EU의 나이 인증 앱, 구글 미인증 Android 시스템 전면 차단 추진

 (reddit.com)
1P by GN⁺ 18시간전 | ★ favorite | 댓글 2개
  • EU가 개인정보 보호 중심의 연령 인증 앱을 오픈소스로 개발 중이며, 각 회원국이 커스터마이징해 도입할 예정임
  • 앱은 원격 인증(Remote Attestation) 기능을 통해 앱이 정상적이고 신뢰할 수 있는 환경에서 실행되고 있는지 검증할 계획임
  • 구글이 라이선스한 안드로이드 OS, Play Store에서 설치기기 보안 검사 통과구글 생태계와 강하게 연동
  • GrapheneOS 등 보안성이 높은 커스텀 안드로이드도 구글 공식 인증을 받지 못해 사용 불가, Play Integrity API 활용 탓에 일반 Android Attestation보다 강한 제한을 둠
  • 결국 직접 빌드해도 Play Store 배포가 아니면 사용 불가, 오픈소스임에도 실질적으로 구글 서비스 종속대안 OS 배제 문제를 야기함

EU 연령 인증 앱 개요

원격 인증 및 보안 정책

  • 앱에 Remote Attestation(원격 인증) 기능 도입 예정
    • 앱이 정품 OS 및 신뢰할 수 있는 환경에서 동작하는지 서버가 검증
    • "Genuine" Android 기준:
      • 구글 라이선스 OS여야 함
      • Play Store에서 앱 설치 필요(구글 계정 필요)
        • 기기 보안 검사 통과 필요
  • 이 검증 방식은 Google Play Integrity API에 의존
    • AOSP(순정 안드로이드) 표준 Attestation보다 훨씬 강한 제한 적용
    • GrapheneOS, LineageOS 등 커스텀 OS에서는 대부분 통과 불가

커스텀 OS 및 빌드 제한

  • 비공식 OS나 직접 빌드한 앱은 원격 인증을 통과할 수 없음
    • Play Store 미등록 앱은 서비스 인증 실패
    • 실질적으로 구글 계정·서비스에 종속
  • 오픈소스지만, 사용자 자유와 보안성이 더 높은 OS까지 제외되는 문제 발생

영향 및 논란

  • EU 시민 및 개발자 커뮤니티 내에서 구글 종속성 강화, 대안 OS 배제, 오픈소스의 한계 논란 제기
  • 보안성 및 개인정보 보호라는 취지와 달리, 사용자 선택권 축소특정 생태계 의존성 우려가 커지고 있음
GN⁺ 18시간전  [-]
Hacker News 의견

  • Android의 경우 '정품'은 구글이 라이선스한 운영체제, Play Store에서 다운로드한 앱(구글 계정 필요), 그리고 기기 보안 검사 통과를 의미함
    이런 방식을 통해 기기 보안 확인의 가치가 있는 것은 인정하지만, 그만큼 앱이 구글의 자사 서비스들에 강하게 종속됨
    이런 보안 검사는 비공식 안드로이드 OS에서는 통과할 수 없으므로 유럽의 디지털 신원 지갑 프로젝트에서 문제로 지적되고 있음
    관련 깃허브 이슈
    나는 이런 계획은 거세게 반대하고 싶음
    나이 인증 과정에서 미국 빅테크 의존도를 높이면 유럽이 미국에 더 큰 IT 주권을 넘기게 되어서 매우 바람직하지 않음
    최근 정치적 상황상 이런 위험이 얼마나 크고 바람직하지 않은지는 굳이 설명하지 않아도 될 만큼 자명하다고 생각함
    당사자인 나도 이 우려가 합리적임을 느낌
    해당 깃허브 이슈의 또 다른 댓글에서도 구글 서비스를 강제하는 것이 일부 EU 회원국의 법적 독립과 프라이버시 관련 법률을 위반할 소지가 있음이 논의됨

    • "디바이스 보안 검사"는 개인적으로 가장 무서운 요소임
      이는 실질적으로 '공식적으로 승인된 하드웨어와 소프트웨어'를 의미하면서, Stallman이 "Right to Read"에서 경고한 디스토피아로 이어지는 지름길임
      EU가 스스로 디지털 권위주의를 강화하기 위해 미국의 빅테크에 의존하는 모습이 상당히 아이러니하다고 생각함
      클래식한 미국식 자유(반항적 자유)의 개념이 EU나 영국에서는 그렇게까지 인기를 얻지 못한 것 같음

    • 정치적 환경 때문일 필요 없이 이런 정책 자체가 근본적으로 걱정스러움
      국가의 정보 염탐이 항상 더 위험하며, 오히려 비현지 OS를 쓰는 게 프라이버시 측면에서 유리할 수 있음
      단, 프로프라이어터리 코드 실행 시엔 주의가 필요함

    • 영국의 특정 경찰 조직이 온라인에서 이민자 비판자를 감시한다는 기사를 언급하며, 미국의 정치적 환경을 걱정하는 사람들도 있지만, 영국 상황 역시 안심할 수 없다는 점을 꼬집고 싶음

  • 유럽연합은 미국 기업에 대한 의존도를 줄인다며 매번 혁신을 외치지만, 실제론 자주 말을 바꾸고, 시간이 지나면 조용히 잊어버리는 악순환이 반복됨
    유럽 국가가 개별적으로는 강하지만, 때로는 유럽연합이 시끄럽기만 하고 실효성이 없다는 느낌을 받음

    • 구조적으로 유럽연합은 하나의 국가가 아니라 경제적 초국가적 조직이기 때문임
      프랑스/독일은 자주 전략적 자율성을 강조하지만, 폴란드/체코/발틱 3국은 이런 움직임에 덜 호의적임
      최근의 자가호스팅 논의처럼 자율성과 효율성 사이에서 균형을 찾아야 하는 문제임

    • 유럽인의 95%가 이미 미국 OS를 쓰고 있는데 나이 인증을 위해 EurOS 배포될 때까지 20년을 기다릴 수는 없음

    • EU가 정책 방향을 계속 흔들리는 주요 이유는, 사실 배경엔 프랑스·독일·아일랜드·체코 등 국가별 산업 이해관계가 충돌하고 있기 때문임
      “EU 내 자체 기술"을 외치는 건 거의 늘 프랑스 정책 입안자/기업뿐이고, 독일·네덜란드·동유럽은 그렇지 않음
      EU보다 개별 국가 이익이 더 우선이며, 미국 빅테크의 해외 직접 투자가 여러 회원국 경제에서 이미 대단히 큼
      1980~90년대 일본, 한국 자동차 기업도 미국 시장과 이해관계를 맞추며 협력을 택했던 전례가 있음

    • EU는 일종의 '효과 없는 시끄러운 치와와' 같음
      권위적인 법은 통과시키지만, 국가 정치인은 어쩔 수 없다고 말하면서도 인터넷 통제를 통해 얻는 이익은 챙김
      정작 일반 시민들은 별로 이득이 없음

  • 인터넷의 자유 전쟁이 가속화되고 있음
    디스토피아적 법안에 대한 실질적인 저항 없이는 정보 자유의 흐름이 점차 예외적 상황으로 전락하고 있음
    이건 미래의 가능성이 아니라, 지금 이 순간 전 세계적으로 벌어지고 있는 현실임

    • 친구가 자국의 시위 관련 X(전 Twitter) 게시물을 볼 수 없게 되었다고 함
      이런 게시물은 '성인' 콘텐츠로 분류되어 이제는 신분증 인증 없이는 볼 수 없음
      실제 포르노도 아닌 시위 영상임
      정말로, 이미 이런 상황이 오늘 벌어지고 있음

    • 늘 “어린이를 생각해야 한다”고 시작하지만, 그건 단지 시작일 뿐임
      인터넷의 황금기, 야생 시대는 이미 지났음
      앞으로는 사생활 보호, 표현의 자유를 지킬 수 있을지조차 불확실함

  • 정체가 궁금하다면 공식 기술 문서유저 플로우 그림 참고
    핵심 사용 흐름은 프라이버시를 보호하는 '18세 이상' 확인으로 요약할 수 있음
    이 방식은 미성년자의 포르노 접근을 막기 위함이지만, 기술적으로 좀 아는 사람에겐 걸림돌이 될 수 없음
    예를 들어 조금만 알아도 VPN을 쓰거나 torrent를 사용해서 얼마든지 우회가 가능함
    BitTorrent로도 18세 인증이 필요해진다면 이야기가 달라지겠지만, 현실적으론 막기 어려움

    • 사실 요즘 브라우저(예: Opera GX)와 VPN만 써도 대부분 쉽게 우회가 가능함
      유튜브 광고에서 자주 보일 정도로 흔한 방법이라서, 이게 '테크-서비'한 수준조차 아닐 수 있음

    • 소셜미디어가 포르노보다 오히려 더 큰 문제라고 봄
      차라리 소셜 플랫폼을 다 닫아버리고 포르노만 남기는 게 나을지도 모르겠음
      어렸을 때부터 그런 걸 보면 문제가 생길 수 있지만, 출생률이 전 세계적으로 저조해지는 상황을 보면 다들 별로 아이 낳을 생각도 없어서 이젠 걱정할 이유조차 없다 생각이 들기도 함
      요즘 너무 냉소적으로 변한 것 같음

    • 근본적인 해결책은 아예 미성년자를 인터넷에서 멀리하는 것이라고 보고 있음
      18세 이하 학생이 제대로 된 어른의 감독 없이 온라인에 있다면 이미 사회 전체가 책임을 다하지 못한 것임
      비록 학교 과제가 온라인 중심으로 흘러가면서 이 배는 이미 출항했지만, 언젠가 다시 원점부터 시도해야 함
      포르노만큼 위험한 건 결국 다른 사람, 그리고 각종 중독
      근본적 문제를 해결하지 않고 제도만 바꾸면 본질은 바뀌지 않음
      편집 추가: 학교 과제로 인터넷 필수화 자체가 마음에 들지 않음
      아이에게 인터넷 사용을 허락할지 여부는 부모의 권한이어야 하며, 기술적 나이 인증이나 콘텐츠 전면 차단 정책엔 반대임
      부모가 아이를 현명하게 지도해야 함

  • EU 친구들에게 묻고 싶음
    왜 구글 같은 미국 빅테크에 휘둘리는지?
    유럽은 자체로도 충분히 할 수 있는 역량이 있다고 생각함
    구글 없이도 가능하며, 중요한 건 명확한 계획과 실천 의지임

    • 미국 빅테크는 "무료" 솔루션만 제안하면 EU도 쉽게 받아들이고, 결국 모든 조건에 순응하게 됨
      나중엔 당연하다는 듯이 뒤늦게 경악하는 모습도 반복됨

    • 자본 부족, 미래에 대한 두려움이 원인임
      구글이 수억 유로를 투자하며 데이터센터를 짓겠다고 하면 일자리와 지역 경제 활성화 논리가 등장함
      구글과의 관계가 좋으면 이렇게 유치 프로젝트가 계속 생기고, 반대로 거절하면 빅테크는 투자처를 옮길 수도 있음
      요즘은 자체적으로 유럽산 기술을 만들어야 한다는 목소리도 커지고 있지만, 빅테크의 단가 경쟁력에 맞서기엔 투자 유치가 매우 어려움
      국가가 직접 투자하는 것엔 인기 없는 편이고, 사기업 입장에서도 확실한 수요계약 없으면 투자할 유인이 낮음
      결국 글로벌 빅테크가 가장 빠르고 저렴하게 해줄 수 있고, 공급망이 만약 단절되면 그 위험은 유럽 전체로 확산됨
      만약 EU가 미국 빅테크를 통째로 배제한다면, 미국에서 보복성 무역전쟁을 유도할 수도 있음

    • "EU는 자체 해결 역량이 있다"는 주장에 동의하지 않음
      실제로 사용해 본 EU산 소프트웨어는 대부분 품질이 낮았으며, 그나마 나았던 소프트웨어조차 결국 미국 기업에 인수됨

    • 결국 중요한 건 '돈'임
      유럽 내에서는 그 돈을 모으고 활용하는 방식이 미국과 다름

    • 정치는 결국 부패하기 쉬움

  • 이미 이전에도 정부가 구글 비공식 안드로이드 기기를 금지한 전례가 있음
    GrapheneOS에서 차단 관련 정리를 읽을 수 있음

  • 점점 기술적으로 승자가 없는 게임이 되어가는 현실임
    나는 GrapheneOS를 매일 사용하고 있는데, 기본값이어야 할 만큼 만족스러움
    한 가지 앱이 유사한 제약을 적용해서 아예 실행이 불가한데, 그 앱 전용으로 순정 안드로이드 기기를 하나 더 쓰고 있음
    불편하긴 하지만 그만한 가치가 있다고 느낌
    그래도 이런 흐름이 내 주위에서 급격히 확산되지 않아서 다행이지만, 트렌드 자체는 마음에 들지 않음

    • 이 상황에서 이길 수 있는 유일한 선택지는 아예 게임을 하지 않는 것임
      스마트폰이 필요하긴 하지만, 일상적 컴퓨팅은 별도의 컴퓨터로 하는 게 답임

    • 기술 문제가 아니라 사실은 규제의 문제임
      EU는 인터넷을 더 많이 통제하려고 하고, 현재는 "아이들을 위해"라는 명분이지만 곧 실명제·채팅 검사 등으로 이어질 수 있음
      이런 규제를 추진하는 세력은 반드시 저지해야 함

  • 새롭게 시도하는 사용 흐름 자체도 불편하지만, 미국이든 중국이든 민간 기업이 인터넷 입장권을 쥐는 게 더 거슬림
    누가 이런 인터넷을 원하겠음?

    • 이런 인터넷을 원하는 건 결국 겁먹은 부자들과 관료들임

  • 이념적 문제를 떠나, 이 방식이 정말로 기술적으로 필요하냐고 묻고 싶음
    예를 들어, 이런 인증을 하지 않으면 그냥 소스코드나 바이너리를 바꿔서 무조건 "나는 18세 이상"이라고 속일 수 있음
    그렇다면 구글을 거치지 않고 이걸 방지할 명확한 기술적 방법이 있는지 궁금함

    • 맞음
      이 전체 흐름은 사실 EU Wallet(Project) 기반이라는 점을 전제함
      EU Wallet은 OpenID(oidc4vci, oidc4vp) 표준을 기반으로 속성별 선택적 인증을 지원함
      예를 들어 정부에서 발행한 속성을 전자 서명 형태로 지갑에 저장할 수 있음
      문제는, 이 정보가 복제되거나 중고 거래될 수 있어 단순 저장만으론 인증 우회가 가능하다는 것임
      그래서 속성(자격증명, Credential)을 발급할 때 특정 기기에 묶어서 공개키/개인키 쌍을 인증하고, 이를 기반으로 RP가 실제 기기로부터 요청이 왔는지 추가로 체크함
      결국 이 단계에서 '보안 저장소', 즉 Secure Enclave 같은 하드웨어가 필요하게 됨
      만약 루팅폰처럼 보호되지 않는 환경이나, 아예 개인키를 빼낼 수 있다면 기기간 복제가 가능하므로 취지가 무의미해짐
      예를 들어 18세 이상 친구가 인증을 받고 그걸 공유할 수 있음

    • 사실상 웹사이트에 로그인해서 개인 신분증을 갖고 있음을 증명하는 게 필요한 수준인데, 여기에 하드웨어 토큰/생체 인증(예: FIDO, 패스키 등)이 요구될 수도 있음
      문제는 실제/가상 토큰 구별 및 시뮬레이션 방지에 있는 것 같음
      여기서 Secure Boot 등 하드웨어 신뢰성 검증이 관여할 수 있음

    • 인증 우회를 막으려면 EU 등록된 production 서명 체인으로 부팅·OS·하드웨어가 인증된 상태여야 함
      사용자가 자체 사인키를 등록하거나, 보안 부팅 OS 이미지로 커스터마이즈했다면 부팅 검증이 안 맞아 인증 불가함
      이는 macOS에서도 보안 옵션 해제 시 Apple Wallet 접근이 불가한 원리와 유사함
      본질적으로 사용자가 마음대로 커스터마이즈하는 걸 막을 수는 없지만, 그 경우 공식 인증 체인에서 제외됨
      문제는, 이 시스템을 상용화해서 하드웨어-OS 적용 사례가 구글과 애플밖에 없다는 것임
      결국 EU가 자체 인증 체인을 늘 넓게 열어두면서, 만약 보안상 허점을 악용하거나 신고가 들어오면 법적 책임을 지도록 함
      향후에 Steam Linux 등에서 VAC 등 보안 인증을 위해 이 체인을 EU에 등록할 수 있음
      결국 제조사/플랫폼이 책임의식을 갖고 EU에 신뢰성을 어필할 수 있어야 하고, 미래엔 더 다양한 OS와 체인을 허용하게 될 가능성도 존재함

  • 관련된 긴 토론은 여기 깃허브 이슈에서 확인 가능함
    구글에 종속하는 방식은 EU 시장의 핵심 원칙을 훼손한다고 봄

답변달기