EU 연령 확인 사양이 Android 또는 iOS 플랫폼을 강제

EU 연령 확인 사양이 Android 또는 iOS 플랫폼을 강제합니다

EU 사양은 연령 확인을 Google 및 Apple 인증에 연결합니다

유럽 디지털 신원 지갑 프로젝트에서 발표한 기술 사양은 앱 및 기기 인증이 Google Play Integrity API와 Apple App Attestation을 기반으로 해야 한다고 명시하고 있습니다. 두 API 모두 Google 인증 Android 기기와 iOS 기기에서만 사용할 수 있기 때문에, 이 사양을 채택하는 서비스는 해당 플랫폼에서만 작동하게 됩니다.

"Google Play Integrity API와 Apple App Attestation을 기반으로 한 앱 및 기기 인증" – eu-digital-identity-wallet/av-doc-technical-specification 저장소의 README.

왜 중요한가

  • 플랫폼 종속 – EU의 향후 연령 확인 규정을 준수해야 하는 개발자는 Google Play 또는 Apple App Store를 통해 앱을 배포하거나, 최소한 필요한 인증을 제공할 수 있는 기기에서만 실행해야 합니다.
  • 대안 배제 – Linux 기반 모바일 OS, Google 서비스가 없는 AOSP 포크, 그리고 Google/Apple 생태계가 아닌 모든 시스템은 이 요구사항을 충족할 수 없으며, 사실상 EU 사용자에게 서비스를 제공할 수 없게 됩니다.
  • 데이터 프라이버시 우려 – 인증 과정에서 사용자의 기기 수준 무결성 데이터가 Google 또는 Apple에 전달되며, 이 미국 기업들에게 얼마나 많은 생체·사용 정보가 공유되는지에 대한 의문이 제기됩니다.
  • 규제 선례 – 이 사양이 법적 효력을 갖게 되면, 외국 인프라에 의존하는 미래 EU 디지털 주권 조치에 대한 선례가 될 수 있습니다.

Hacker News에서의 커뮤니티 반응

이 논의는 273개의 댓글을 모았으며, 많은 댓글이 보다 넓은 정치·기술적 함의를 강조했습니다.

정부 발행 앱 vs. 민간 부문 솔루션

한 댓글은 정부가 제공하는 인증 앱이 현재와 같이 미국 민간 기업(예: Roblox)에게 생체 데이터를 넘기는 것보다 프라이버시를 더 잘 보호할 것이라고 주장했습니다.

"나는 개인 데이터 판매 동기가 전혀 없는, 프라이버시를 보장하는 정부 제공 앱을 훨씬 선호합니다…" – skrebbel

디지털 주권과 누락된 모바일 기기 전략

다른 사용자는 EU 관계자들이 클라우드 워크로드를 미국 공급업체에서 옮기는 데는 집중하지만, 모바일 기기 계층은 무시하고 있다고 지적했습니다.

"모바일 플랫폼에 대한 이야기가 전혀 없습니다… 데스크톱용 Linux와 같은 대안도 없고, 존재하는 소수의 대안에 대한 투자나 관심도 없습니다…" – blop

강제 인증에 대한 회의론

일부 참여자는 실제 목표가 아동 보호보다 광범위한 감시일 수 있다고 경고했습니다.

"문제는 어떻게 기술적으로 연령 인증을 강제할 것인가가 아니라, 왜 모두에게 강요하고 있는가 하는 것입니다." – gobip

기술적 설명

한 댓글은 Play Integrity API가 Google 계정을 필요로 하며, 이는 또 다른 사용자 식별 데이터를 추가한다는 점을 언급했습니다.

"Play Integrity는 Google 계정이 필요하고, 해당 계정으로 전화기에 로그인해야 합니다." – g-b-r

저장소 오해

다른 사용자는 GitHub 저장소에 실제 서비스용 앱이 아니라 참고 구현과 사양만 포함되어 있다고 명확히 했습니다.

"사양이 이를 금지하는 것은 아닙니다… 존재하는 앱은 단지 참고 구현일 뿐, 최종 사용자용이 아닙니다." – perching_aix

EU 디지털 시장에 미칠 잠재적 영향

  1. 경쟁 감소 – 작은 모바일 OS 공급업체(예: /e/OS, Ubuntu Touch)는 연령 확인 규정을 충족해야 하는 EU 사용자에게 서비스를 제공할 기회를 잃게 됩니다.
  2. 미국 기술 의존 증가 – Google 및 Apple 인증 서비스에 의존함으로써 EU는 미국 인프라에 대한 의존도를 의도치 않게 심화시킵니다.
  3. 법적 도전 – 기업들은 이 요구사항이 EU 자체 디지털 시장법(Digital Markets Act)을 위반한다며 소송을 제기할 수 있습니다.
  4. 사용자 반발 – 소비자와 프라이버시 옹호자들은 외국 공급업체와 연결된 정부 지정 앱 설치를 강요하는 시스템에 저항할 가능성이 높습니다.

흐름을 바꿀 수 있는 방안은?

  • EU가 직접 관리하는 인증 서비스 개발 – Play Integrity와 App Attestation에 대한 주권 대안을 마련하면 종속성을 끊을 수 있습니다.
  • 사양 수정 – Google/Apple API에 국한하지 않고, 암호학적으로 검증 가능한 모든 인증 메커니즘을 허용하도록 명시합니다.
  • 입법적 보호장치 – 모든 의무 인증이 데이터 최소화 원칙을 준수하고, 사실상의 감시 도구가 되지 않도록 보장합니다.

결론

EU의 현재 연령 확인 초안은 Google Play Integrity와 Apple App Attestation을 의무화함으로써 Android와 iOS 기기에만 서비스를 강제합니다. 이는 플랫폼 종속을 초래하고 프라이버시 우려를 증폭시키며, EU의 디지털 주권 목표와도 상충됩니다. 사양이 확대되거나 EU가 직접 관리하는 인증 계층이 구축되지 않는 한, 이 제안은 기술적·법적·여론적 도전에 직면할 가능성이 높습니다.

Sources