# EU 의회조사처, VPN을 “닫아야 할 허점”이라고 불러

> Clean Markdown view of GeekNews topic #29349. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=29349](https://news.hada.io/topic?id=29349)
- GeekNews Markdown: [https://news.hada.io/topic/29349.md](https://news.hada.io/topic/29349.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-05-10T09:58:31+09:00
- Updated: 2026-05-10T09:58:31+09:00
- Original source: [cyberinsider.com](https://cyberinsider.com/eu-calls-vpns-a-loophole-that-needs-closing-in-age-verification-push/)
- Points: 2
- Comments: 1

## Topic Body

- **European Parliamentary Research Service(EPRS)** 는 VPN이 온라인 연령 확인 시스템 우회에 점점 더 많이 쓰인다며, 이를 “닫아야 할 입법상의 허점”으로 규정함
- 유럽과 다른 지역의 정부들은 성인용 또는 연령 제한 콘텐츠 접근 전에 플랫폼이 사용자 나이를 확인하도록 요구하는 **온라인 아동 안전 규칙**을 확대 중임
- [EPRS](https://x.com/EP_EPRS/status/2051959573917929731)는 영국과 여러 미국 주에서 의무적 연령 확인 법이 시행된 뒤 [VPN 사용이 급증](https://cyberinsider.com/proton-vpn-signups-in-uk-surge-1400-after-online-safety-act-comes-into-force/)했고, 영국에서는 VPN 앱이 다운로드 차트를 장악했다고 밝힘
- EPRS [문서](<https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/782618/EPRS_ATA(2026>)782618_EN.pdf)는 일부 정책 입안자와 아동 안전 옹호자들이 VPN 접근 자체에도 **연령 확인**을 요구하지만, VPN 접근 전 신원 확인은 익명성 보호를 약화시키고 감시·데이터 수집 위험을 키울 수 있다고 봄
- EPRS는 EU가 사이버보안 및 온라인 안전 법제를 개정하면서 **VPN 제공업체**가 더 강한 조사를 받을 수 있고, 향후 EU Cybersecurity Act 개정에서 VPN 오용을 막기 위한 아동 안전 요건이 도입될 수 있다고 밝힘

---

### EPRS의 VPN 규제 공백 경고
- European Parliamentary Research Service(EPRS)는 VPN이 온라인 연령 확인 시스템 우회에 점점 더 많이 쓰이고 있다며, 이를 “닫아야 할 입법상의 허점”이라고 표현함
- 유럽과 다른 지역의 정부들은 성인용 또는 연령 제한 콘텐츠 접근 전에 플랫폼이 사용자 나이를 확인하도록 요구하는 온라인 아동 안전 규칙을 확대 중임
- VPN은 인터넷 트래픽을 암호화하고 원격 서버를 통해 연결을 라우팅해 사용자의 IP 주소를 숨기는 개인정보 보호 도구임
- VPN은 통신 보호, 감시 회피, 안전한 원격 근무 같은 합법적 목적에도 널리 쓰이지만, 규제 당국은 같은 기술이 미성년자의 지역 기반 연령 확인 우회를 가능하게 한다고 우려함

### 연령 확인 법 시행 뒤 VPN 사용 증가
- [EPRS](https://x.com/EP_EPRS/status/2051959573917929731)는 영국과 여러 미국 주에서 의무적 연령 확인 법이 시행된 뒤 [VPN 사용이 급증](https://cyberinsider.com/proton-vpn-signups-in-uk-surge-1400-after-online-safety-act-comes-into-force/)했다고 밝힘
- 영국에서는 온라인 서비스가 아동의 유해 콘텐츠 접근을 막아야 하며, 법 시행 뒤 VPN 앱이 다운로드 차트를 장악한 것으로 전해짐
- EPRS의 게시물은 “VPN은 온라인 연령 확인을 우회하는 데 점점 더 많이 사용된다”고 적고, 일부 서비스 접근에 최소 연령을 요구하는 새 규칙이 시행되고 있다고 밝힘

### VPN 접근 자체에 연령 확인을 요구하려는 흐름
- EPRS [문서](<https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/782618/EPRS_ATA(2026>)782618_EN.pdf)는 VPN을 규제 공백으로 명시하며, 일부 정책 입안자와 아동 안전 옹호자들이 VPN 접근 자체에도 연령 확인이 필요하다고 본다고 밝힘
- England’s Children’s Commissioner도 VPN 서비스를 성인 전용으로 제한해야 한다고 요구함
- 하지만 VPN 접근 전에 신원 확인을 강제하면 익명성 보호가 크게 약화되고, 감시와 데이터 수집과 관련한 새 위험이 생길 수 있음
- VPN 제공업체와 개인정보 보호 단체들은 이미 영국 정책 입안자들에게 보낸 [서한](https://cyberinsider.com/mozilla-mullvad-proton-sign-letter-opposing-uk-age-verification/)에서 이런 접근에 반대함

### EU 연령 확인 앱의 보안·개인정보 문제
- 지난달 연구자들은 European Commission의 공식 연령 확인 앱이 출시된 직후 [여러 보안·개인정보 결함](https://cyberinsider.com/eus-official-age-verification-app-found-exposing-sensitive-user-data/)을 발견함
- 이 앱은 DSA 프레임워크 아래 개인정보 보호형 도구로 홍보됐지만, 민감한 생체 이미지가 암호화되지 않은 위치에 저장되는 문제가 발견됨
- 검증 통제를 완전히 우회할 수 있는 약점도 노출됨

### 기술적으로 어려운 연령 확인과 대안
- EPRS 문서는 연령 확인이 EU 전역에서 여전히 기술적으로 어렵고 단편화돼 있다고 인정함
- 자기 신고, 연령 추정, 신원 확인에 기반한 현행 시스템은 미성년자가 비교적 쉽게 우회할 수 있음
- 프랑스에서 쓰이는 “double-blind” 검증 같은 새 접근도 제시됨
  - 웹사이트는 사용자가 연령 요건을 충족한다는 확인만 받고 사용자의 신원은 알지 못함
  - 검증 제공자는 사용자가 어떤 웹사이트를 방문하는지 보지 못함

### VPN을 직접 다루기 시작한 입법
- Utah는 최근 온라인 연령 확인에서 VPN 사용을 명시적으로 겨냥한 법을 제정한 첫 미국 주가 됨
- Utah의 [SB 73](https://cyberinsider.com/utah-becomes-first-us-state-to-require-age-verification-for-vpn-use/)은 VPN이나 프록시 서비스로 위치를 숨기더라도, 사용자의 위치를 겉으로 보이는 IP 주소가 아니라 물리적 존재 기준으로 정의함
- EPRS는 EU가 사이버보안 및 온라인 안전 법제를 개정하면서 VPN 제공업체가 더 강한 조사를 받을 수 있다고 봄
- 향후 EU Cybersecurity Act 개정에서 법적 보호를 우회하는 VPN 오용을 막기 위한 아동 안전 요건이 도입될 수 있다고 밝힘

## Comments



### Comment 57149

- Author: neo
- Created: 2026-05-10T09:58:31+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48072190) 
- 사람들이 잊었을까 봐 말하면, 중국이 웹사이트 운영 전에 등록 허가를 요구하기 시작했을 때도 명분은 **아이들 보호**였음  
  이 단순한 정책은 결국 개인 발행자와 자영 미디어 대부분을 침묵시키고, 산업을 소수 손에 집중시켰으며, 작은 창업자에게 남은 기회를 없앴음. 아이들이 온라인 포르노를 보는 것보다 훨씬 나쁜 결과일 수 있음. 사람들의 평생에 부정적 영향을 주기 때문임  
  EU가 정말 **VPN 서비스를 성인 전용**으로 제한하고 싶다면, VPN을 쓰는 아이나 이를 허용한 부모에게 벌금을 물리면 됨. 교통 위반은 도로가 아니라 운전자에게 벌금을 매기는 것과 같음  
  그래도 충분하지 않다고 생각한다면, 북한처럼 케이블을 끊으면 됨
  - 러시아에서 일이 어떻게 진행됐는지 요약하면 이렇다  
    2015년쯤 불법 복제 미디어, 특히 torrents.ru를 막는다는 명분으로 법적 틀이 만들어졌고, 전국 단위 **DNS 차단**이 도입됐지만 8.8.8.8을 질의하면 쉽게 우회 가능했음  
    이후 정부는 그 법적 근거로 카지노, 테러 조직 등 추가 항목을 차단 목록에 넣었고 IP 차단도 조심스럽게 적용하기 시작함  
    법은 더 넓어져 정부가 모호한 기준으로 특정 미디어를 차단할 수 있게 됐고, 대형 사이트 일부에 IP 차단을 시도했으며, ISP에는 HTTPS SNI 기준 필터링을 위한 **DPI 장비** 설치가 의무화됨  
    2019년쯤 법원 명령 없이 차단을 집행하는 정부 기관 Roskomnadzor(RKN)가 만들어졌고, 2021년쯤에는 RKN 요청에 따라 러시아 법 기준으로 콘텐츠를 필터링하지 않는 사이트가 차단되기 시작했으며, VPN 서비스도 DPI로 트래픽을 필터링해야 했음  
    2023년쯤 VPN 단속이 시작돼 인기 상용 서비스가 IP 차단되고 OpenVPN과 IPSec 연결이 DPI로 선택적으로 느려졌으며, 2025년쯤에는 vless, WireGuard 등 강한 VPN 필터링이 도입되고 YouTube, Twitter 같은 특정 사이트 성능도 저하됨
  - 정치인, 법 집행기관, 군인까지 이런 **반프라이버시 법**의 적용을 똑같이 받는다면 찬성하고 싶음. 물론 진짜 찬성은 아님  
    야당이 그들의 더러운 자료를 폭로해서 일상적 부패가 드러나고, 서로 그 데이터를 무기로 쓰는 일이 반복되겠지만 그런 세상은 오지 않음. 법이 모두에게 공정하게 적용되는 세계에 살고 있지 않기 때문임  
    “너희에게만 규칙, 나에게는 아님”이라는 얘기임
  - 너무 논리적인 질문을 하고 있음. 2026년의 세계 시민치고는 너무 많이 생각하고 말하는 중임. 이제 “추론”은 챗봇 전용 예약어라 인간은 더 이상 하면 안 되고, 봇처럼 복종하면서 그들이 말하는 모든 거짓말을 진실인 척해야 함  
    나는 튀르키예에 사는데, 정부가 2008년쯤 모든 **성인 사이트**를 금지했음. 성인이라도 접근할 수 없음. 올해는 전 세계 흐름과 맞춰 VPN을 금지하고, 연령 확인과 신원 확인을 도입하고 있음  
    일부 게임도 금지하고, 소셜 미디어를 통제하고, 인터넷에서 모두를 통제하고 추적하는 일을 합법화하는 중임. 여러 독립 국가에서 비슷한 시도가 동시에 벌어지는 게 참 우연임  
    그리고 튀르키예에서 2008년 이후 아이들이 실제로 보호된 것도 아님
  - “아이들을 보호하자”는 논리는 항상 들림. 규제나 법에 반대하는 사람을 좋게 봐도 “아이들을 위험에 노출시키는 사람”, 나쁘게 보면 “소아성애자”로 낙인찍을 수 있기 때문임  
    그 결과 그런 규제나 법의 반대자는 좋게 봐도 들을 가치가 없는 사람이 되고, 나쁘게 보면 감옥에 보내야 할 사람이 됨  
    [https://en.wikipedia.org/wiki/Think_of_the_children](<https://en.wikipedia.org/wiki/Think_of_the_children>)
  - 중국의 웹사이트 등록 허가제가 “아이들 보호” 명분이었다는 건 기억나지 않고, 공개적으로 그런 정당화가 크게 있었다는 근거도 찾기 어려움  
    내가 보기엔 정부가 인터넷에 대한 통제를 더 필요로 한다고 판단했고, 그래서 통제를 더 주는 법을 만든 것에 가까움. [https://www.gov.cn/gongbao/content/2000/content_60531.htm](<https://www.gov.cn/gongbao/content/2000/content_60531.htm>)  
    그 법에는 처음엔 아이들에게만 한정됐다가 나중에 성인으로 확대된 특별 조항도 없음. 한편 아이들의 게임 시간 제한은 내가 알기로 여전히 아이들에게만 적용됨

- 이 제목은 오해를 부르는 것 같음  
  유럽의회 문서는 VPN에 관한 **논쟁의 존재**를 짚는 것으로 보임  
  관련 문구는 “일부는 이것이 법의 허점이며 VPN에도 연령 확인을 요구해야 한다고 주장한다. 이에 대해 일부 VPN 제공업체는 제3자와 정보를 공유하지 않으며, 애초에 자사 서비스가 아이들의 사용을 의도한 것이 아니라고 말한다. 영국 아동위원은 VPN을 성인 사용으로만 제한해야 한다고 요구했다”는 식임  
  물론 EU가 VPN을 규제하지 않을 거라고 말하는 건 아니지만, 이 문서 어디에도 “EU”가 VPN을 닫아야 한다고 말하진 않음
  - 이런 멍청한 사람들은, EU만 말하는 건 아니고, 진지하게 청소년의 포르노 시청을 막으려 하며 그걸 위해 **인터넷 인프라**를 망가뜨릴 준비가 돼 있음. 고령화 사회의 우울한 징후임
  - 그 제목은 해당 문서 장의 정확한 제목이기도 함  
    전체적으로는 주제를 균형 있게 다루고 있다는 지적은 맞지만, 그 특정 문장 선택은 좋지 않았고 분노 기계에 먹잇감을 주는 표현이 됐음  
    [https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/7826...](<https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/782618/EPRS_ATA(2026)782618_EN.pdf>)
  - 아이들에게 벌거벗은 인간을 보여주는 건 끔찍한 범죄임  
    아이들을 폭격하는 건 괜찮고, 거기에 필요한 모든 무기를 기쁘게 생산하고 배송함  
    병든 사회의 패턴임
  - “Children's Commissioner for England”는 EU가 아님. 정말 EU가 아님. 영국은 선거와 수년간의 절차를 거쳐 **EU를 떠났음**
  - 새로운 “헤드라인의 법칙”이 필요함. EU가 뭔가 말했다고 제목에 나오면, 실제로는 **EU가 말한 게 아님**

- 모든 신원 확인 제도는 회사의 **실소유자**부터 시작해야 한다고 봄  
  정부는 의심스러운 일을 하는 사업체를 소유한 부자들이 완전한 익명성을 유지하도록 로비를 받아 왔고, 보통 사람들은 식료품을 사는 데도 신분증을 보여줘야 하는 쪽으로 가고 있음
  - 맞음. 더 나쁘게는, 아무도 정부를 **프라이버시 보존형 연령 확인** 쪽으로 밀어붙이려 하지 않음  
    대신 기술자들은 그냥 아무것도 규제하지 말라고 설득하려 하는데, 그게 잘 먹히지 않을 수 있음
  - 그런 공개를 요구하는 관할권에 사는 입장에서 말하면, 이는 **소기업**에는 상당한 불편이고 일반 대중에게는 별 이득이 없음
  - 지배 계급에게는 **페이퍼컴퍼니**, 농민에게는 계속 줄어드는 익명성임

- VPN을 정말 막고 싶어 하는 쪽은 상업 스트리밍 업체들, 특히 **실시간 스포츠** 쪽임  
  국가나 집권당과 상관없이 결국 돈으로 돌아옴
  - 이 부분은 더 강조될 필요가 있음  
    정부만의 문제가 아님. 돈을 가진 일부 **대기업**도 조용히 밀고 있음

- 세금 허점은 왜 그만큼 감시받지 않는 걸까  
  온라인 **의무 연령 확인**은 내 생각엔 해악이고, 불법화돼야 함
  - 동의함. 웹에서의 연령 확인은 100% 금지돼야 함  
    부모는 부모 역할을 배워야 하고, 정부가 기업에 양육을 대신 강제해서는 안 됨
  - 세금 “허점”은 그냥 네가 동의하지 않는 **의도된 정책**일 뿐임
  - 감시받지 않는다고 생각하는 이유가 뭔가? 특히 **Double Irish Dutch Sandwich**는 단속됐음
  - 왜 그렇게 생각함? 운전면허를 갱신할 때나 Amazon에서 뭔가 살 때도 나이 확인이 되지 않나?  
    내가 어릴 때는 아동 프로그램과 광고가 엄격하게 감시됐음. 지금은 어떤 아이든 인터넷에서 포르노, 폭력, 사기에 접근할 수 있음. 해악은 연령 확인이 아니라 그쪽임
  - 세금 허점을 어떻게 정의할 수 있나? “세금 허점”이라는 이름의 단일 행위가 있는 게 아니라, 각각은 완전히 합법적인 관행들의 묶음을 최적화로 쓰는 것이라 정의하기 어렵고, 따라서 감시하기도 어려움  
    끝없는 두더지 잡기임

- EU 정부 관계자가 이걸 읽고 있다면 짧게 전하고 싶음  
  제발 인터넷에서 아이들을 생각하는 걸 멈춰줬으면 함. 대신 더 긴급하게 해야 할 일은 이쪽임  
  대기업에 더 많은 세금을 걷고, 초부유층에도 더 과세하고, EU산 **오픈소스 기술과 인프라**에 자금을 대야 함  
  부모가 아이들과 더 많은 시간을 보내게 해서, 어떤 멍청한 법보다도 더 잘 자녀를 보호하고 포식자로부터 지킬 수 있게 해야 함  
  그리고 기차를 더 늘려야 함

- 계속 머릿속을 맴도는 질문이 있음  
  왜 **연령 확인**이 신원 확인과 연결되는 걸까?  
  전자가 후자 없이는 불가능한 이유는 이해하지만, 확인을 담당하는 기관이 다른 세부 정보 없이 연령 확인 결과만 넘기면 되는 것 아닌가?  
  내가 잘못 알고 있는 건가? 그게 가능하다면 VPN은 계속 쓸 수 있을 것 같음
  - “이중 블라인드” 확인이 바로 그런 방식으로 보임  
    보고서는 프랑스에서 쓰이는 **이중 블라인드 확인 시스템** 같은 새 접근을 강조함. 웹사이트는 사용자의 신원을 알지 못한 채 연령 요건 충족 여부만 받고, 확인 제공자는 사용자가 어느 웹사이트를 방문하는지 보지 못하는 방식임
  - 적어도 EU처럼 자체 시스템을 강제하려 하고 독립적인 제3자에 의존하지 않으려는 경우라면, 정부가 **연령 확인 앱**을 통제하면서도 이를 존중할 것이라고 맹목적으로 믿어야 하는 문제임
  - 기술 관점에서는 DID, 즉 **분산 신원**과 그 검증 가능한 증명으로 약 10년 전부터 해결된 문제임  
    EU 디지털 지갑 프레임워크도 이를 기반으로 만들어졌고, 네가 말한 시나리오는 핵심 사용 사례임  
    이제 학계와 연구 영역에서 정치 영역으로 넘어가고 있으며, 상업 집단과 정치적 의제의 피드백과 압력이 판을 흐리고 있음  
    표준 문서 링크는 여기 있음. 더 짧고 쉽게 설명하는 고품질 영상도 쉽게 찾을 수 있음  
    [https://www.w3.org/TR/did-1.0/](<https://www.w3.org/TR/did-1.0/>)  
    [https://www.w3.org/TR/vc-data-model-2.0/](<https://www.w3.org/TR/vc-data-model-2.0/>)  
    참고로 이건 블록체인 시대의 건강한 부산물 중 하나이니, 암호화폐 홍보꾼들의 과장 영상에 휘둘리지 않는 게 좋음
  - 맞음. **프라이버시를 보존하는 방식의 연령 확인**은 가능함. 이 아이디어에 매우 강하게 반대하는 사람들 대부분은 그걸 모르는 것처럼 느껴짐  
    여기서 보이는 불만 대부분은 연령 확인이 곧 추적이라고 가정함  
    사람들이 불평하기 전에 조금만 알아봤다면, 프라이버시 보존형 연령 확인에 대한 흥미로운 논의가 가능했을 텐데 아쉬움

- 사람들은 소비자용 프라이버시 VPN만 보지만, EU 안에는 훨씬 넓은 **상업용 VPN** 사용 영역이 있음  
  두 지점을 하나의 네트워크로 잇는 지점 간 터널, 노트북과 모바일 기기에서 기업 자원에 접근하는 용도, 요즘 많은 사람이 강제로 쓰는 형편없는 인터넷의 일방향성을 보완하는 용도 등이 있음  
  기본적으로 원격근무를 조금이라도 한다면 지금 반드시 VPN을 쓰고 있다고 말하진 않겠지만, 가능성은 높음. 어쩌면 정치인 본인의 IT 백엔드도 행정부가 입법부를 과도하게 들여다보는 능력에 대해 나름의 생각이 있을 수 있음

- 정부는 이미 생년월일을 포함해 모두의 신분 정보를 갖고 있음. 문제는 미성년자가 성인 사이트와 서비스에 접근하는 것이라고 말하니, 사이트는 사용자가 18세 이상인지, 또는 정부가 정한 나이 이상인지 알면 됨  
  표준화된 **정부 신원 서비스/API**가 있어서 사용자가 요청하는 사이트나 서비스에 자신의 나이, 또는 선택한 정보만 공개하도록 허용할 수 있어야 함. 정부 신원 서비스가 적절한 2단계 인증과 보안을 갖췄다면 그게 필요한 전부임  
  요청과 응답은 적절히 익명화해 정부는 사이트를 모르고, 사이트는 개인의 신원을 모르게 만들 수 있음  
  왜 아직 이런 게 없을까? 내가 알기로는 아무도 제안하지 않았음
  - 이건 널리 논의됐고 초기 구현도 있음. **EU 디지털 지갑**이 정확히 이 일을 하고 있음. [https://ec.europa.eu/digital-building-blocks/sites/spaces/EU...](<https://ec.europa.eu/digital-building-blocks/sites/spaces/EUDIGITALIDENTITYWALLET/pages/930450954/The+Age+Verification+Manual>)  
    이론상 모든 EU 국가는 곧 이를 지원해야 하고, 사용자는 온라인에서 나이를 사적으로 증명하는 데 쓸 수 있게 됨. 실제 배포까지는 아직 할 일이 남았지만, 기술적인 부분은 이미 진행 중이고 배포 계획도 확정된 것으로 봄
  - 아님. 정부가 어떻게 작동하는지 이해하지 못하는 것 같음. 절대 익명화되지 않을 것이므로 끔찍한 아이디어임. 사실상 계정을 여권에 연결하자고 제안하는 셈임
  - 독일 정부 신분증은 그걸 지원함. PKI가 있고 신분증은 인증서와 개인키가 들어 있는 **스마트카드**임 [0]  
    “18세 이상인가”라는 질문에 영지식 증명으로 답할 수 있음. 결국 유효한 신분증을 소지하고 있고 그 PIN을 알고 있다는 것만 증명하는 셈이지만, 그 정도면 충분해 보임. 기사에 따르면 프랑스도 이 기능이 있음  
    [0] [https://www.personalausweisportal.de/Webs/PA/EN/government/t...](<https://www.personalausweisportal.de/Webs/PA/EN/government/technology/technology-node.html>), [https://www.bsi.bund.de/EN/Themen/Oeffentliche-Verwaltung/El...](<https://www.bsi.bund.de/EN/Themen/Oeffentliche-Verwaltung/Elektronische-Identitaeten/Online-Ausweisfunktion/online-ausweisfunktion_node.html>)
  - 맞음. 예를 들어 프랑스에서는 그렇게 하고 있고, 일반적으로 EU에서 논의되는 방식도 그 방향임
  - 맞음. 연령 확인을 진짜 중요하게 여기는 정부라면 그 도구를 제공해야 함. 프라이버시를 침해하지 않고도 할 수단이 있음  
    네덜란드 DigiD 같은 서비스가 훌륭한 기반이 될 수 있음. 모두가 반대하는데도 미국에 팔려는 바로 그 서비스 말임. 거기에 연령 확인 서비스만 추가하면 됨. 정부는 이미 가장 법적인 의미에서 네가 누구인지 알고 있음

- 한때는 부모가 아이들이 접근할 수 있는 웹사이트를 통제했음  
  이제는 정치인이 우리가 접근할 수 있는 웹사이트를 통제하는 시대임