본문으로 건너뛰기
J
피드

EU 의회, 'Chat Control' 대량 감시 단 1표 차로 최종 폐기 — 진짜 아동보호로의 전환점

security 약 7분
tags
#privacy#eu#surveillance#encryption#chat-control
vote
0
댓글
북마크

EU 의회가 미국 빅테크의 개인 메시지 무차별 스캔(Chat Control)을 단 1표 차이로 최종 부결시킴. 4월 4일부터 Meta·Google·Microsoft의 유럽 시민 채팅 대량 감시가 중단됨. 다만 Chat Control 2.0 영구 규정 협상과 메신저 나이 인증 의무화가 다음 전투로 남아 있음.

  • 1

    단 1표 차이로 개인 사진·텍스트 자동 판별 기능 부결, 이후 전체 수정안도 과반 확보 실패

  • 2

    신고의 99%가 Meta에서 나오고, 48%가 범죄 무관 데이터 — Chat Control은 완전한 실패작이었음

  • 3

    PhotoDNA 알고리즘이 학술 연구에서 '신뢰할 수 없음'으로 판명, 오류율 13~20%

  • 4

    스캔 수십억 건 중 실제 불법 자료는 0.0000027%에 불과

  • 5

    Chat Control 2.0 영구 규정과 메신저 나이 인증 의무화 협상이 계속 진행 중

무슨 일이 있었나

  • EU 의회가 미국 빅테크 기업들의 개인 메시지 무차별 대량 스캔(Chat Control)을 최종 폐기시킴. 3월 13일 1차 부결 이후 보수파가 재투표를 밀어붙였는데, 오늘 최종 투표에서 완전히 끝장남
  • 핵심은 단 1표 차이로 미공개 사진·채팅 텍스트의 자동 "의심/비의심" 판별 기능이 부결된 것임. 이후 수정안 전체 투표에서도 과반 확보 실패
  • 4월 4일부터 EU 임시규정(2021/1232)이 만료되면서, Meta·Google·Microsoft 등 미국 기업들은 유럽 시민의 개인 채팅 무차별 스캔을 중단해야 함. 디지털 통신 비밀이 복원되는 거임

Chat Control이 왜 실패작이었나 — 숫자로 보는 팩트

  • 유럽 경찰 신고의 약 99%가 Meta 단일 기업에서 나옴. 미국 기업이 유럽의 민간 보조 경찰 역할을 한 셈인데, 유럽 측 감독은 사실상 없었음
  • 독일 연방범죄수사청(BKA) 기준 신고된 채팅의 48%가 범죄와 무관한 쓰레기 데이터임. 정작 필요한 표적 수사에 투입할 자원을 낭비하고 있었다는 거임
  • 독일 범죄통계상 수사 대상의 약 40%가 청소년 — 합의 하에 이미지를 공유한 10대들이 범죄자로 분류되는 구조였음
  • 종단간 암호화(E2EE) 전환이 진행되면서 경찰 신고 건수가 2022년 대비 50% 감소. 이 모델 자체가 이미 시대에 뒤떨어진 거임
  • EU 집행위원회 자체 보고서에서도 대량 감시와 실제 유죄 판결 사이에 측정 가능한 상관관계가 없다고 인정함

⚠️주의

> 스캔된 수십억 건의 메시지 중 실제 불법 자료는 0.0000027%에 불과했음. 나머지는 전부 오탐(false positive)이거나 무관한 데이터였다는 거임.

PhotoDNA 알고리즘, 학술적으로도 "신뢰할 수 없음" 판명

  • 저명한 IT 보안 연구자들이 빅테크가 Chat Control에 사용하는 표준 알고리즘 PhotoDNA를 분석한 새 논문이 발표됨
  • 결론은 "unreliable(신뢰할 수 없음)"이었음. 범죄자가 이미지에 단순한 테두리만 추가해도 스캐너를 우회할 수 있고, 반대로 무해한 이미지를 조작해서 무고한 시민을 경찰에 허위 신고되게 만들 수도 있음이 증명됨
  • IT 연구자 공개서한에서도 "false positive는 불가피하다"고 밝혔고, EU 집행위원회 자체 문서에서도 알고리즘 오류율이 13~20%라고 기록되어 있었음

찬성 측의 허위 주장 팩트체크

  • "의회가 3자협상(trilogue)을 무산시켰다" → 사실은 EU 각료이사회(Council)가 의도적으로 협상을 결렬시킨 것임. 유출된 이사회 내부 문서에서 어떤 양보도 Chat Control 2.0의 선례가 될까 봐 거부한 것으로 드러남
  • "Chat Control 없으면 수사기관이 눈이 멀게 된다" → 영장 기반 표적 감청은 여전히 합법임. 실제로는 BKA가 인터넷에서 학대 자료 삭제 자체를 체계적으로 거부해온 것이 ARD 탐사보도로 밝혀짐. 독일 범죄수사관 연합(BDK)도 대량 감시가 "실제 수사 단서 없는 제보의 홍수"만 만든다고 경고함
  • "피해자들이 원하는 것이다" → 실제 생존자들은 오히려 감시에 법적 소송으로 맞서고 있음. 생존자 Alexander Hanff는 "프라이버시를 빼앗는 것은 우리를 더 해치는 것"이라고 밝힘. 바이에른의 한 생존자는 현재 Meta를 상대로 소송 중임

로비 머신의 실체

  • Chat Control 추진의 배후에는 미국 단체 Thorn이 있었음. Thorn은 문제의 스캐닝 소프트웨어를 판매하는 회사인데, 브뤼셀에서 수십만 유로 규모의 로비를 진행해옴
  • Balkan Insight 탐사보도에서 ECLAG 소속 단체들이 빅테크 기업 자금을 받고 있다는 것이 드러남. 아동 보호를 명분으로 내세웠지만, 실제로는 자사 수익과 데이터 접근을 확보하려는 구조였다는 거임

중요

> 이건 끝이 아님 — Chat Control 2.0 영구 규정 3자협상이 계속 진행 중이고, 곧 메신저·앱스토어에 나이 인증 의무화 협상이 예정되어 있음. 신분증 제출이나 안면 스캔을 요구하게 되면 익명 통신이 불가능해지는 거임.

앞으로의 방향 — "Security by Design"

  • EU 의회와 시민사회·IT 보안 전문가들이 제시하는 대안은 감시가 아닌 Security by Design 패러다임임
  • 앱 설계 단계부터 엄격한 기본 설정과 보호 메커니즘으로 사이버그루밍(cybergrooming)을 기술적으로 차단하는 방식
  • 사법부 확인된 혐의에 기반한 표적 통신 감청만 허용
  • 새로운 EU 아동보호센터를 통한 능동적 수색 + 제공자·수사기관의 즉각 삭제 의무 — 불법 자료를 원천에서 제거하는 것이 핵심임. 수사기관이 "삭제는 우리 소관이 아니다"라고 발뺌하는 관행을 끝내야 한다는 거임

Patrick Breyer(해적당): "대량 감시로 경찰에 오탐과 중복 신고를 쏟아부어서는 단 한 명의 아이도 구하지 못함. 오늘의 Chat Control 최종 폐기는 감시 광기에 대한 명확한 정지 신호임."

대량 감시가 아동보호에 효과가 없다는 것이 EU 자체 데이터로 증명된 사례임. Security by Design과 표적 수사로의 패러다임 전환이 기술 업계 전체에 시사점을 줌.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다

오페이크가 AI 에이전트의 ID, 실행 환경, 도구 호출, 정책 적용 여부를 암호학적으로 검증하는 오페이크 3.0을 공개했다. 핵심은 에이전트 매니페스트와 컨피덴셜 MCP라는 두 오픈소스 기술이며, 기밀 컴퓨팅과 서명된 실행 증거를 결합해 감사자나 규제기관도 독립적으로 확인할 수 있게 하는 방향이다. AI 에이전트가 업무 시스템과 데이터를 직접 만지는 시대에는 접근 권한보다 ‘무슨 일을 했는지 증명할 수 있느냐’가 더 중요해지고 있다.

security

취약점 제보가 더 이상 특별하지 않은 시대가 왔다

전 Go 보안팀 리드였던 필리포 발소르다가 LLM 이후 취약점 제보의 의미가 바뀌었다고 주장한다. 예전에는 희소한 통찰과 비공개 제보가 귀했지만, 이제는 잠재 취약점을 찾는 것보다 실제 영향도를 빠르게 가려내는 triage가 병목이라는 얘기다.

security

스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드의 보안 취약점과 사용된 오픈소스를 실시간으로 검사하는 보안 어시스턴트 ‘Sparrow MCP’를 출시했다. 핵심 기능은 취약점 분석과 소프트웨어 자재명세서(SBOM) 생성이며, 앤트로픽의 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI와 연결할 수 있다는 점이다. AI 코딩이 빨라질수록 보안 검증과 오픈소스 추적이 개발 파이프라인 안으로 더 깊게 들어오는 흐름이다.

security

오픈AI, 오픈소스 취약점 고치는 ‘패치 더 플래닛’ 시작

오픈AI가 트레일 오브 비츠와 함께 주요 오픈소스 프로젝트의 취약점을 AI로 찾고, 사람 검토를 거쳐 실제 패치까지 연결하는 프로그램을 시작했다. 파이썬, 고, cURL, 시그스토어, NATS 서버 같은 핵심 프로젝트가 초기 대상이고, 지금까지 수백 건의 보안 이슈와 수십 건의 병합된 패치가 나왔다. 핵심은 AI가 보안팀을 대체하는 게 아니라, 탐지·검증·패치·공개 조율을 빠르게 만드는 보조 엔진이라는 점이다.

security

오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다.