본문으로 건너뛰기
피드

EU 이사회, ‘채팅 감시’ 규정을 여름휴가 직전에 패스트트랙으로 밀어붙임

security 약 5분
vote
0
댓글
북마크

EU 이사회가 만료된 ‘채팅 감시 1.0’ 예외 규정을 사실상 되살리는 새 규정을 긴급 절차로 추진하고 있어. 메신저, 웹메일, 인터넷전화 같은 서비스가 아동 성착취물 탐지를 명분으로 사적 통신을 자발적으로 스캔할 수 있게 하는 내용이야. 비판 쪽은 암호화 통신의 비밀을 흔드는 조치를 의회 통제를 우회해 통과시키려는 전술로 보고 있어.

  • 1

    EU 이사회가 만료된 자발적 메시지 스캔 예외 규정을 새 규정 형태로 재추진 중

  • 2

    의회 여름휴가 직전 긴급 절차와 2차 독회 구조 때문에 저지 문턱이 매우 높아짐

  • 3

    아동 보호 명분과 통신 비밀권 침해 논쟁이 정면충돌하고 있음

  • EU의 ‘채팅 감시’ 논쟁이 여름휴가 직전에 다시 불붙었음

    • 기존 ‘채팅 감시 2.0’은 암호화된 통신까지 의심 없이 스캔하는 내용이라 EU 의회에서 반발에 막혀 있었음
    • 그런데 이사회가 이번엔 만료된 ‘채팅 감시 1.0’ 예외 규정을 새 규정 형태로 되살리는 쪽을 택함
  • 핵심은 메신저, 웹메일, 인터넷전화 같은 서비스가 사적 메시지를 자발적으로 스캔할 수 있게 하는 예외임

    • 원래 2020년 말부터 이런 서비스들은 EU 전자 프라이버시 규칙의 강한 보호를 받게 됐음
    • 그래서 통신 내용과 트래픽 데이터를 허가 없이 가로채거나 평가하는 게 금지됨
    • 2021년에 만들어진 임시 예외가 바로 ‘채팅 감시 1.0’이고, 이 예외가 4월 3일 만료된 상태였음
  • 이사회는 아동 보호를 이유로 이 예외가 꼭 필요하다고 주장함

    • 기술 기업들이 인공지능(AI)과 해시 매칭으로 알려진 성착취물이나 그루밍 패턴을 찾아낼 수 있어야 한다는 논리임
    • 피해 아동을 더 빨리 식별하고, 불법 이미지와 영상의 확산을 막는 데 필요하다고 봄
    • 국가별로 제각각 조치가 나오는 것도 막아야 한다는 명분을 붙였음

중요

> 이번 규정은 ‘의무 스캔’이 아니라 ‘자발적 스캔 예외’로 포장돼 있지만, 실제로는 모든 사용자의 사적 통신을 검사할 수 있는 법적 공간을 다시 여는 문제라 논란이 큼.

  • 비판 쪽이 보는 포인트는 절차가 너무 노골적이라는 것임

    • 이미 만료된 규정을 형식상 그냥 연장할 수 없으니, 내용은 거의 같은 새 법안을 낸 셈임
    • 의회가 여름휴가에 들어가기 직전 긴급 절차로 올리려는 타이밍도 문제로 지적됨
    • 본회의가 가속 절차를 승인하면 휴가 전 마지막 회의일에 표결이 걸릴 수 있음
  • 더 빡센 건 이 안건이 이미 2차 독회 단계라는 점임

    • 이 단계에서는 이사회 입장을 막거나 고치려면 전체 의원의 절대다수가 반대표를 던져야 함
    • 휴가 직전에는 의원들이 이미 자리를 비우는 경우도 많아서, 현실적으로 문턱이 거의 넘사벽에 가깝다는 평가가 나옴
  • 이사회는 “필요 최소한으로만 스캔하고 무차별 감시는 아니다”라고 말함

    • 탐지된 콘텐츠와 트래픽 데이터는 구체적 의심이 확인되지 않으면 늦어도 12개월 안에 되돌릴 수 없게 삭제해야 한다는 조건도 있음
    • 그래도 모든 사용자의 프라이버시를 건드리는 침해 자체는 여전히 크다는 게 반대론의 핵심임

기술 맥락

  • 여기서 중요한 건 암호화 자체를 깨느냐보다, 암호화된 통신을 둘러싼 검사 지점을 어디에 두느냐예요. 서버가 못 읽게 만든 메시지도 클라이언트나 업로드 전 단계에서 검사하면, 사용자 입장에서는 “내 대화가 읽히지 않는다”는 기대가 흔들리거든요.

  • 해시 매칭은 알려진 불법 콘텐츠 탐지에는 꽤 효과적인 도구예요. 문제는 이 방식이 사적 메시지 전체를 검사하는 법적 예외와 붙으면, 원래 제한적이던 탐지가 더 넓은 감시 인프라로 확장될 수 있다는 점이에요.

  • 서비스 개발자 관점에서는 규제가 ‘자발적’이라고 쓰여 있어도 실제 운영 압박은 다르게 올 수 있어요. 대형 플랫폼이 탐지를 안 하면 법적·사회적 책임 리스크를 떠안게 되고, 작은 서비스도 같은 기준을 맞추라는 분위기에 끌려갈 수 있거든요.

이건 단순한 유럽 규제 뉴스가 아니라, 종단 간 암호화와 플랫폼 책임의 경계가 어디까지 밀릴 수 있는지 보여주는 사례야. 메신저나 협업 도구를 만드는 팀이라면 ‘자발적 탐지’라는 말이 실제로 어떤 압박으로 바뀌는지 봐둘 만함.

댓글

댓글

댓글을 불러오는 중...

security

블랙햇 브리핑, 왜 보안 업계가 매년 라스베이거스를 보는가

블랙햇 브리핑은 보안 업체 전시회가 아니라, 아직 널리 알려지지 않은 취약점과 공격 경로가 공개되는 연구 중심 무대다. 최근에는 단일 소프트웨어 버그보다 클라우드 권한, API 인증, 오픈소스 공급망, CI/CD, AI 에이전트 같은 복합 공격 흐름이 핵심 주제로 올라왔다. 2026년에는 기업 시스템에 직접 접근하는 AI 에이전트와 비인간 신원 관리가 더 큰 이슈가 될 전망이다.

security

블랙햇 USA 2026, AI 에이전트·금융·헬스케어 보안을 전면에 세운다

세계적인 보안 콘퍼런스 블랙햇 USA 2026이 8월 1일부터 6일까지 라스베이거스 만달레이베이에서 열린다. 올해는 AI 위협 모델링, AI 에이전트 보안, 금융권 공격, 의료기기 보안, 소프트웨어 공급망과 클라우드 보안이 핵심 의제로 잡혔다.

security

당근·토스가 말한 공급망 보안 해법, 개발자 주의력 말고 ‘진입로 자동 통제’

OWASP 서울 챕터 6월 세미나에서 당근과 토스 보안 실무자들이 소프트웨어 공급망 보안 대응 사례를 공유했다. 당근은 사내 레지스트리 프록시와 쿨다운 정책으로 PyPI 악성 패키지 유입을 줄이고, 토스는 MLOps 환경을 겨냥한 모델·아티팩트 위협을 아티팩트 방화벽으로 통제하고 있다.

security

블랙햇 USA 2026 키워드 5개, AI 에이전트 보안이 맨 앞에 옴

블랙햇 USA 2026에서 AI 에이전트 보안, AI 기반 공격·방어 경쟁, 소프트웨어 공급망, 클라우드와 디지털 신원, 금융·의료 보안이 핵심 의제로 떠오를 전망이다. 특히 기업이 도입하는 AI 에이전트가 이메일, 코드, 데이터베이스, 업무 시스템에 접근하면서 ‘비인간 신원’을 어떻게 통제할지가 중요한 보안 과제가 됐다.

security

공급망 보안, 이제 개발자 주의력 말고 ‘길목 자동 통제’로 간다

OWASP 서울 챕터 세미나에서 당근과 토스 보안 실무자들이 오픈소스 패키지와 머신러닝 운영 환경의 공급망 위협 대응 사례를 공유했다. 핵심은 개발자 개인에게 조심하라고만 하지 말고, 사내망으로 들어오는 패키지와 모델 아티팩트의 길목에 프록시와 방화벽을 세워 자동으로 통제하자는 것이다.