행동 촉구: FCC의 KYC 체제를 막아야 함

 (blog.lopp.net)
1P by GN⁺ | ★ favorite | 댓글 1개
  • 미국의 전화 서비스 접근은 기본 통신 인프라로 다뤄져야 하지만, FCC의 KYC 규칙 검토는 일반 이용자가 통신사 서비스 가입·갱신 전에 신원 정보를 제공하도록 만들 수 있음
  • FCC는 이름, 주소, 정부 발급 ID, 대체 전화번호 확인을 포함한 조치를 검토하며, 금융권 KYC 사례처럼 개인식별정보 유출과 문서 거래 시장 때문에 단호한 범죄자를 안정적으로 막지 못함
  • 선불폰과 버너폰은 범죄 도구만이 아니라 가정폭력 생존자, 내부고발자, 기자, 시위자, 보복을 피하려는 사람에게 필요한 프라이버시 수단이 됨
  • 법집행기관 명단 조회, 고객 관계 종료 후 4년간 기록 보관, 통화당 2,500달러 제재 검토는 통신사가 과잉 확인·과잉 보관·과잉 거부를 선택하게 만들 수 있음
  • 이번 사안은 아직 최종 규칙이 아니며, FCC는 2026년 6월 25일까지 의견을 받고 2026년 7월 27일까지 답변 의견을 받으므로 일반 전화 이용자 대상 의무 KYC에 반대할 기회가 남아 있음

로보콜 문제와 KYC 검토

  • 로보콜, 사기 전화, 번호 위장, 가짜 보증 안내, 허위 은행 알림, 자동 정치 스팸은 전화 시스템 신뢰를 떨어뜨리고 미국인의 시간·돈·보안을 해침
  • 불법 전화 문제는 실제로 존재하지만, 그 해결책이 모든 일반 이용자를 대상으로 한 광범위한 신원 확인이어서는 안 됨
  • FCC는 로보콜 대응이라는 명분 아래 전화 제공업체가 이용자의 신원 정보를 수집하도록 하는 Know Your Customer 규칙을 검토함
  • 2026년 4월 30일 FCC는 음성 서비스 제공업체의 KYC 강화를 다루는 Further Notice of Proposed Rulemaking을 채택함
  • 검토 대상 조치에는 서비스 활성화 전 고객의 이름, 주소, 정부 발급 ID, 대체 전화번호를 확인하도록 요구하는 방안이 있음
  • 이 안건은 Brendan Carr 의장과 Gomez, Trusty 위원이 승인함

KYC가 범죄자를 안정적으로 막지 못하는 이유

  • 전화 접근은 신원 확인 조건이 붙은 특권이 아니라 기본 인프라로 다뤄져야 함
  • 위험은 FCC가 로보콜 사기범을 처벌하려는 데 있지 않고, 범죄자를 불편하게 만들기 위해 수백만 명의 무고한 이용자를 통신 신원 데이터베이스에 넣는 데 있음
  • 금융 시스템의 KYC 요구에도 규제된 장소를 통한 자금세탁은 계속 발생함
  • 범죄자는 KYC 확인을 통과하는 데 필요한 문서를 제공하는 데 큰 어려움을 겪지 않음
  • 개인식별정보가 계속 유출되면서 이런 정보를 거래하는 시장이 존재하고, 새 신원과 관련 문서를 구매하는 비용이 낮음

버너폰은 중요한 도구

  • FCC는 선불 요금제와 후불 요금제 사이에 KYC 요구가 달라져야 하는지, 무선 제공업체가 선불 SIM 고객에게서 어떤 정보를 얻는지, 제3자 판매처에서 구매한 선불 서비스에도 KYC가 적용되어야 하는지 검토함
  • 이 쟁점은 버너폰 문제의 핵심이며, 선불폰은 영화 속 범죄자 소품만이 아님
  • 선불폰은 가정폭력 생존자, 직장 내 부정행위를 신고하는 노동자, 취재원을 보호하는 기자, 보복을 피하려는 시위자, 모든 통신 계정을 정부 ID에 묶고 싶지 않은 사람에게 생명줄이 될 수 있음
  • ACLU 선임 정책 분석가 Jay Stanley는 이 규칙 제정이 사람들이 버너폰을 구할 능력을 빼앗고 저소득층, 가정폭력 피해자, 프라이버시를 중시하는 사람에게 해를 끼칠 수 있다고 경고함
  • 익명 또는 가명 통신은 기본적으로 수상한 행위가 아님

  • 보안·프라이버시 전술로서의 KYC 없는 전화

    • KYC 없는 전화 서비스는 보안과 프라이버시 보호 전술로 여러 해 동안 사용되어 왔음
    • 상당한 양의 Bitcoin에 접근할 수 있다고 의심받을 수 있는 사람은 렌치 공격으로부터 자신을 보호하기 위해 강한 프라이버시가 필요함
    • 이 위협은 이론에 그치지 않으며, 수백 명의 Bitcoiner가 물리적 공격을 받았고 스와팅과 갈취 사례도 존재함

감시·보관·제재 구조의 위험

  • FCC 제안의 더 위축적인 부분은 일반적인 ID 수집을 넘어섬
  • FCC는 위험 기반 KYC 차이와 관련해 제공업체가 법집행기관이 유지하는 테러리스트, 테러 조직, “범죄자” 명단을 조회해야 하는지까지 검토함
  • 이런 명단은 오탐, 무고한 사람의 불투명한 명단 추가, 유죄 판결이나 의미 있는 적법 절차 없이 기본 통신 인프라 접근이 거부될 가능성을 만들 수 있음
  • FCC가 이를 최종 결정이 아닌 질문 형태로 다루더라도, 통신 규제기관이 정상화하기에는 위험한 질문이 됨

  • 장기 보관과 목적 확대

    • FCC는 고객 관계 종료 후 4년 동안 KYC 정보와 지원 기록을 보관하도록 요구하는 방안을 검토함
    • 서비스 해지 후에도 위험은 끝나지 않고, 식별 정보는 통신사 데이터베이스에 수년간 남을 수 있음
    • 남아 있는 정보는 침해, 오용, 소환장, 판매, 목적 확대에 노출될 수 있음
    • FCC는 강화된 KYC 규칙이 불법 전화 외 범죄 수사에도 도움이 될 수 있는지 검토하며, 대상에는 조직범죄, 인신매매, 간첩 행위, 영향력 공작, 기타 국가안보 우려가 있음
    • 통신 제공업체가 고객을 확인·보관·재확인·선별해야 하면 전화 시스템은 열린 통신망보다 병목 지점에 가까워짐

  • 통화당 제재 구조

    • FCC는 KYC 위반을 통화당 기준으로 평가하는 방안을 검토함
    • FCC는 통화당 기본 몰수금 2,500달러를 구체적으로 제안함
    • 과소 선별의 벌금이 통화량에 따라 커질 수 있으면, 제공업체는 스스로를 보호하기 위해 과잉 확인, 과잉 보관, 과잉 거부를 선택할 수 있음
    • 기업의 가장 안전한 선택은 소비자 프라이버시를 보호하는 선택이 아니라 크게 침해하는 선택이 될 수 있음

프라이버시는 범죄가 아님

  • 자유 사회에서는 시민이 자신의 프라이버시를 지키기 위해 계속 싸워야 하는 구조가 필요하지 않음
  • 감시, 데이터 보관, 필수 통신 도구 접근 거부를 통해 시민의 권리를 약화하려면 정부가 그 정당성을 입증해야 함
  • 통신 채널을 통제하려는 세력은 네트워크 이용자를 식별할 수 있어야 원치 않는 발화자를 침묵시킬 수 있음
  • FCC는 모든 일반 이용자에게 전화번호를 얻기 위한 신원 문서 제출을 강제하지 않고도 고용량 상업 발신, 부주의한 제공업체, 번호 위장 인프라, SIM-box 남용, 반복 악성 행위자를 겨냥할 수 있음
  • FCC는 불법 통화 트래픽을 알고도 가능하게 하는 통신사에 대한 집행을 강화할 수 있음
  • 대량 발신자에게는 좁고 위험 기반의 실사 요구를 둘 수 있음
  • 모든 전화 이용자가 통신 전에 자신이 누구인지 증명하도록 만드는 방식은 피해야 함
  • 평균적인 시민은 정부가 완전히 정상적인 활동을 하는 사람들의 명단을 만드는 것을 원하지 않음
  • “소비자 보호”가 감시로 바뀌고, 프라이버시가 허점처럼 취급되며, 로보콜 방지 규칙이 정부 허가 없는 전화 접근의 마지막 실용적 방법을 조용히 끝내는 상황을 원하지 않음

KYC가 실제 위험을 키우는 방식

  • KYC는 민감한 개인식별정보 수집 자체가 고객을 위험에 빠뜨린다는 점에서 “Kill Your Customer”로 불릴 수 있음
  • KYC 체제는 여러 해 동안 대규모 데이터 유출을 초래했고, 범죄자가 훔친 신원으로 KYC 확인을 우회할 새 문서를 쉽게 얻을 수 있게 해 KYC의 신뢰성을 약화함
  • 전화 서비스에서 KYC는 계정을 신원과 묶어 전화 계정 보안을 적극적으로 저하시킬 수 있음
  • 범죄자가 충분한 개인식별정보를 확보하면 통신사에 피해자를 사칭하고 피해자의 번호를 범죄자가 통제하는 SIM으로 옮기려는 시도를 더 잘 할 수 있음
  • 이런 SIM 스와핑 또는 SIM 재킹 문제는 10년 넘게 존재해 왔고, 삶의 더 많은 부분이 디지털화되며 더 악화되고 있음
  • 중요한 온라인 계정의 상당수가 전화번호와 이메일 주소에 묶여 있음

  • SIM 재킹의 일반적 공격 경로

    • 범죄자는 피해자의 전화번호를 탈취함
    • 전화번호를 이용해 피해자의 기본 이메일 계정 접근권을 재설정함
    • 이메일 계정과 전화번호를 이용해 금융 계정 접근권을 재설정함
    • KYC는 범죄자를 막는다는 명분 아래 놓였지만, 실제로는 소비자를 악성 행위자로부터 보호하기보다 프라이버시와 보안을 약화하는 보안극장에 가까움
    • 망가진 체계를 삶의 더 많은 영역에 확대 적용해서는 안 됨

아직 늦지 않음

  • 이 사안은 아직 최종 규칙이 아님
  • FCC는 Federal Register에서 이 제안 변경에 대한 의견을 구하고 있음
  • 의견 제출 마감일은 2026년 6월 25일이며, 답변 의견 마감일은 2026년 7월 27일
  • 의무적인 KYC 신원 확인에 반대하는 공개 의견을 FCC에 제출할 수 있음
  • 의견 제출은 FCC 양식을 통해 가능함
  • FCC 의견은 공개되므로, 의견 본문이나 첨부파일에 포함한 개인정보가 온라인에서 공개 열람될 수 있다고 가정해야 함
  • 전 세계에 공개되어도 안전하지 않은 개인 정보는 포함하지 않아야 함

제안된 의견서 핵심

  • 일반 전화 이용자와 선불 이용자가 전화 서비스 취득 또는 갱신 조건으로 정부 발급 식별번호, 신원 문서, 실제 주소, 대체 전화번호, 유사 개인정보를 제공해야 하는 FCC 규칙에 반대함
  • 로보콜과 사기 전화는 심각한 문제지만, 모든 이용자를 대상으로 한 의무적 신원 수집은 지나치게 광범위하고 프라이버시를 침해하며 합법적으로 프라이버시가 필요한 이용자에게 해를 끼칠 가능성이 큼
  • 피해 가능 이용자에는 가정폭력 생존자, 기자, 내부고발자, 저소득 시민, 정치 조직가, 보복이나 스토킹에 직면한 사람이 있음
  • FCC는 서비스 제공 전 법집행 감시 명단이나 “범죄자” 명단을 조회하도록 하는 요구를 거부해야 함
  • 기본 통신 인프라 접근은 불투명한 명단, 남용과 오탐에 취약한 선별 시스템, 투명성이 부족한 절차에 좌우되어서는 안 됨
  • FCC는 일반 고객의 KYC 기록을 다년간 보관하는 방안도 거부해야 함
  • 고객이 서비스를 떠난 뒤 신원 정보와 지원 기록을 보관하면 불필요한 침해, 오용, 감시 위험이 생김
  • FCC는 고용량 불법 발신자, 번호 위장 남용, SIM-box 운영, 불법 트래픽을 고의 또는 무모하게 가능하게 하는 제공업체를 좁고 증거 기반으로 집행해야 함
  • 새 규칙은 표적화되고 프라이버시를 보호하며 데이터 수집을 최소화해야 하고, 합법 이용자의 선불 및 프라이버시 보호 전화 서비스 접근을 보존해야 함
  • 전화 서비스를 신원 검문소로 바꾸지 말아야 함
  • 프라이버시의 지속적인 침식에 우려하는 미국인은 지금 목소리를 내야 함

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • 통신사가 발신자 번호 위조를 허용하지 않게만 하면 됨
    이름까지 필요하진 않지만, 실제 번호가 있으면 이런 사기를 신고할 수 있음
    번호 숨기기는 허용하더라도, 기본적으로 모든 비업무용 전화는 숨겨진 번호의 전화를 차단해야 함

    • SHAKEN/STIR는 대체 어떻게 된 건가 싶음
      5년 전쯤 이미 이런 일이 되기로 했던 것 아닌가? 스팸 물량을 보내는 통신사를 실제로 차단하는 데 겁먹은 건지 모르겠음
      아직도 스팸 전화를 잔뜩 받는 걸 보면, 뭔가 잘못됐거나 너무 느려서 잘못된 것과 구분이 안 됨
    • 사기 조직에 그런 서비스를 제공하는 연간 백만 달러 규모의 돈세탁 구조를 끊으라고? 그럴 리가 없음
    • 이미 허용되지 않는 일임
      통신사가 위조된 전화를 받아들이면 이미 FCC 권고를 위반하는 것임
    • 의료기관은 아주 타당한 이유로 번호를 숨김
      학대하는 배우자가 있는 경우, 통화 기록에 의료기관 번호가 남지 않기를 원하는 경우가 많음
      그 결과 매우 중요한 전화를 무시하게 되는 일도 생김
    • 애초에 왜 아직도 20세기식 전화번호 체계를 써야 하는지 모르겠음
      더 나은 통화 주소 지정 시스템이 왜 없는 건가

  • 더 나쁨: 휴대전화는 항상 위치를 송신하므로, 사실상 언제나 수백 개 회사와 여러 정부에 위치 정보를 알려주는 셈임
    이미 대부분의 휴대전화에서 문제인데, 이걸 선불폰까지 적용하면 더 악화됨

    • 이게 결국 “이제 모든 사용자의 신원을 아니, 마음에 들지 않는 발언을 이유로 체포할 수 있는 상당한 이유와 확인된 신원을 모두 갖게 됐다”로 가는 한 단계 전인지 궁금함
      Carr의 FCC는 요약하면 전파를 통제해 발언을 통제하려는 기관처럼 보임. 그의 행동에서는 그게 노골적 사실임
      방송국이 원하는 말을 하게 만든 다음엔, 공익의 정의를 인터넷으로 조금 확장하고 발언을 제한하는 것 말고 뭐가 남겠나
    • Apple이 새 모뎀에서 이를 완화하는 기능을 구현했지만, 아쉽게도 통신사 선택 적용이라 실제로는 유럽에서만 유용함
      https://www.pcmag.com/news/apple-expands-this-location-focus...
    • 결국 KYC를 통과한 휴대폰은 통신사가 이미 아는 공식 주소의 집 서랍에 두고, 실제 휴대폰으로 문자와 전화를 VoIP로 전달하거나 어디서든 메시지를 가져오도록 서버를 여는 소프트웨어를 얹는 날로 달려가는 것 아닌가 싶음
    • 휴대전화가 위치를 송신하는 것이지, 우리가 위치를 송신하는 건 아님
      휴대전화는 집에 두고 나갈 수 있음
    • 하류 수집을 하는 쪽은 이 데이터로 신나게 놀 수 있을 것임

  • 미국에 살고 있고, 후불 서비스를 받기 위해 신용조회 정보를 제공하고 싶지 않아서 선불 서비스를 씀
    미국 통신사가 고객의 가장 민감한 개인식별정보를 보관해야 할 이유는 전혀 없음
    대형 통신사는 모두 침해 사고와 고객 데이터 판매 이력이 있음
    전화회사들은 이미 고객의 수많은 데이터 포인트를 추적하고, 저장하고, 팔고 있음
    어떤 정보도 믿고 맡길 수 없음

    • 내 주 전화번호는 2010년부터 Google Voice 계정임
      새 규칙이 내게 어떻게 영향을 줄지는 불분명하지만, VoIP 번호를 얻는 데 개인식별정보 제공 의무가 있다고 보진 않음
    • 1월에 ATT 선불을 개통했는데도 신분증을 내야 했음
      이상하게도 처음부터 요구한 게 아니라 실제 서비스를 활성화하려고 할 때 나중에 요구했음. 무슨 일인지는 모르겠음
    • 반대로, 내 입장에서는 내 전화로 전화를 걸거나 메시지를 보낼 수 있는 모든 회선이, 스팸·남용·괴롭힘에 대해 책임질 수 있는 실명 인간에게 추적 가능했으면 함
      둘 다 원하는 대로 하기는 어려워 보임
      가능한 해법은 익명 회선을 갖게 하되, 내 통신사가 그런 회선의 전화를 내게 연결하지 않도록 거부하는 것임
      물론 같은 원칙을 데이터와 기기에서 발생하는 IP 트래픽에도 확장해야 함. 추적 가능하길 원하지 않는다면, 서비스가 당신이 생성한 IP 트래픽 처리를 거부할 권리도 합리적으로 보임
      이런 반쯤 구운 수준의 네트워크 접근이면 충분한가?

  • “이 상자를 체크함으로써, 공식 FCC 절차에 문서를 제출한다는 사실을 인정합니다. 이름과 주소를 포함해 제출된 모든 정보는 웹을 통해 공개됩니다.”
    내 개인정보가 전부 웹에 공개되지 않게 FCC 간편 의견을 제출할 방법이 정말 없는 건가? 으

    • 청원서에 서명하거나 의회에서 증언하는 것처럼 보면 됨
      핵심은 실명으로 책임지고 말한다는 데 있음
      그리고 이름과 주소가 비공개라고 생각한다면, 안 좋은 소식이 있음
    • 시민으로서 영향력을 가지려면 직접 나서야 함. 실제로 대조 확인도 함
      기본값으로 공개하는 건 조금 과하고 발언을 위축시키지만, 연방 관보가 모든 공개 의견과 함께 웹에서 공개 상태를 유지하는 것도 중요함
      이건 기록에 남는 공식 의견
    • 대신 지역구 의원에게 전화하면 됨

  • 사기, 스팸, 자동전화의 진짜 해결책은 단순 발신자 번호가 아니라 실제 과금되는 REAL(TM) Caller ID 정보를 함께 전달하고, 둘이 맞지 않을 때 수신자가 쉽게 끊을 수 있게 하는 것이라고 봄
    Stir/Shaken의 정확한 기술 세부사항은 모르지만, 누군가는 각 통화마다 돈을 내거나 받고 있으며 이 정보는 통화나 메시지 수신자에게 투명하게 제공되어야 함
    의사나 콜센터 같은 “정당한” 이유가 있다면, 이미 별도 업무용 전화가 있어야지 개인 회선을 쓰게 해서는 안 됨
    허술한 통신사는 완전히 차단해야 함. 거기서 좋은 일은 나오지 않음
    기본적으로 전체 증명 수준인 A-level이 없으면 고객이 명시적으로 선택하지 않는 한 전화와 문자 메시지를 기본 차단하자는 것임. 누가 굳이 선택할지는 모르겠음

    • 동의하며 고개를 끄덕이다가, 여기엔 분명 함정이 있을 거라고 깨달음
      그렇게 단순했다면 이미 오래전에 구현됐을 가능성이 큼
      추측하자면, 동작하는 번호라면 반드시 긴급 서비스에 전화할 수 있어야 한다는 요구가 있고, 그 허점이 악용되는 듯함
      그래서 FCC의 답은 모든 번호가 동작해야 한다면 검사를 가입자에게 직접 밀어 넣자는 것 같음

  • 행동 요청을 하려면 더 나은 행동 유도 문구를 만들 필요가 있음
    기사에 나온 링크는 이것임
    https://www.federalregister.gov/documents/2026/05/26/2026-10...
    며칠 전 HN에 누군가 올린 이 링크로 가는 데 거의 충분해 보임
    https://www.fcc.gov/ecfs/filings/express
    완료하려면 docket-id가 필요함
    Docket No: 17-59
    이 Docket Number는 여기서 다시 확인할 수 있음: https://www.fcc.gov/document/fcc-seeks-comment-enhanced-know...

    • 사람들은 FCC뿐 아니라 저 Federal Register 링크에도 의견을 제출해야 함
      FR은 시민이 기관의 규칙 제정안에 의견을 내는 공식 경로임
      독립되어 있으니 더 멀리 갈 수도 있고, 둘 다 하는 게 좋음

  • “전화번호”가 일회용으로 설계된 새 전화 시스템이 필요함
    전화번호는 머릿속에 쉽게 외워야 한다는 전제로 설계됐지만, 오늘날엔 그게 별로 필요하지 않다고 봄
    언제든 내 연락처를 버리고 직접 다시 배포할 수 있어야 함
    오래된 번호가 재활용된다는 발상도 완전히 말이 안 됨

    • 전화 자체를 없애야 함
      누구도 무작위로 벨을 울려 다른 사람을 방해하고 주의를 요구할 수 있어서는 안 됨

  • 차라리 고객확인 대신 “회사확인”을 해서, 소비자가 전화를 거는 회사에 대한 정보를 받게 하면 어떨까

  • 기사 링크로 FCC 의견을 제출해 보려 했는데, reCAPCHA가 나를 사람으로 보지 않음
    퍼즐을 20개쯤 성공적으로 푼 뒤 포기함
    이것이 우리의 민주주의가 작동하는 방식임

  • 정부가 개인식별정보가 도난당할 기회를 만들어서 경제적으로 해를 끼치고 있다고, 주정부나 연방정부 또는 둘 모두를 상대로 법정에서 주장할 수 없는 특별한 이유가 있나
    물론 그 싸움으로 큰돈이 나오는 건 아니겠지만, 사실상 어떤 PAC라도 그 정도는 할 수 있을 것임
    사람들의 실제 안전이 아니라 돈이 걸렸다고 주장하면, 사법 시스템이 그런 식으로 돌아가는 만큼 기각되지 않을 가능성도 더 높아 보임

    • 실제로 사기를 당한 적이 없다면 설득하기 어려움
      손해액의 기준으로 어떤 달러 금액을 쓸 건가? 몇 년치 신용 모니터링 비용을 청구할 건가? 개인식별정보 유출 피해자에게 보통 제공되는 해결책이 그 정도임
      법집행기관, 통신사, 규제기관이 사기 방지에 충분히 나서지 않았다고 주장하고 집단소송 같은 걸 제기할 수는 있겠지만, 매우 무리한 주장에 가까움
    • 정부는 사람들에게 경제적 피해를 주는 규제를 만들 수 있음
      그 싸움은 시작하자마자 질 가능성이 커서, 얻을 돈도 별로 없음
답변달기