깃허브가 말하는 연령 확인 법안, 오픈소스까지 휘말릴 수 있다

연령 확인 법안이 왜 개발자 뉴스가 됐나

• 깃허브가 말하는 핵심은 단순함. 아동·청소년 보호 법안이 필요하더라도, 오픈소스와 개발자 인프라를 소비자용 플랫폼처럼 묶으면 사고가 난다는 것임

  • 그루밍, 폭력 콘텐츠 노출, 온라인 괴롭힘 같은 문제는 실제로 심각함
  • 하지만 코드 협업 플랫폼이나 오픈소스 운영체제는 숏폼 피드나 소셜 네트워크와 위험 구조가 다름
  • 청소년에게 오픈소스 참여는 교육, 커뮤니티, 진로 탐색의 일부일 수도 있음

• 여기서 말하는 연령 보장(Age Assurance)은 생각보다 넓은 개념임

  • 사용자가 직접 나이를 입력하는 자기 신고도 포함됨
  • 신분증, 금융·신원 시스템 대조처럼 강한 연령 검증도 포함됨
  • 얼굴 스캔이나 행동 신호 기반 나이 추정도 이 범주에 들어감
  • 그래서 정확도, 프라이버시, 보안, 상호운용성, 접근성 논쟁이 한꺼번에 따라붙음

운영체제와 앱스토어 레이어까지 내려오는 규제

• 미국 여러 주 법안은 연령 확인을 서비스 단이 아니라 기기·운영체제·앱스토어 단에서 처리하려는 방향을 보임

  • 캘리포니아 AB 1043과 AB 1856은 운영체제 제공자가 계정 설정 때 자기 신고 나이를 수집하고, 앱에 나이 범위 신호를 실시간 API로 전달하도록 요구함
  • 콜로라도 SB 26-051도 운영체제와 앱스토어가 나이 구간 신호를 만들고 앱에 공유하는 구조를 다룸
  • 일리노이 HB 4140은 캘리포니아 모델과 비슷하게 운영체제 제공자에게 나이 데이터 수집과 나이 범주 신호 전송을 요구함
  • 뉴욕 S 8102/A 8893은 기기 제조사, 운영체제, 앱스토어에 더 넓게 적용되고, 단순 자기 신고가 아닌 ‘상업적으로 합리적인’ 연령 보장을 요구함

• 이런 모델은 오픈소스 운영체제와 잘 안 맞을 수 있음

  • 오픈소스 운영체제는 개인 기여자와 작은 커뮤니티가 계속 수정하고 재배포하는 경우가 많음
  • 중앙에서 사용자 나이 데이터를 수집하고 관리하는 구조는 분산적이고 사용자 통제적인 오픈소스 문화와 충돌함
  • 자원 적은 프로젝트에 기업 수준의 준법 체계를 요구하면 사실상 배포를 막는 효과가 날 수 있음

sequenceDiagram
    participant 사용자
    participant 운영체제
    participant 앱스토어
    participant 애플리케이션
    participant 개발자
    사용자->>운영체제: 계정 설정 때 나이 정보 제공
    운영체제->>앱스토어: 나이 범주 신호 조율
    앱스토어->>애플리케이션: 실시간 API로 나이 신호 전달
    애플리케이션->>개발자: 접근 제한·동의 처리 구현 필요
    개발자->>사용자: 기능 접근 정책 적용

앱스토어의 정의가 제일 위험한 부분

• 깃허브가 특히 짚는 부분은 ‘앱스토어’와 ‘애플리케이션’의 정의임

  • 어떤 법안은 사용자가 소프트웨어에 접근하거나 다운로드할 수 있게 하는 서비스를 앱스토어처럼 볼 여지를 남김
  • 그렇게 되면 코드 협업 플랫폼, 패키지 매니저, 오픈소스 인덱싱 서비스까지 엮일 수 있음
  • 하지만 소스 코드, 라이브러리, 프레임워크, 모델, 유틸리티는 최종 사용자용 독립 앱과 다름

• 소프트웨어를 다운로드할 수 있게 한다고 해서 전부 소비자용 앱 마켓플레이스는 아님

  • 패키지 저장소는 개발자가 제품을 만들 때 쓰는 상류 구성요소를 제공함
  • 전통적인 앱스토어처럼 소비자 배포, 노출, 결제, 접근 통제를 중앙에서 장악하는 구조가 아님
  • 깃허브는 이 차이를 법 문구에서 명확히 갈라야 한다고 주장함

실제 지역별 움직임도 이미 있다

• 호주와 프랑스 사례에서는 오픈소스 코드 협업 사이트를 제외하려는 움직임이 있었다고 깃허브는 설명함

  • 호주의 소셜 미디어 최소 연령 법안 논의에서 깃허브는 오픈소스 코드 협업 플랫폼이 범위에 들어가면 안 된다고 정책 담당자들에게 설명함
  • 프랑스의 소셜 미디어 최소 연령 제안도 오픈소스 코드 협업 사이트와 온라인 백과사전을 제외하는 문구를 포함함

• 브라질은 더 복잡한 사례임

  • 아동·청소년 디지털 법은 2026년 3월부터 시행 가능하고, 운영체제·앱스토어·플랫폼 등 아동과 청소년이 접근할 가능성이 있는 디지털 서비스에 넓게 적용됨
  • 필수 인터넷 기능, 공개 기술 프로토콜, 표준은 제외함
  • 브라질 개인정보 당국은 아직 자유·오픈소스 소프트웨어에 어떻게 적용되는지 공식 확정하지 않았음
  • 다만 최근 초안 가이드는 협업 모델과 자유 소프트웨어 기반 시스템을 독점 서비스와 같은 의무 대상으로 보지 않아야 한다는 방향을 보임

• 그럼에도 불확실성만으로 이미 위축 효과가 생김

  • 일부 오픈소스 프로젝트는 브라질 접근을 제한했음
  • 법이 주로 상업 사업자를 겨냥했더라도, 범위가 불명확하면 자원봉사 기반 생태계는 리스크를 피하려고 움직일 수밖에 없음

개발자가 끼어들 여지는 아직 남아 있음

• 깃허브는 개발자들이 입법 과정에 의견을 내야 한다고 봄

  • 캘리포니아, 콜로라도, 일리노이, 뉴욕 같은 지역의 선출직에게 연락할 수 있음
  • 브라질의 공개 의견 수렴에 참여할 수 있음
  • 오픈소스 이니셔티브, 프리BSD 재단, 데비안 같은 프로젝트·재단을 통해 목소리를 낼 수도 있음

• 긍정적 사례도 있긴 함

  • 유럽연합 사이버 복원력 법은 반복 논의를 거치며 오픈소스 균형을 조정한 사례로 언급됨
  • 미국 주 단위 법안들도 계속 바뀌고 있고, 일부 정책 담당자는 오픈소스 운영체제나 개발자 인프라를 겨냥한 게 아니라고 신호를 보냄
  • 콜로라도의 최신 수정안은 공용 저장소에서 내려받은 소프트웨어처럼 앱스토어 밖에서 설치된 소프트웨어는 범위에 들어가지 않는다고 명확히 했음

기술 맥락

• 이 이슈가 개발자에게 중요한 이유는 규제가 애플리케이션 화면이 아니라 배포 레이어까지 내려오기 때문이에요. 운영체제, 앱스토어, 코드 저장소, 패키지 매니저는 서로 다른 역할을 하는데, 법이 이 차이를 못 보면 개발 도구가 소비자 플랫폼처럼 취급될 수 있어요.

• 특히 ‘실시간 API로 나이 신호를 전달한다’는 구조는 구현 책임을 여러 레이어에 나눠요. 운영체제는 나이 정보를 모으고, 앱스토어는 앱과 조율하고, 개발자는 그 신호를 받아 접근 제어를 구현해야 하니까 단순한 약관 변경 문제가 아니에요.

• 오픈소스 운영체제나 패키지 저장소가 난감한 건 중앙 통제자가 뚜렷하지 않은 경우가 많기 때문이에요. 개인 기여자와 작은 커뮤니티가 릴리스를 만들고 포크를 배포하는 구조에서는, 상업 앱스토어 같은 준법 프로세스를 요구하는 순간 참여 비용이 확 올라가요.

• 그래서 깃허브가 요구하는 건 예외 특권이라기보다 정의의 정밀함에 가까워요. 최종 사용자에게 앱을 파는 마켓플레이스와, 개발자가 라이브러리나 소스 코드를 공유하는 인프라는 위험도와 통제 방식이 다르기 때문이에요.