6P by GN⁺ | ★ favorite | 댓글 2개
  • 온라인에서 나이 확인 요구가 커지는 가운데, Google이 연령 보장에 쓸 수 있는 ZKP 라이브러리를 오픈소스로 공개함
  • ZKP는 사용자가 불필요한 개인정보를 넘기지 않고도 18세 이상 같은 조건을 증명할 수 있게 해 연령 확인의 개인정보 노출을 줄임
  • 공개된 코드는 Sparkasse와의 파트너십을 바탕으로 EU 연령 보장을 지원하며, 민간·공공 부문 개발자의 디지털 ID 구현에 활용될 수 있음
  • 사용자, 기업과 기타 의존 조직, 개발자, 연구자는 각각 더 안전한 생태계, 오픈소스 솔루션, 코드베이스, 효율적인 ZKP 구현을 활용할 수 있음
  • 2026년 시행 예정인 EU eIDAS Regulation이 EUDI Wallet에 개인정보 보호 강화 기술 통합을 장려하는 만큼, 회원국의 지갑 개발에도 영향을 줄 수 있음

Google의 ZKP 라이브러리 공개

  • Google이 Zero-Knowledge Proof(ZKP) libraries오픈소스로 공개함
  • 이번 공개는 이전 약속을 이행하고, Sparkasse와의 파트너십을 기반으로 EU 연령 보장을 지원하는 흐름의 일부임
  • 이 암호화 도구는 민간·공공 부문 개발자가 개인정보 보호 강화 애플리케이션과 디지털 ID 솔루션을 만드는 데 쓰일 수 있음

연령 확인에서 ZKP가 하는 일

  • ZKP는 어떤 사실이 임을 증명하면서도 그 외 데이터를 교환하지 않게 해주는 기술임
  • 웹사이트 방문자는 자신이 18세 이상임을 검증 가능하게 증명하면서 추가 정보는 공유하지 않을 수 있음

공개 코드가 겨냥하는 참여자

  • Google은 ZKP 공유가 생태계의 여러 참여자에게 도움이 된다고 봄
    • 웹과 앱 사용자는 더 개인정보 보호 중심이고 안전한 디지털 생태계의 구성원이 될 수 있음
    • 기업과 기타 의존 조직은 규모와 관계없이 오픈소스 솔루션을 활용해 개인정보 보호 요구를 충족할 수 있음
    • 개발자는 ZKP 코드베이스를 자유롭게 사용해 개인정보 보호 중심 애플리케이션을 만들 수 있음
    • 연구자는 더 효율적이고 성능이 높은 ZKP 구현을 활용해 새로운 애플리케이션과 기술 활용 방식을 만들 수 있음

EU eIDAS와 EUDI Wallet 맥락

  • 2026년 시행 예정인 EU eIDAS Regulation은 회원국이 ZKP 같은 개인정보 보호 강화 기술을 European Digital Identity Wallet, 즉 EUDI Wallet에 통합하도록 장려함
  • Google의 ZKP 도구 공개는 회원국이 향후 EUDI Wallet에 해당 기술을 통합하고 개발을 가속하는 데 활용될 수 있음

코드 접근

댓글과 토론

모두가 CI를 들고 실명정보를 들고 다니는 나라에서 보니 감회가 남다르네요... ㅋㅋ

Hacker News 의견들
  • 그래도 나이만으로 접근을 막는 방식은 원하지 않음
    부모가 최소한 자녀의 나이를 덮어쓰거나, 선택적으로 우회를 허용할 수 있어야 함
    인터넷 절반이 막혀 있었다면 내 컴퓨터 경험은 완전히 달랐을 것 같고, 특히 어떤 콘텐츠가 차단되는지 보면 더 그렇다

    • 밀레니얼 세대로서 어린 사람들에게 보여주고 싶지 않은 콘텐츠를 꽤 봤지만, 정작 나이 제한 없이 접근 가능한 콘텐츠가 더 해로울 수도 있음
      YouTube나 TikTok에는 금지되지는 않았지만 건강하지 않은 기괴한 콘텐츠가 많고, 어린 친척들이 거기에 강하게 끌림
    • 웹사이트는 접속한 기기에 자녀 보호 잠금이 켜져 있는지 쉽게 확인할 수 있어야 함
      기기를 쓰는 사람이 누구인지 식별할 필요는 없고, 아이가 잠금된 기기를 쓰게 하는 책임은 부모에게 있어야 한다
    • 이미 수백 개 댓글이 비슷한 얘기를 했지만, 나이 제한은 기기 설정이어야 함
      기기는 18세 이상/미만 같은 상태를 선언하고, 웹사이트나 앱은 법적으로 그 선언을 존중하는 정도만 요구받아야 함
      기기는 부모가 제어할 수 있어야 하고, 아이에게 나이 제한을 적용할지 말지는 부모가 결정해야 함
      또 프로필 기능이 있어야 아이가 부모의 휴대폰이나 노트북을 써도 부모의 자료를 망치거나 봐선 안 될 것에 접근하지 않게 할 수 있음
      예전에도 부모가 아이를 위해 노출, 성, 폭력이 있는 R등급 영화를 빌리는 것은 괜찮다고 여겨졌고, 비디오 가게가 아이에게 직접 빌려주면 안 되는 것과는 달랐음
      16살 자녀가 포르노를 볼 만큼 성숙하다고 판단한다면, 그건 부모가 결정할 문제임
    • 본인에게 맞는 해법이 이걸 밀어붙이는 정치 권력에게도 해법으로 받아들여질 거라고 상상하는 셈임
      또는 나이 확인의 주된 위험이 단지 “나이 확인을 받는다”는 데 있다고 보는 것 같음
      안전한 시장 주도 해법, 즉 익명이고 감시되지 않으며 나이만 증명하는 접근 방식이 없고 정부가 개인별로 감시·거부·철회할 수 없다면, 결국 바로 그런 통제 방식이 모두에게 강요될 것임
      모두에게 채우려는 족쇄가 필요 없다고 해서 적을 이길 수는 없음
      영지식 증명과 탈중앙 오픈소스 강보안 기술을 도입해 나이와 포르노 같은 작아 보이지만 사라지지 않는 현실 문제를 해결해야 함
      그렇지 않으면 약한 정치인, 이익단체, 인터넷의 낯선 사람들에게 우리의 무방비를 악용하지 말라고 “신뢰”해야 하는 꼴이 됨
      여기에 AI까지 더해지면 수동적으로 있는 것의 위험과 피해는 극단적으로 커짐
    • 나는 나이 제한이 필요하다고 봄
      아마 당신도 나처럼 나이 든 남성이고, 인간관계가 상업화되기 전의 인터넷에서 자유롭게 돌아다니며 멋진 것과 사람을 찾고, 알렉산드리아 도서관 같은 공간에서 배우며 시간을 보낸 세대일 것임
      하지만 Z세대와 그보다 어린 세대, 특히 여자아이들에게 인터넷이 어떤 경험이었는지 물어봐야 함
      친구들과 가벼운 온라인 게임을 하려는데 성인 남성 3~4명에게 계속 괴롭힘을 당해 본 적이 있는가
      미성년자에게 “전리품 상자” 같은 형태로 돈을 줄 테니 나체 사진을 보내라고 제안받은 적이 얼마나 있는가
      방문하는 모든 사이트에서 알고리즘이 거식증을 받아들이라거나, Trump가 TV에서 무슨 말을 할지에 도박하라거나, 마약을 하라거나, 그냥 자살하라는 콘텐츠를 들이밀지는 않았는가
      우리 같은 삼촌 세대는 어린 시절의 컴퓨터 경험을 그리워하는 걸 멈추고, 아이들과 관련 연구를 들어야 함
      어제의 친절한 괴짜와 nerd들의 인터넷은 더 이상 존재하지 않고, 제대로 작동하는 사회를 조금이라도 남기고 싶다면 바뀌어야 한다
  • 사이트 방문에 개인별 정부 증명이 필요해지면, 정부는 나이 확인을 도입한 어떤 사이트든 개인의 접근권을 언제든 동적으로 거부하거나 철회할 수 있게 됨
    성인 사이트가 그 시스템을 도입하면, 책임을 줄이고 싶은 사이트들로 번져갈 것임
    은행, 비즈니스 서비스, 결국 거의 모든 곳으로 확산될 수 있음
    정부는 책임 문제를 과장하고 키우겠지만, 나이 관련 책임의 안전지대를 만드는 법은 통과시키지 않을 것임
    Wikipedia도 이미 나이 확인 도입을 피하려고 싸우는 중임
    정부가 관리하는 나이 확인은 개별 추적되고 통제되며 철회 가능한 정부 허가 없이는 Wikipedia에도 접근하지 못한다는 뜻임 https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
    이렇게 미끄러운 경사로 논증이 실제로 이토록 미끄러웠던 적은 드묾
    명백한 성인 사이트에 대한 시민별 정부 통제 접근과, 실질적 콘텐츠가 있는 모든 사이트에 대한 정부 허가·통제 접근 사이에는 기술적 장벽조차 없음
    그저 사이트 도입 곡선이 될 뿐이고, 도입이 늘 때마다 분 단위 삶 속 실시간 정부 감시 범위와 원하는 대상에게 원하는 때 원하는 접근을 거부하는 능력이 커짐
    디스토피아는 이미 와 있고, 이건 무섭다
    필요해 보이는 해법은 공개 기준을 충족하는 누구나 제공할 수 있는 제3자 증명, 나이 증명으로만 제한된 증명, 그리고 영지식 증명 기반 구현임
    익명이고 감시되지 않으며 개인별 거부가 불가능한 대안을 만들어야 정부 권력 확대의 동력을 꺾을 수 있음
    보안 의식이 있는 기술자와 시장이 해결하지 못하면 자유를 파괴하는 버전이 승리할 것이고, 되돌리기 어려울 것임

    • 나이 증명이든 어떤 신원 증명이든 전혀 필요 없음
    • 이 부분은 더 강조돼야 함
      성인 사이트가 시스템을 도입하면 책임을 줄이려는 모든 사이트로 번질 것이고, 은행과 비즈니스 서비스, 결국 거의 모두가 따라갈 수 있음
      영지식 증명이라도 증명이 편리하고 흔해지는 순간 확산될 것이고, 머지않아 보장되는 것은 나이뿐이 아니게 됨
  • 여기서 영지식이라는 표현은 다소 과장처럼 보임
    실제로는 지식을 쪼개서 각 당사자에게 관련된 부분만 공유하는 것에 가까움
    그리고 중개자 역할의 Google이 관련 당사자 중 가장 많은 정보에 접근할 가능성이 있어 보임

    • 영지식 증명은 암호학에서 잘 알려진 도구임 https://en.wikipedia.org/wiki/Zero-knowledge_proof
      Google은 이를 구현하는 라이브러리를 공유할 뿐이고, Android나 Gmail 사용자의 은행 정보에 Google이 접근하지 못하는 것처럼 이 정보에도 접근하지 못할 것임
    • 진짜 영지식 증명 설정이라면 누구도 절대 최소한의 정보 외에는 알지 못하게 할 수 있음
      예를 들어 생년월일이 아니라 “16세 초과인지”만 알 수 있음
      다만 이를 입증하기가 어렵고, Google이 그렇게 할지 신뢰하기는 힘듦
    • 이상적으로는 정부가 발급자이자 중개자가 되겠지만, 미국에는 이를 수행할 국가 역량이 부족함
      Estonia에서는 그런 방식이 가능할지도 모름
    • Google은 자신들이 신뢰된 딜러가 되는 기술을 몇 가지 개척해 왔고, 예로 Private State Tokens가 있음
      나이 확인을 완전히 프라이버시 보존 방식으로 하는 방법에 대한 논문을 썼고, 영지식 증명조차 필요 없음
      https://magarshak.com/papers/Personal.pdf
  • 이 스레드에는 편향이 많지만, 기술적인 논의를 해볼 수 있지 않을까 함
    이 주제에 깊이 들어가 있지는 않아서 누군가 답해주면 좋겠음
    실제로 이것이 얼마나 영지식인지 궁금함
    내가 이해한 바로는 세 당사자가 있음: 나, 접근하려는 사이트, 증명자(Google 또는 정부?)
    사이트는 내가 누구인지 아는가
    사이트는 내 증명자가 누구인지 알고, 예를 들어 그 증명자가 Winnie-the-Pooh 밈을 싫어한다는 점까지 추론할 수 있는가
    증명자는 내가 어떤 사이트나 어떤 종류의 콘텐츠를 보려는지 아는가
    증명자는 내가 누구인지 아는가
    나는 사이트와 증명자가 누구인지, 그리고 언제 이 증명이 일어나는지 항상 알 수 있는가

    • 영지식 증명 경험을 바탕으로 답하면, 여기서 “증명자”는 데이터의 근거를 제공하거나 증명하려는 자격증명을 발급한 주체라고 보면 됨
      전형적 예시로 정부 신분증을 통해 나이 ≥ n을 증명한다고 하자
      사이트는 당신이 누구인지 모름
      핵심은 유효한 정부 신분증을 갖고 있고 거기에 “나이 ≥ n”이라고 적혀 있다는 수학적 증명을 생성하는 것임
      사이트는 발급자를 알 수 있음
      증명은 증명자가 근거를 둔 정보에 기반하므로, 이 경우 신분증 발급 정부를 알아야 그 증명에 의미가 생김
      증명자는 이 과정에서 사이트를 알 필요가 없음
      자신이 신분증을 발급했다는 사실만 알고, 이후 다시 조회될 필요가 없음
      다만 어떤 기관의 최근 서면 허가에 대한 영지식 증명을 요구하는 방식으로 설계할 수는 있지만, 그건 영지식 증명의 본질은 아님
      사용자가 항상 알 수 있는지는 사용자 경험 문제임
      지갑과 웹사이트가 자격증명 요청 시점과 종류를 항상 표시하도록 구현되어 있다면 가능함
    • 나도 전문가는 아니지만 조금 공부하고 몇 가지를 시도해 봤음
      여기서 증명자는 Google이 아님
      Google은 증명을 생성하고 검증하는 인프라를 제공할 뿐이고, 증명자는 발급자, 즉 신원 증명을 주는 신뢰 기관이라고 부르는 게 맞음
      가능한 흐름은 이렇다
      먼저 정부, 은행, 이동통신사 같은 발급자가 내 지갑, 예를 들어 휴대폰에 서명된 자격증명을 발급함
      이것은 완전한 디지털 신분증일 수도 있고, 더 좁은 “나이 증명”일 수도 있음
      이후 사이트가 브라우저에 age >= 18 같은 조건을 만족한다는 증명을 요청함
      사이트는 실행해야 할 “zk-program”(회로)을 제공하고, 신뢰되지만 공개되지 않은 입력에 대해 프로그램이 실행됐다는 증명을 기다림
      휴대폰은 유효한 발급자 서명 자격증명을 알고 있고, 그 숨겨진 속성이 조건을 만족한다는 영지식 증명을 생성함
      이상적으로는 로컬에서 생성하지만 아직 준비가 덜 됨
      사이트는 발급자 공개키, 사용된 회로, 요청된 조건, 새로운 nonce/challenge 같은 공개 입력으로 증명을 검증함
      그래서 사이트는 영지식 증명 자체만으로는 내가 누구인지 모르지만, 누가 내 ID를 발급했는지는 알게 됨
      사이트는 증명자의 공개키를 알고, 증명자는 내가 방문한 사이트를 모름
      증명자는 내가 누구인지는 알고 있음
      사용자가 사이트와 증명자, 증명 시점을 아는지는 구현되는 사용자 경험에 따라 여러 방식이 가능함
    • 확정적인 자료를 찾으려 했지만 시간이 부족해서 어느 정도 일반화된 추정임
      사이트는 사용자가 누구인지 모름
      그게 이 방식의 전체 목적임
      사이트는 증명자가 누구인지 앎
      증명에 대한 비대칭 암호 검증을 해야 하므로 공개키 목록이 필요하고, 그 키에 증명자 신원을 붙일 수 있음
      증명자는 내가 어떤 콘텐츠를 보려는지 알지 않아야 함
      JWT라면 어떤 사용자의 증명을 검증하는지 증명자에게 알리지 않고 검증할 수 있음
      다만 “이 증명이 철회됐는가” 같은 API가 있으면 실수로 정보 채널을 다시 만들 수 있음
      증명자는 사용자가 누구인지 알거나, 적어도 타인에게 증명해 줄 사용자 정보 일부를 갖고 있음
      현실적으로 Google, Apple, Microsoft 계정 정보나 은행 등을 상정해야 함
      사용자가 사이트와 증명자를 항상 아는지는 기술적으로는 가능하지만, 실제 인간 관점에서는 의심스러움
      Google 직원이지만 이 프로젝트와는 멀리 떨어져 있어 내부 지식은 없음
    • 실제로 알기는 어렵다
      시스템은 유효한 영지식 증명일 수 있지만, 실제 서비스들은 여전히 사용자에게서 개인식별정보를 수집할 수 있음
      또한 증명자가 접근하려는 사이트와 공모해 당신에 대한 정보를 드러내는 것을 막는 것도 없음
    • Computer Scientist Explains One Concept in 5 Levels of Difficult
      https://www.youtube.com/watch?v=fOGdb1CTu5c
      이 영상이 아주 잘 설명해 줌
  • 나이 보장이 AI 에이전트가 인간 사무직처럼 개인용 컴퓨터를 자율 조작할 수 있게 되는 시점과 정확히 맞물려 유행하는 것이 수상함
    나이 보장은 “아이들”과 관계없을까 봐 걱정됨

    • 그 전제는 틀렸음
      이 문제는 아이들이 온라인에 있었던 만큼 오래 이어져 왔음
      2000년대 초반에는 신용카드로 시도했고 당연히 실패했음
      영국도 지난 10년 동안 이런 방식으로 미성년자의 포르노 접근을 막으려다 실패했음
      이런 걸 계속 밀어붙이는 정치인들에게 AI 도구는 아마 레이더에도 없을 것임
    • 정말 두려워해야 함
      이런 조치들과 다른 프라이버시 침해 조치들은 아이들과 관계있었던 적이 없었음
    • EU 지갑에서 영지식 증명의 요지는 나이 확인과 프라이버시를 분리하는 것임
      나이를 증명하면서도 프라이버시를 잃지 않을 수 있음
  • 나이는 지표 중 하나일 뿐임
    정보 X에 대한 영지식 기술을 원하지 않고, 신원 자체를 갖고 싶지 않음
    여기서 끝임

    • 이 기술은 “18세 이상” 또는 “18세 미만”에 대한 영지식 증명에 사용할 수 있음
      그래서 실제 나이를 가져가는 것이 아니라 두 개의 넓은 범주 중 하나만 알게 됨
  • “영지식 증명은 사람이 자신에 대한 어떤 사실이 참임을 다른 데이터 교환 없이 증명하게 해준다. 예를 들어 웹사이트 방문자가 18세 이상임을 다른 어떤 것도 공유하지 않고 검증 가능하게 증명할 수 있다”
    하지만 “토큰을 설정할 때조차 아무것도 공유하지 않는다”는 뜻은 아님
    어떤 암호 토큰이 A) 개인식별정보를 포함하지 않고, B) 토큰 자체가 Google이나 정부 데이터베이스의 내 신원과 연결된 ID로 쓰일 수 없다는 걸 증명할 수 있는가
    둘 다 불가능하므로 이런 토큰 방식은 지지하지 않음

    • 내가 이해하기로 영지식 증명은 그 두 속성을 모두 증명할 수 있음
      18세 이상인지 검증해 주는 신뢰 주체에게서 인증서를 받고, 그걸 이용해 “X가 내가 18세 이상임을 검증했다”는 정보만 담은 토큰을 생성할 수 있음
      원래 검증자도, 토큰을 받는 쪽도 이를 원래 인증서와 연결할 수 없어야 함
      이 문서의 2절을 보면 됨: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
      실제로 이를 기술적으로 달성하기 어렵다는 반론이 있다면 알고 싶음
      또한 이런 구조는 전 세계에서 제안되는 나이 확인 법안 대부분을 충족할 수 있을 것 같음
      같은 회사의 두 부서로 구성해도, 사용자들의 ID를 모두 봤지만 사용자명과 ID를 연결할 수 없다는 것을 증명할 수 있음
      그래도 개인식별정보를 취급하므로 유출 위험이 있어 최선은 아니지만, 현재 대부분이 하는 방식보다는 훨씬 나음
    • 당연히 토큰 자체만으로는 안 됨
      의도한 방식은 이미 나이 데이터를 갖고 있는 정부가 서명된 메시지를 만들 수 있게 해주고, 나이를 확인하는 플랫폼은 당신이 누구인지나 정확한 나이는 모르지만 성인이라는 사실만 알게 되는 것임
  • 이 목적의 영지식 증명은 신원 추적과 기기 증명을 위한 트로이 목마임
    모두가 성인이라는 증명을 대량으로 찍어 무료로 뿌리는 상황을 막으려면 그런 전제 조건이 필요하기 때문임
    계약 서명과 결제에서는 내재적 인센티브가 있어서 작동하지만, 나이 증명에는 그렇지 않음

  • 결국 “증명을 공유할 수 있으니, 지금 이 순간 영지식 토큰을 실제로 보유한 사람이 당신임을 확인할 신뢰된 검증 지점이 필요하다”고 주장하지 않을까 함
    그러면서 스마트폰 카메라를 켜고 생체인증 지시에 순순히 따르라고 할 수 있음

    • 더 단순하게는 구현했다고 주장하면서 그냥 데이터를 저장할 수도 있음
      정부가 더 이상 무엇을 규제하려는 조치를 취하는 것 같지 않고, 어쩌면 앞으로도 없을 수 있음
    • 그럴 수도 있지만, 우리가 모든 웹사이트에 자신을 식별하지 않고도 나이 확인이 가능하다는 걸 보여준 뒤에야 그 주장을 하게 만들어야 함
      그러면 그들이 실용적 해법을 찾는 게 아니라는 점이 드러남
  • “입법자에게 영지식 증명을 설명하는 법”이 필요함

    • “나이 보장은 절대 하지 마라”
      이걸로 충분함
    • 미국 입법자들은 보통 사람들의 이익에 동기부여되지 않으니 별 의미 없을 듯함