 목적으로 쓰일 수 있다. 미래 정권이 어떤 민족, 신념, 행동, 개인사를 표적으로 삼을지는 알 수 없으며, 우리가 기록을 허용한 모든 데이터가 그들의 손에 들어간다. 유럽 정부들도 불과 수십 년 전 이런 일을 했고, 현재의 평화로운 시대는 역사적으로 이례적이며 많은 이에게 일시적일 가능성이 크다
이런 식으로 동의를 인위적으로 만들어낼 수도 있겠다
정부와 Roblox 양쪽에 동시에 화를 내도 된다. Roblox 대신 PICO-8, Löve, Godot, Rpgmaker, Game maker 등으로 만든 게임을 자유롭게 공유할 수 있다 다크 패턴과 폐쇄형 생태계로 가득한 Roblox를 굳이 사용할 필요가 없다
사용하지 말고 고려조차 하지 말아야 한다. 이 시스템을 쓰지 않겠다는 뜻을 가능한 모든 방법으로 알리고 친구들에게도 권해야 한다
이들은 주권을 말하면서 정반대 행동을 한다. EU를 전적으로 지지하더라도 Commission을 표로 막을 수 없다면 행동으로 거부 의사를 보여야 한다
스마트폰을 사용할 수 없는 노인들의 디지털 소외를 걱정하던 태도가 최근 몇 년 사이 사라진 것이 우습다
스마트폰을 그저 좋아하지 않는 젊은 층도 존재한다
이 법의 초점은 청소년에게 있으며, 감시를 정상적인 것으로 학습시키려는 의도가 아닌지 의심스럽다
휴대전화가 없거나 사용할 줄 모르고 도움받을 사람도 없는 노인은 빠르게 줄어들 것이다. 내가 접한 바로는 주로 제2차 세계대전을 기억하는 세대와 겹친다
노인들은 자신이 소셜 미디어를 쓰지 않으니 영향을 받지 않는다고 여길 수 있지만, 대상은 노인만이 아니다. 인터넷 서비스에 접근하려고 미국이든 유럽이든, 모바일이든 데스크톱이든 특정 플랫폼 사용을 강요받는 것 자체가 근본적으로 잘못됐다
애초에 디지털 활동을 전혀 하지 않는다면 디지털 신원을 관리해야 할 일도 없으므로, 이 문제는 해당 노인들과 관련이 적다
“아이들을 보호해야 한다”는 로비는 사람들을 속이는 명분일 뿐이다. 처음부터 아이들이 목적이 아니라 권위주의적 시스템을 강제하기 위한 편리한 구실이었다
제대로 검토하지 않은 규제는 취지가 좋든 나쁘든 예상 밖의 결과를 낳을 수 있다. 지금도 방문하는 웹사이트마다 쿠키와 관련된 법적 동의를 반복해야 해서, 이제는 신경 쓰지 않고 아무 버튼이나 누르게 된다
사용자 설정은 매번 달라지지 않는데 왜 브라우저가 쿠키 팝업을 자동 처리하지 못하는지 모르겠다. 지나치게 성가신 작업이므로 자동화해야 한다
개인정보를 보호하는 척하면서 기업 친화적 정책도 유지하려 할 때 생기는 문제다. 규제는 쿠키 배너 자체를 의무화한 것이 아니라 추적하지 않거나 배너를 표시하도록 했다
감시 자본주의로 돈을 버는 기업은 당연히 배너를 선택한다. 추적을 전면 금지할 수도 있었지만 사업에 해롭다는 이유로 그렇게 하지 않았다
Android를 쓰든 iOS를 쓰든, 거의 모든 인터넷 서비스에 접근하려면 특정 플랫폼을 강제로 사용해야 하는 것은 옳지 않다
이것이 유일한 연령 확인 수단일 때만 문제가 된다. 다른 방식도 계속 제공하면서 99.9999999%의 사람에게 훨씬 편리해진다면 도입하지 않을 이유가 없다
이 방식이 장애인, 노인, 특정 종교 신념을 보호하는 법률과 어떻게 양립하는지 의문이다. 정부 업무는 대리인이나 종이를 포함해 반드시 다른 수단을 제공하는 다중 방식으로 운영해 왔는데, 이것은 지나치게 가혹한 접근이다
연령 확인을 구현하도록 강제받는 서비스는 앞으로 아예 사용하지 않는 쪽으로 기울고 있다
아플 때 의사를 만나거나, 급여를 받을 은행 계좌를 개설하거나, 기차·항공권을 사는 데도 필요해질 수 있다
소셜 미디어보다 걱정되는 것은 이런 디지털 인증이 필수 서비스에 미치는 영향이다. 단순히 사용하지 않겠다는 태도로는 해결할 수 없다
법을 바꿔 Google 스토어 앱이 없으면 사회에서 배제하는 식으로 미국 기업 사용을 강제할 수도 있다. 연령 탐지가 모든 사람을 감시하는 궁극적 도구이므로 이것이 실제 목적일 가능성이 크다
아이들은 처음부터 목적이 아니라 사람들의 주의를 돌리기 위한 구실로 이용될 뿐이다
AI 자동 생성 콘텐츠
본 콘텐츠는 GeekNews의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기