본문으로 건너뛰기
J
피드

소셜 미디어 연령 확인이 무료 인터넷의 끝이 될 수 있다는 경고

security 약 13분
tags
#privacy#identity#vpn#zkp#surveillance
vote
0
댓글
북마크

멀바드는 소셜 미디어 연령 확인이 아이 보호라는 명분으로 전 세계에 퍼지고 있지만, 실제로는 신원 확인 기반 인터넷 통제 인프라가 될 수 있다고 주장한다. 특히 앱스토어, 운영체제, 브라우저, 가상 사설망까지 통제 범위가 넓어지면 익명 표현과 온라인 프라이버시가 크게 훼손될 수 있다는 경고가 핵심이다.

  • 1

    여러 국가가 소셜 미디어와 유해 콘텐츠 접근에 연령 확인을 도입하거나 추진 중이다.

  • 2

    현재 구현되는 연령 확인의 대부분은 사실상 신원 확인이며, 익명 열람과 익명 발언을 어렵게 만든다.

  • 3

    규제가 가상 사설망, 앱스토어, 운영체제 레벨로 확장되면 우회 수단 자체도 통제 대상이 된다.

  • 4

    영지식 증명 기반 연령 확인은 더 나은 대안이지만, 현재 유럽연합 앱도 완전한 해결책은 아니라는 비판이 나온다.

아이 보호라는 명분 뒤에 깔리는 신원 확인 인프라

  • 멀바드는 소셜 미디어 연령 확인을 꽤 강하게 비판함. 아이를 보호하자는 포장과 달리, 실제로는 정부가 통제하는 인터넷의 기반을 까는 일이라는 주장임

    • 연령 확인은 포르노나 게임 같은 유해 콘텐츠 제한에서 시작하지만, 최근에는 미성년자의 소셜 미디어 사용 금지로 초점이 옮겨가는 중임
    • 빅테크 소셜 미디어의 감시 기반 비즈니스 모델이 나쁜 건 맞지만, 그래서 모든 사용자를 신원 확인시키는 방식은 완전히 다른 문제라고 봄

  • 글의 핵심 논리는 이거임. 플랫폼은 이미 누가 어린 사용자인지 알고 있는데, 왜 굳이 모든 사람의 신원을 확인하게 만드냐는 것

    • 소셜 미디어 회사는 나이, 친구 관계, 취향까지 알아야 광고와 추천을 굴릴 수 있음
    • 정치권이 진짜 아이 보호를 원한다면 플랫폼에 유해한 설계 중단이나 미성년자 차단을 강제할 수도 있음
    • 그런데 선택한 방향은 모든 이용자의 프라이버시와 익명성을 건드리는 신원 확인이라는 게 멀바드의 비판임

  • 이 흐름은 이미 여러 나라에서 진행 중임

    • 호주는 16세 미만 소셜 미디어 제한을 도입했고, 인도네시아와 브라질도 비슷한 제한을 적용함
    • 덴마크, 포르투갈, 말레이시아는 승인됐지만 아직 시행 전이고, 프랑스는 합의 후 세부 논의 중임
    • 스페인, 튀르키예, 독일, 스웨덴, 캐나다, 네덜란드 등에서도 논의가 이어지고 있음
    • 미국은 전체 주의 절반 정도가 부적절한 콘텐츠나 소셜 미디어 연령 제한 법안을 이미 도입했거나 계류 중이라고 함

중요

> 2026년 4월 유럽위원회는 유럽연합 연령 확인 앱을 공개했고, 한 달 뒤 우르줄라 폰데어라이엔은 유럽연합 전역의 연령 제한 계획을 제시함. 이건 일부 국가의 실험이 아니라 글로벌 정책 흐름으로 커지는 중임.

연령 확인이 신원 확인으로 바뀌는 순간

  • 멀바드는 현재 구현되는 연령 확인 대부분을 “신원 확인”이라고 부르는 게 맞다고 봄

    • 사용자는 접속하려는 서비스나 제3자에게 자신이 누구인지 증명해야 함
    • 영지식 증명 같은 예외가 있긴 하지만, 대부분의 시스템은 활동 기록과 신원을 연결할 수 있는 구조임
    • 2025년 가을 디스코드 해킹으로 사용자 7만 명의 신분증 문서가 노출된 사례도 언급됨

  • 신원 확인이 깔리면 익명으로 정보를 읽고 말하는 능력이 줄어듦

    • 규제 대상 웹사이트를 익명으로 방문하기 어려워지고, 소셜 미디어에 익명으로 글을 올리기도 힘들어짐
    • 정부 비판이나 권력 비판을 하는 계정이 나중에 당국에 특정될 수 있다는 불안이 생김
    • 권위주의 국가에서는 이게 단순한 불편이 아니라 생명과 안전의 문제가 될 수 있음

  • 더 무서운 건 직접 처벌보다 위축 효과임

    • 사람들은 “나중에 문제 될 수도 있다”고 느끼면 알아서 말을 줄임
    • 오늘은 괜찮은 표현이 내일 다른 정권이나 다른 법 해석 아래에서는 문제가 될 수 있음
    • 표현의 자유가 법 조항 하나로만 무너지는 게 아니라, 신원 태깅 인프라와 자기검열이 결합되면서 약해진다는 얘기임

  • 글은 이미 온라인 발언 처벌 사례가 존재한다고 지적함

    • 영국에서는 당국이 “심각하게 공격적”이라고 분류한 온라인 게시물 때문에 매일 30명이 체포된다고 함
    • 독일에서는 정치인을 모욕했다는 이유로 주거지 압수수색이 벌어진 사례가 언급됨
    • 미국에서는 당국이 이민세관단속국에 항의하는 계정의 신원 공개를 기술 기업에 압박하려 한 사례가 나옴
    • 캐나다는 2022년 트럭 시위 때 소셜 미디어로 시위 참가자와 후원자를 식별하고 은행 계좌 동결까지 이어졌다고 함

다음 타깃은 가상 사설망일 수 있음

  • 국가 단위 제한은 디지털 위치를 바꾸면 우회할 수 있음

    • 대표적인 수단이 가상 사설망, 가상 전화번호, 이심, 토르 같은 도구임
    • 그래서 몇몇 국가는 가상 사설망 서비스에도 신원 확인을 넣는 방안을 논의하기 시작함

  • 영국 사례가 특히 노골적임

    • 2026년 초 영국 상원은 가상 사설망 사용에 18세 제한을 두는 수정안을 하원에 보냈고, 하원은 네 번 거부함
    • 대신 하원은 정부가 제한을 2차 입법으로 도입할 수 있는 자체안을 통과시켰고, 의회 검토는 제한적이라고 함
    • 영국 정부는 16세 미만 소셜 미디어 제한을 추진할 뜻을 밝혔고, 가상 사설망 사용 신원 확인도 검토할 수 있다고 암시함

  • 프랑스와 미국, 유럽연합에서도 비슷한 논의가 있음

    • 프랑스 인공지능·디지털 담당 장관은 아이 보호 법안이 효과가 있으면 “가상 사설망이 다음 주제”라고 말함
    • 미국 유타주는 가상 사설망으로 제한을 우회하는 것을 불법으로 만드는 법을 도입함
    • 유럽연합 집행위원도 연령 확인이 우회되지 않도록 다음 단계를 봐야 한다는 취지로 답변함

  • 가상 사설망에 신원 확인이 붙으면 프라이버시 도구가 위험한 데이터 저장소가 됨

    • 내부자 악용이든 보안 사고든, 수집된 신원 데이터는 언제든 위험이 될 수 있음
    • 내부고발자, 활동가, 민감한 정보를 다루는 언론인에게는 치명적임
    • 미성년자에게 가상 사설망 사용을 막으면, 오히려 소셜 미디어 회사가 아이들의 웹 활동을 아이피 주소 기반으로 계속 추적하기 쉬워지는 역설도 생김

앱스토어와 운영체제 레벨 통제로 번지는 중

  • 일부 국가는 앱스토어에서 신원 확인을 강제하는 방향을 택함

    • 호주, 브라질, 한국, 싱가포르, 미국 일부 주에서 애플은 성인 콘텐츠가 포함된 앱 접근 제한을 위해 앱스토어 레벨 신원 확인을 도입하기 시작했다고 함
    • 앱스토어 통제는 앱 접근만 다루기 때문에, 몇몇 국가는 운영체제 자체에서 웹사이트 접근까지 막는 방식을 요구하기 시작함

  • 영국에서는 애플이 법적 요구가 없는데도 운영체제 레벨 신원 확인을 도입했다고 글은 주장함

    • 2026년 3월 24일 시스템 업데이트를 통해 영국 아이폰 사용자 3,500만 명이 신용카드나 정부 발급 신분증으로 신원을 확인해야 제한을 피할 수 있게 됐다고 함
    • 확인하지 않은 사용자는 애플의 웹 콘텐츠 필터와 커뮤니케이션 안전 기능이 자동 활성화되는 모드에 들어감
    • 사파리뿐 아니라 서드파티 브라우저의 웹 접근도 제한되고, 메시징과 페이스타임도 부적절한 콘텐츠 모니터링 대상이 됐다고 설명함

  • 우회는 계속 나오고, 그래서 통제는 더 아래 계층으로 내려감

    • 영국 애플 사례에서는 미국 기반 애플 아이디를 만들어 우회하는 보고가 나왔다고 함
    • 앱스토어 레벨 신원 확인도 비슷하게 우회 가능함
    • 결국 애플과 구글이 전 세계 운영체제 수준에서 통제하지 않는 한 완전한 차단은 어렵고, 그다음에는 오픈소스 운영체제 문제가 남음

  • 오픈소스 운영체제는 통제하기 어렵기 때문에, 글은 이 논리의 끝을 “사용자가 통제하는 기기 금지”로 봄

    • 오픈소스 시스템은 수정 가능하고 열려 있기 때문에 외부자가 앱 설치나 웹 접근을 완전히 통제하기 어렵다는 점이 핵심임
    • 브라질은 2026년 3월부터 앱스토어와 운영체제 내부 모두에서 신원 확인을 요구하는 법을 시행했고, 미준수 기업에는 최대 1,000만 달러 벌금이 가능하다고 함
    • 캘리포니아도 2027년 1월부터 운영체제 레벨 신원 확인을 요구하는 법을 통과시켰고, 초기에는 오픈소스 시스템도 포함됐다가 나중에 빠졌다고 함
    • 콜로라도, 뉴욕, 미국 연방 차원의 유사 제안도 언급됨

영지식 증명은 대안이지만 만능은 아님

  • 유럽연합은 “세계 최고 수준의 프라이버시”를 내세운 연령 확인 앱을 공개함

    • 앱은 오픈소스이고, 회원국이 각자 버전을 만들어 시민에게 연령 자격 증명을 발급하는 구상임
    • 사용자는 신분증 같은 것으로 발급자에게 본인을 증명하고, 이후 웹사이트나 플랫폼에는 “나이가 충분하다”는 자격 증명만 제시함
    • 페이스북과 엑스가 서로 다른 일회용 자격 증명을 받으므로, 플랫폼끼리 이를 연결해 행동 패턴을 만들기 어렵다는 설명임

  • 하지만 멀바드는 이 구조도 완전한 익명은 아니라고 봄

    • 발급자는 어떤 자격 증명이 어떤 사람에게 속하는지 알고 있음
    • 플랫폼이 문제 되는 게시물의 연령 자격 증명을 국가에 넘기면, 국가는 해당 사용자를 식별할 수 있음
    • 즉 웹사이트에는 신원이 숨겨져도, 국가로부터 익명으로 말할 수 있는 구조는 아니라는 비판임

  • 진짜 대안으로 제시되는 건 영지식 증명임

    • 영지식 증명을 제대로 구현하면 발급자도 웹사이트에서 사용된 자격 증명을 특정 개인에게 되돌려 연결할 수 없음
    • 문제는 현재 유럽연합 앱에 영지식 증명 기능이 없고, 앱 설계도 영지식 증명 없이 동작하도록 되어 있다는 점임
    • 나중에 구현되더라도 국가가 비활성화할 수 있는 선택 기능이라면, 언제든 일반 신원 태깅 모델로 되돌아갈 수 있다는 우려가 있음

⚠️주의

> 인프라가 한 번 깔리면 나중에 영지식 증명 같은 프라이버시 기능을 빼거나 끄는 건 정책 결정 하나로 가능해질 수 있음. 멀바드가 가장 경계하는 지점이 바로 이 “되돌리기 어려운 기반 시설”임.

  • 영지식 증명이 있어도 연령 확인 자체의 문제는 남음
    • 신분증이 없는 사람은 배제될 수 있음
    • 국가는 문제 인물에게 연령 자격 증명을 발급하지 않는 방식으로 온라인 발언 능력을 제한할 수 있음
    • 15세 청소년이 공적 플랫폼에서 완전히 말할 수 없게 되는 게 과연 바람직한지도 별도 논쟁임
    • 영국 온라인 안전법이 위키백과 접근을 제한할 수 있다는 사례도 언급됨

결론은 “아이들 때문”이라는 오래된 감시 명분

  • 글은 아동 안전이 대규모 감시 도입의 명분으로 반복 사용돼 왔다고 봄

    • 미국의 어린이 온라인 안전법, 영국의 온라인 안전법, 유럽연합의 통신 스캔 시도 등을 같은 흐름으로 묶음
    • 특히 종단 간 암호화 통신 스캔이나 클라이언트 측 스캔 같은 시도가 계속 등장한다는 점을 지적함
    • 2026년 유럽연합의 고잉 다크·프로텍트이유 프로젝트도 모든 기기에 정부 감시 소프트웨어를 넣는 방향으로 해석함

  • 멀바드의 최종 메시지는 속도를 늦추라는 것임

    • 연령 확인을 무작정 밀어붙이면 소셜 미디어 규제가 아니라 인터넷 신원 확인 체계가 만들어질 수 있음
    • 정치권이 전면 감시 사회를 원하지 않는다면, 법안 유형별 결과를 훨씬 더 진지하게 봐야 한다는 주장임

기술 맥락

  • 이 이슈는 단순히 “성인 인증을 어떻게 할까” 문제가 아니에요. 인증 지점이 웹사이트, 앱스토어, 운영체제, 브라우저, 가상 사설망으로 내려갈수록 인터넷의 통제 계층 자체가 바뀌거든요.

  • 신원 확인 방식이 위험한 이유는 기술적으로 연결 가능성이 생기기 때문이에요. 한 번 사용자의 실제 신원과 서비스 이용 기록이 같은 인프라 안에 들어가면, 상업적 공유든 정부 요청이든 보안 사고든 여러 경로로 결합될 수 있어요.

  • 영지식 증명은 이 문제를 줄이기 위한 암호학적 선택이에요. 사용자가 “조건을 만족한다”는 사실만 증명하고, 생년월일이나 이름 같은 원본 정보는 숨기는 방식이라서요. 다만 글에서 지적하듯 이 기능이 선택 사항이면 정책적으로 꺼질 수 있다는 약점이 남아요.

  • 운영체제 레벨 통제는 개발자에게도 꽤 직접적인 문제예요. 앱 배포, 브라우저 동작, 오픈소스 운영체제, 우회 도구가 모두 규제 대상이 되면 소프트웨어를 만들고 배포하는 기본 가정이 달라지기 때문이에요.

  • 결국 설계의 핵심은 “누가 무엇을 알 수 있는가”예요. 서비스가 나이를 알아야 하는지, 발급자가 사용처를 알아도 되는지, 국가가 게시자 신원을 추적할 수 있는지에 따라 같은 연령 확인이라도 완전히 다른 시스템이 돼요.

이 글은 연령 확인을 단순한 정책 논쟁이 아니라 인터넷 아키텍처의 통제 지점 문제로 본다. 개발자 입장에서는 ‘좋은 의도’의 규제가 인증, 플랫폼, 운영체제, 암호 기술 설계에 어떤 압력을 거는지 읽어볼 만함.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

레드햇 관련 npm 패키지 감염, 미아즈마 웜이 개발자 환경과 클라우드 계정까지 노렸다

레드햇 관련 npm 패키지가 악성코드에 감염돼 개발자 PC, 깃허브 토큰, 클라우드 자격증명, 쿠버네티스 설정, CI/CD 비밀정보까지 노린 사건이 드러났어. 이번 미아즈마 변종은 패키지 설치만으로 실행되고, VS 코드와 클로드 코드 설정까지 건드려 지속성을 확보하려 했다는 점이 특히 위험해.

security

치폴레 상담봇을 코딩 에이전트로 훔쳐 쓴 밈 프로젝트, 치포틀라이 맥스

치포틀라이 맥스는 치폴레의 고객지원 챗봇 페퍼를 오픈코드의 기본 모델처럼 붙인 밈성 프로젝트다. 핵심은 누군가 페퍼의 웹소켓 기반 백엔드를 역공학해 오픈에이아이 호환 프록시를 만들었고, 이를 코딩 에이전트에 연결해 무료 추론처럼 쓰게 했다는 점이다.

security

애드어프루트, 플럭스 측 법적 경고로 블로그 발행 일시 중단

애드어프루트가 플럭스 측 법률대리인으로부터 명예훼손 가능성과 컴퓨터 사기 및 남용법 위반 주장을 담은 요구서를 받았다고 공개했어. 애드어프루트는 공개된 서버 설정 오류로 노출된 정보만 확인했고, 보안상 공익이 있는 사안을 책임 있는 공개 방식으로 다뤘다는 입장이야.

security

인스타그램 계정 탈취, 이번엔 메타 지원 AI가 문을 열어준 꼴

인스타그램에서 일부 계정이 탈취된 사건의 핵심은 공격자가 사용자명과 대략적인 위치만 맞춘 뒤, 메타 지원 AI에게 본인 소유 이메일로 인증 코드를 보내게 만들었다는 주장임. 이 흐름에서는 2단계 인증도 계정 복구 절차 안에서 우회됐고, 고가의 짧은 핸들을 노린 블랙마켓 거래까지 이어졌다고 해.

security

ChatGPT 구글 시트 확장, 프롬프트 인젝션으로 워크북 유출 가능했다

보안 연구팀은 ChatGPT for Google Sheets에서 간접 프롬프트 인젝션 하나로 여러 워크북 유출, 피싱 팝업, 공격자 제어 사이드바, 시트 수정까지 가능했다고 공개했다. 사용자가 자동 편집을 꺼두고 승인 요구 설정을 해도, 모델이 Apps Script 코드를 생성·실행하면서 권한을 우회하는 흐름이 문제였다.