본문으로 건너뛰기
피드

EU, 사적 메시지 스캔 규칙 부활 직전까지 갔다

security 약 7분
vote
0
댓글
북마크

유럽의회가 만료됐던 ‘Chat Control 1.0’ 성격의 임시 규칙을 빠르게 다시 심의하는 절차를 승인했다. 이 규칙은 플랫폼이 아동 성착취물 탐지를 명목으로 사적 통신을 자발적으로 스캔할 수 있게 해주는 법적 예외를 되살리는 내용이다. 7월 9일 본회의 표결에서 반대 측이 전체 의원 절대다수인 361표를 확보하지 못하면, 추가 안전장치 없이 Council 문안이 통과될 가능성이 있다.

  • 1

    유럽의회는 긴급 절차를 331대 304로 승인해 만료된 사적 메시지 스캔 예외 규칙의 부활 논의를 빠르게 진행하게 됨

  • 2

    대상은 Gmail, Facebook Messenger, Instagram Messenger, Skype, Snapchat, iCloud Mail, Xbox messaging 같은 서비스의 자발적 CSAM 탐지임

  • 3

    이번 건은 2022년부터 논의 중인 영구 법안 Chat Control 2.0과 별개지만, 둘 다 사적 통신 스캔과 암호화 서비스에 큰 영향을 줄 수 있음

  • 4

    Council 법률 서비스조차 일반화된 자발적 스캔은 합리적 의심과 사전 사법 허가 없이는 EU 기본권 헌장 제7조와 충돌할 수 있다고 경고한 것으로 전해짐

  • EU에서 사적 메시지 스캔 규칙이 다시 살아날 수 있는 단계까지 옴

    • 유럽의회가 만료된 “Chat Control 1.0” 성격의 규칙을 긴급 절차로 빠르게 처리하는 안을 승인함
    • 표결 결과는 찬성 331표, 반대 304표였고, 일반적인 위원회 심사 단계를 건너뛰게 됨
    • 이 절차 자체가 법을 되살린 건 아니지만, 7월 9일 결정적 표결로 바로 이어지는 구조임
  • 이번에 부활하려는 건 플랫폼이 사적 통신을 “자발적으로” 스캔할 수 있게 해주던 임시 예외 규정임

    • 공식적으로는 Regulation (EU) 2021/1232였고, ePrivacy Directive의 예외를 만들어 CSAM 탐지를 허용했음
    • 적용 대상으로 거론되는 서비스는 Gmail, Facebook Messenger, Instagram Messenger, Skype, Snapchat, iCloud Mail, Xbox messaging 등임
    • end-to-end encryption 서비스는 일반적으로 직접 영향이 덜했지만, provider가 client-side scanning을 넣기로 하면 얘기가 달라짐
  • 이 규정은 이미 한 번 거부되고 만료된 상태였음

    • 유럽의회는 3월에 임시 derogation 연장을 거부했고, Council과의 협상도 무너졌음
    • 규정은 2026년 4월 4일 만료됐고, 그 뒤로 많은 플랫폼이 의존하던 자발적 스캔의 법적 근거가 사라짐
    • 그런데 Council이 거의 같은 내용을 “새 규정” 형태로 다시 들고 오면서 논란이 커짐

⚠️주의

> 핵심 쟁점은 CSAM 대응 자체가 아니라, 사적 통신을 광범위하게 스캔할 수 있는 법적 통로를 다시 여느냐임. “자발적”이라는 단어가 붙어도 플랫폼 정책과 제품 설계에는 사실상 강한 압력으로 작동할 수 있음.

  • 7월 9일 표결 구조가 꽤 빡셈. 반대나 수정을 하려면 전체 유럽의회 의원의 절대다수인 361표가 필요함

    • 단순히 참석자 과반을 넘기는 수준이 아니라, 전체 의원 기준 절대다수를 확보해야 함
    • 이 문턱을 넘지 못하면 Council 문안이 유럽의회에서 추가 안전장치 없이 진행될 가능성이 있음
    • 그래서 절차 표결은 331대 304였지만, 본 표결에서는 반대 측이 더 높은 기준을 넘어야 함
  • 이건 흔히 말하는 “Chat Control 2.0”과는 별도 트랙임. 헷갈리기 쉬운 부분임

    • Chat Control 2.0은 2022년부터 논의 중인 영구적인 Child Sexual Abuse Regulation임
    • 지금 부활하려는 건 만료된 임시 스캔 예외를 사실상 되살리는 쪽임
    • EU는 한쪽에서는 임시 스캔 체계를 복원하려 하고, 다른 쪽에서는 영구 법안 협상을 계속하는 투트랙으로 움직이는 중임
  • 영구 법안 쪽의 핵심 갈등도 결국 같은 질문으로 모임. “의심 없는 대규모 사적 통신 스캔을 허용할 수 있나?”임

    • 유럽의회 입장은 특정 사용자나 그룹에 대한 합리적 의심과 사법 허가가 있어야 한다는 쪽에 가까움
    • Council은 더 넓은 risk mitigation 의무와 자발적 탐지 조치를 계속 밀고 있음
    • 비판자들은 이런 방식이 결국 대량 스캔을 유도한다고 봄
  • 흥미로운 건 Council 내부 법률 서비스조차 경고를 했다는 점임

    • 보도에 따르면 Council Legal Service는 6월에 “자발적” 일반 스캔도 합리적 의심과 사전 사법 허가 없이는 EU 기본권 헌장 제7조와 충돌할 수 있다고 봄
    • 제7조는 사생활과 통신의 존중을 다루는 조항이라, 메시지 스캔 논쟁의 핵심 법적 기준임
    • 즉 이건 시민단체만 반대하는 이슈가 아니라, 법적 안정성 자체도 논쟁 중인 사안임
  • 개발자 관점에서는 이 뉴스가 꽤 실무적인 의미를 가짐

    • 글로벌 메신저, 이메일, 클라우드 서비스는 EU 규제에 맞춰 아키텍처와 정책을 바꾸고, 그 영향은 다른 지역 사용자에게도 번질 수 있음
    • client-side scanning이 강해지면 앱이 암호화 전에 콘텐츠를 검사해야 하는 요구사항이 생길 수 있고, 이건 보안 모델과 사용자 신뢰를 직접 건드림
    • 한국 팀이 유럽 사용자에게 서비스를 제공하거나 글로벌 플랫폼 위에서 제품을 만든다면, “프라이버시 by design”이 법무팀 문구가 아니라 실제 설계 조건이 될 수 있음
  • 결론은 아직 확정은 아니지만, EU가 다시 사적 메시지 스캔의 문을 열 가능성이 꽤 가까워졌다는 것임

    • 7월 9일 표결 결과에 따라 임시 프레임워크가 돌아올 수 있음
    • 동시에 더 넓고 논쟁적인 영구 법안 협상은 계속 남아 있음
    • CSAM 대응이라는 명분과 통신 비밀이라는 기본권이 정면으로 부딪히는, 플랫폼 보안 설계의 오래된 난제가 다시 올라온 셈임

한국 개발자에게도 남의 일이 아닌 이유는 메신저, 이메일, 클라우드 플랫폼이 다 글로벌 서비스고, EU 규제가 실제 제품 설계와 암호화 정책에 영향을 주기 때문임. 특히 client-side scanning이 다시 힘을 얻으면 ‘E2E 암호화인데 서버나 앱이 어디까지 들여다볼 수 있나’라는 논쟁이 제품 요구사항으로 내려올 수 있음.

댓글

댓글

댓글을 불러오는 중...

security

Tenda 공유기 펌웨어 여러 버전에서 숨겨진 관리자 백도어 발견

Tenda의 여러 공유기 펌웨어에서 문서화되지 않은 인증 백도어가 발견됐다. CVE-2026-11405로 추적되는 이 취약점은 정상 비밀번호 검증이 실패한 뒤 별도 설정값과 평문 비교를 수행해 관리자 세션을 만들어준다. 패치는 아직 없고, 원격 관리를 끄고 노출을 줄이는 식의 완화책만 제시된 상태다.

security

GS네오텍, 공격 경로까지 보여주는 클라우드 보안 플랫폼 ‘시큐리티 렌즈’ 출시

GS네오텍이 국내 기업 환경을 겨냥한 클라우드 보안 통합 플랫폼 ‘시큐리티 렌즈’를 출시했다. ISMS-P와 정보보호 공시 대응, 공격 경로 시각화, 보안 특화 AI 에이전트 ‘네오봇’을 앞세워 외산 보안 도구의 번역·재해석 부담을 줄이겠다는 방향이다.

security

크립토랩 ‘인벡터’, 암호화한 채 벡터 검색하는 AI 보안 솔루션으로 구글 클라우드 마켓플레이스 입점

크립토랩의 동형암호 기반 실시간 벡터 검색 엔진 ‘인벡터’가 구글 클라우드 마켓플레이스에 입점했다. 생성형 AI와 RAG에서 민감 데이터를 벡터 검색에 활용할 때, 데이터를 복호화하지 않고도 유사도 계산과 검색을 수행하는 보안 접근이 핵심이다.

security

깃허브 AI 에이전트, 공개 이슈 하나로 비공개 저장소 내용을 흘릴 수 있었다

노마 랩스가 깃허브의 Agentic Workflows에서 간접 프롬프트 인젝션 취약점인 GitLost를 발견했다. 공격자는 같은 조직의 공개 저장소에 조작된 이슈를 올리는 것만으로 AI 에이전트가 비공개 저장소의 README 내용을 공개 댓글로 남기게 만들 수 있었다.

security

비트컴퓨터 클라우드 전자의무기록 ‘클레머’, 국가 인증 획득

비트컴퓨터의 클라우드 전자의무기록 시스템 클레머가 보건복지부와 한국보건의료정보원이 운영하는 국가 전자의무기록시스템 인증을 받았다. 기능성, 상호운용성, 보안성 3개 부문의 필수 기준을 통과했고, 특히 클라우드 외부보관 보안 항목까지 충족했다.