미국 하원, 기기 켤 때 '나이 인증' 의무화 법안 발의 — 애플·구글이 전국민 신원 검문소 되나

• 미국 하원의원 Josh Gottheimer가 4월 13일 발의한 법안 H.R. 8250(Parents Decide Act)이 파장임 — 애플, 구글, 모든 OS 벤더에게 미국에서 판매되는 모든 신규 기기의 사용자 나이를 검증하도록 강제함
  • "부모가 결정한다"는 친근한 이름을 달고 있지만, 실제 조항을 뜯어보면 미국 역사상 가장 공격적인 감시 의무화 법안에 속한다는 평
  • 표면은 아동 보호인데, 아동이 18세 미만임을 확인하려면 결국 모든 사용자의 신원을 식별해야 함 — 이게 진짜 노림수라는 지적

조항별로 뜯어보면 더 심각함

• Section 2(a)(1) — OS 제공자는 계정 생성뿐 아니라 기기를 사용하기 위해서도 사용자가 생년월일을 입력하게 해야 함

  • 성인 예외 조항 없음. 옵트아웃 없음. 그냥 폰을 켜려면 애플/구글한테 생일을 넘겨야 함
  • 저자 표현으로는 "나이 확인이 컴퓨터 소유의 입장료가 되는 구조"

• Section 2(a)(3) — OS 제공자는 앱 개발자가 사용자 나이 정보에 접근할 수 있는 시스템을 구축해야 함

  • 해석하면 애플/구글이 미국 전체 앱 생태계의 나이 브로커가 된다는 얘기
  • 18세 이상? 13세 이상? 21세 이상? 모든 앱이 OS에 ping만 쏘면 답이 나옴

데이터 보호는 사실상 FTC 숙제장

• Section 2(d)(1)(B) — FTC가 나중에 "생년월일이 안전하게 수집되고 유출되지 않도록" 규칙을 정해야 함

  • 그런데 이건 결과 요구일 뿐, 메커니즘은 전혀 없음
  • 보유 기간 제한, 최소화 요구, 2차 사용 제한, 애플/구글이 이미 가진 다른 식별자와 결합 금지 — 전부 없음
  • 부모/보호자 나이 검증 방법도 "FTC가 180일 안에 알아서 정하라"로 떠넘김
  • 즉, 의회가 "설계되지도 않은 감시 시스템"을 승인해달라는 요청을 받고 있는 셈

• 자체 보고 생일이 뚫리는 문제를 해결하려면 결국 정부 ID, 신용카드, 생체 스캔 중 하나가 필요함

  • 법안도 Gottheimer도 어떤 방식인지 명시하지 않음 → FTC 재량
  • OS 제공자 인센티브는 "가장 싸게 대규모 배포 가능한 방법" 쪽 — 얼굴 분석, ID 업로드가 싸고, 프라이버시 보호형 검증은 비쌈
  • 인센티브 구조가 사용자 프라이버시 반대 방향으로 정렬됨

애플·구글 복점(duopoly) 공식 임명

• "OS 제공자" 대상 의무는 사실상 모바일에서는 두 회사, 데스크톱·콘솔까지 합쳐도 극소수만 감당 가능
  • 소규모 OS 개발자, 오픈소스 프로젝트, 리눅스 배포판, 커스텀 안드로이드 포크, 프라이버시 중심 대안 OS → 컴플라이언스 부담이 "1조 달러 기업이 법무팀과 생체 스캔 파트너를 이미 보유한 상황"을 가정하고 설계됨
  • Section 2(b) 세이프하버는 규칙을 따르는 제공자만 보호 → 규칙을 따르려면 거물만 구축 가능한 인프라 필요
  • 테크 기업을 겨누는 법이 오히려 현상 유지의 원흉인 두 회사의 지위를 굳혀줌

이미 존재하는 덜 침습적인 대안들

• iOS/Android 기기별 부모 통제 기능 이미 탑재됨
• Family Sharing, Google Family Link로 나이대별 제한 설정 가능
• 앱스토어의 앱별 연령 등급 시스템 존재
• 이 모든 게 있어도 모든 미국 사용자가 폰을 켤 때 애플/구글에게 나이를 증명하게 만드는 쪽을 택함
  • 저자의 결론 — "아이를 보호하는 데 이걸 다 지을 필요는 없다. 그래도 짓기로 했다는 선택이 이 법안이 진짜 뭘 위한 것인지 말해준다"

배경 숫자와 통계

• 2019~2021년에 새 Shopify 스토어 약 70만 개 개설, 전체 상인이 100만에서 170만으로 증가
• 첫해 실패율 약 90% — 법안과 직접 관련은 없지만 "대규모 OS 레벨 식별 인프라를 깔았을 때 생기는 데이터 양"의 규모감을 상상하면 오싹한 수준

---

기술 맥락

OS 레벨 나이 검증이 왜 큰 이야기인지 감이 안 올 수 있는데요, 이게 단순히 "설정 화면에 생일 입력 칸 추가"가 아니에요. 법안이 실제로 요구하는 건 앱 개발자가 OS에 나이 정보를 쿼리할 수 있는 API거든요. 이게 생기면 OS가 전체 앱 생태계의 "신원 확인 허브" 역할을 맡게 돼요.

왜 이게 기술자 입장에서 중요하냐면, 한번 이런 파이프라인이 표준이 되면 "익명 성인으로 접근"이 기본값이 아니라 "식별된 주체로 접근"이 기본값이 되거든요. iOS나 Android 앱을 만들 때 지금은 사용자를 익명으로 가정하고 필요할 때만 인증을 요구하는데, 이 법안 이후엔 OS에서 자동으로 나이/신원 신호가 흘러들어오는 구조가 돼요.

생체 인증 방식 얘기도 나오는데, 얼굴 분석(facial analysis)은 "사진 한 장으로 나이 추정"이라 비용은 싸지만 정확도가 낮고 편향 문제가 심해요. ID 업로드는 더 정확하지만 수집된 ID 사본이 어디 저장되는지가 문제고요. 프라이버시를 지키는 방식으로는 영지식 증명(Zero-Knowledge Proof) 기반 나이 검증이 이론적으로 가능한데, 이건 비싸고 배포가 어려워서 법안이 침묵하는 동안 실제론 안 쓰일 가능성이 높아요.

safe harbor 조항도 짚고 넘어갈 만해요. 법적으로 "규칙을 따르면 책임을 면한다"는 장치인데, 문제는 그 규칙을 구축할 능력이 이미 대규모 인프라를 가진 두 회사에만 있다는 거예요. 오픈소스 OS나 커스텀 ROM, GrapheneOS 같은 프라이버시 중심 대안은 사실상 합법 경로에서 배제되는 효과가 생겨요.

마지막으로 "operating system" 정의의 스코프 크립이 기술자라면 바로 눈에 띌 거예요. 인포테인먼트 시스템 만드는 자동차 회사, 스마트 TV OS 파는 삼성·LG, 게임 콘솔 벤더 전부 사정권이에요. 이런 식으로 범용 컴퓨팅 기기 전체에 신원 검증 레이어가 깔리면, 앞으로 새로운 컴퓨팅 폼팩터 만들 때마다 "나이 검증을 어떻게 붙일지"가 디자인 제약으로 들어오게 되는 거죠.