본문으로 건너뛰기
피드

유럽의회, 사적 메시지 대량 스캔 ‘챗 컨트롤 1.0’ 다시 허용

security 약 6분
vote
0
댓글
북마크

유럽의회가 사적 통신을 영장이나 혐의 없이 스캔할 수 있게 하는 임시 규정을 2028년까지 다시 허용했음. 찬반 투표만 보면 반대가 더 많았지만, 절대 과반 기준을 넘기지 못해 거부안이 부결된 게 핵심임. 암호화 메신저는 상징적으로 제외됐지만, 인스타그램, 디스코드, 지메일, 아이클라우드 같은 일부 플랫폼의 비암호화 사적 메시지 스캔은 다시 가능해졌음.

  • 1

    반대 314표, 찬성 276표였지만 절대 과반 361표를 못 넘겨 거부안이 실패함

  • 2

    챗 컨트롤 1.0은 2028년까지 유지되거나 영구 규정 합의 전까지 적용됨

  • 3

    독일 연방범죄수사청 기준 신고의 48%는 애초에 범죄 관련성이 없다고 나옴

  • 4

    유럽연합 집행위원회도 무차별 스캔이 유죄 판결 증가나 아동 구조 증가로 이어졌다는 증거는 없다고 인정함

  • 유럽의회가 이른바 ‘챗 컨트롤 1.0’을 다시 통과시켰음. 핵심은 일부 플랫폼이 사적 메시지를 영장이나 사전 혐의 없이 스캔할 수 있게 됐다는 점임
    • 표결 자체는 반대 314표, 찬성 276표, 기권 17표였음
    • 그런데 거부안이 통과되려면 절대 과반인 361표가 필요했고, 반대가 더 많았는데도 숫자가 모자라서 실패함
    • 그래서 임시 규정은 2028년까지, 혹은 영구 규정이 합의될 때까지 다시 살아남음

중요

> 이 건은 “찬성이 더 많아서 통과”가 아님. 반대가 더 많았는데도 절대 과반 문턱 때문에 거부가 실패한 케이스라 정치적으로 더 시끄러울 수밖에 없음.

  • 이번에 다시 허용되는 건 ‘모든 메신저 감시’라기보단, 일부 미국 빅테크의 비암호화 사적 메시지 스캔임

    • 영향을 받는 예로는 인스타그램 DM, 디스코드, 스냅챗, 스카이프, 엑스박스 메시지, 구글 지메일, 애플 아이클라우드 이메일 등이 언급됨
    • 공개 소셜미디어 게시물이나 클라우드에 올라간 파일은 이미 이 법 없이도 스캔될 수 있었음
    • 사용자가 직접 신고하거나, 법원이 명령한 표적 감청을 하는 것도 원래 가능했음
  • 종단 간 암호화(End-to-end encryption) 채팅은 이번에도 실질적으로 스캔 대상이 아님

    • 왓츠앱 같은 종단 간 암호화 채팅은 원래 이런 스캔에서 빠져 있었음
    • 유럽 메신저·이메일 사업자들도 이런 챗 컨트롤 방식의 스캔을 구현한 적이 없다고 기사에서 설명함
    • 그래서 ‘보호 공백을 막는다’는 표현이 과장이라는 비판이 나옴
  • 반대 측의 핵심 논리는 꽤 직설적임. 무차별 대량 스캔이 아동 보호에 효과적이라는 증거가 없다는 것임

    • 2022년 이후 메시지 암호화가 늘면서 미국발 의심 신고량은 이미 50% 줄었음
    • 2024년 기준 사적 채팅 대량 스캔은 전체 아동 성착취 의심 신고의 36%만 차지했고, 다수는 공개 게시물과 클라우드 저장소에서 나왔음
    • 독일 연방범죄수사청(BKA)은 들어오는 알림의 48%가 애초에 범죄 관련성이 없다고 보고함
    • 이어지는 수사 중 40%는 미성년자 본인을 대상으로 한다는 통계도 있음
  • 메타에서 생성되는 신고의 약 99%는 이미 알려진 자료라고 추정됨

    • 이 말은 새로 진행 중인 학대를 찾아내는 데는 한계가 크다는 뜻임
    • 유럽연합 집행위원회도 무차별 사적 통신 스캔이 유죄 판결 증가나 구조된 아동 증가로 이어졌다는 증거는 없다고 인정함

⚠️주의

> 오탐이 많은 감시 시스템은 경찰 리소스를 먹어치우고, 정작 실제 피해자 지원과 표적 수사를 밀어낼 수 있음. “뭔가 하고 있다”는 느낌과 실제 효과는 다를 수 있음.

  • 지금 병행해서 논의 중인 영구 규정은 ‘챗 컨트롤 2.0’으로 불림

    • 유럽의회 쪽은 무차별 스캔 대신, 실제 범죄 용의자에게 법적으로 타깃팅된 탐지 명령을 내리는 방향을 요구함
    • 알려진 학대 자료를 공개 인터넷에서 체계적으로 제거하는 유럽 아동보호센터도 제안됨
    • 메신저 앱에는 사이버 그루밍을 막기 위한 보안 설계 기준, 즉 Security by Design을 적용하자는 입장임
  • 피해 생존자들도 무차별 스캔이 피해자 보호와 꼭 같은 편이 아니라고 말함

    • 한 생존자는 28명의 피해 사실을 밝히고 가해자 유죄 판결을 이끌어내는 데 비밀 통신이 필요했다고 설명함
    • 또 다른 생존자는 진짜 보호란 자료를 원천에서 삭제하고, 다크넷 수사를 강화하고, 아이들을 위한 안전한 앱을 처음부터 설계하는 것이라고 말함
    • 프라이버시가 가해자를 숨기는 도구만이 아니라, 피해자가 말할 수 있는 조건이 될 수도 있다는 얘기임

기술 맥락

  • 이 이슈의 기술적 선택은 사적 메시지를 플랫폼이 선제적으로 스캔하게 둘지, 아니면 법원이 특정 용의자에게 내리는 표적 탐지 명령으로 제한할지예요. 왜 중요하냐면 두 방식은 같은 “아동 보호”라는 목표를 말해도 시스템 설계가 완전히 달라지거든요.

  • 무차별 스캔은 플랫폼 레이어에서 대량으로 돌아가요. 그래서 인스타그램 DM이나 지메일처럼 사업자가 내용을 볼 수 있는 영역에서는 적용 가능하지만, 종단 간 암호화 메신저에서는 서버가 내용을 못 보니 구조적으로 잘 맞지 않아요.

  • 기사에서 나온 수치가 중요한 이유는 효과 측정 때문이에요. 신고의 48%가 범죄 관련성이 없고, 메타 신고의 약 99%가 이미 알려진 자료라면, 이 시스템이 새 피해를 빠르게 막는 도구인지 계속 의심할 수밖에 없어요.

  • 유럽의회가 말하는 대안은 수사기관, 법원, 플랫폼의 역할을 더 분리하는 쪽이에요. 혐의가 있는 대상에게 법적 절차를 거쳐 탐지 명령을 내리고, 공개 인터넷의 불법 자료는 별도 센터가 체계적으로 제거하자는 구성이죠.

이 이슈는 ‘아동 보호냐 프라이버시냐’처럼 단순한 양자택일로 보면 놓치는 게 많음. 실제 쟁점은 무차별 스캔이 효과적인 수사 도구인지, 아니면 플랫폼과 국가가 사적 통신 감시를 정상화하는 우회로인지에 가까움.

댓글

댓글

댓글을 불러오는 중...

security

AI 에이전트 프레임워크까지 뚫은 npm 공급망 공격, 이번엔 북한 배후 정황

npm 공급망 공격이 8주 사이 6차례 이어졌고, AI 에이전트 프레임워크 마스트라 관련 패키지 140여 개가 단 19분 만에 감염됐다. 마이크로소프트는 이번 공격을 북한 해킹 조직 새파이어슬릿의 소행으로 지목했고, 악성코드는 윈도·맥OS·리눅스에서 암호화폐 지갑과 클라우드 인증정보를 노렸다.

security

교보증권, 생성형 인공지능으로 임직원 정보보호 교육 콘텐츠 제작

교보증권이 임직원 정보보호 교육에 생성형 인공지능을 도입해 교육 영상을 자체 제작했다. 주제는 일상 보안수칙, 랜섬웨어 예방을 위한 피시 보안, 디지털 금융보안이며 퀴즈 이벤트로 교육 효과를 높이려 했다. 기술 깊이는 얕지만 금융권 보안 교육에서도 생성형 인공지능 활용이 점점 일상화되고 있다는 신호로 볼 만하다.

security

경찰, 성착취물 증거 분석 320시간을 3시간으로 줄이는 AI 도구 배포

경찰청이 AI 기반 성착취물 탐지 및 증거서류 자동 작성 프로그램을 전국 수사관에게 배포했다. 403시간 분량의 동영상 4215개, 890GB를 분석하던 작업이 기존 약 320시간에서 약 3시간으로 줄었다는 실증 결과가 핵심이다.

security

EU, 사적 메시지 스캔 규칙 부활 직전까지 갔다

유럽의회가 만료됐던 ‘Chat Control 1.0’ 성격의 임시 규칙을 빠르게 다시 심의하는 절차를 승인했다. 이 규칙은 플랫폼이 아동 성착취물 탐지를 명목으로 사적 통신을 자발적으로 스캔할 수 있게 해주는 법적 예외를 되살리는 내용이다. 7월 9일 본회의 표결에서 반대 측이 전체 의원 절대다수인 361표를 확보하지 못하면, 추가 안전장치 없이 Council 문안이 통과될 가능성이 있다.

security

Tenda 공유기 펌웨어 여러 버전에서 숨겨진 관리자 백도어 발견

Tenda의 여러 공유기 펌웨어에서 문서화되지 않은 인증 백도어가 발견됐다. CVE-2026-11405로 추적되는 이 취약점은 정상 비밀번호 검증이 실패한 뒤 별도 설정값과 평문 비교를 수행해 관리자 세션을 만들어준다. 패치는 아직 없고, 원격 관리를 끄고 노출을 줄이는 식의 완화책만 제시된 상태다.