나이 인증 화면에 막혔다면, 이제 무엇을 해야 할까?

 (eff.org)
1P by GN⁺ 9일전 | ★ favorite | 댓글 2개
  • 온라인 서비스들이 나이 인증(연령 게이트) 을 의무화하면서, 이용자들은 개인정보 노출 위험 속에서 선택을 강요받고 있음
  • EFF는 이러한 법적 의무화 조치에 반대하며, 이미 시행 중인 제도에서도 이용자 권리를 최대한 보호하기 위한 실질적 대응 지침을 제시함
  • 글은 데이터 최소 제출 원칙을 강조하며, 얼굴 인식·신분증 업로드·신용카드 인증 등 각 방식의 위험도와 한계를 비교함
  • Meta, Google, TikTok 등 주요 플랫폼의 연령 추정·제3자 검증·데이터 보관 정책을 구체적으로 분석함
  • 모든 방식이 완전한 개인정보 보호를 보장하지 못하므로, 이용자는 최소한의 정보 제공과 삭제 절차 확인이 필수적임

나이 인증 제도의 현실과 위험

  • EFF는 나이 게이트 및 나이 인증 의무화가 표현의 자유와 개인정보 보호를 침해한다고 명시
    • 이미 여러 주와 국가에서 법이 시행 중이며, 이용자들은 웹 전반에서 나이 확인을 요구받고 있음
    • 인증 과정에서 민감한 데이터 유출 사례가 다수 발생
  • 이용자는 서비스 이용 지속 여부와 개인정보 노출 최소화 방법을 스스로 판단해야 함
    • EFF는 각 인증 방식별로 질문 체크리스트를 제시: 데이터 종류, 접근자, 보관 기간, 감사 여부, 노출 범위
  • 데이터 최소 제출 원칙을 권장하며, 가능한 한 적은 정보를 제공할 것을 강조
    • 얼굴 인식 기반 추정은 일부 사용자(유색인, 트랜스젠더, 장애인 등)에게 정확도가 낮음
    • 디지털 ID 방식은 일부 플랫폼에서만 가능하며, 정보 노출 위험 존재

주요 플랫폼별 나이 인증 방식

Meta (Facebook, Instagram, WhatsApp, Messenger, Threads)

  • Meta는 게시물·메시지 등으로 이용자 나이를 추정
    • 추정이 불가능하거나 너무 어리다고 판단되면 인증 요구
  • 얼굴 인식 인증 시, 사진이 Yoti 서버로 전송되어 처리
    • Yoti는 즉시 삭제를 주장하지만, 트래커 존재로 제3자 노출 위험 있음
    • 배경 노출 등으로 위치 정보가 유출될 수 있어 주의 필요
  • 신분증 업로드 시, Meta와 Yoti 모두 데이터 보관 후 삭제를 약속
    • Meta는 30일 보관, Yoti는 즉시 삭제 명시
    • 신분증에는 실명·주소 등 민감 정보가 포함되어 있어 위험 존재

Google (Gmail, YouTube)

  • Google은 계정 생성 시점, 시청 기록 등으로 연령 추정
    • 추정 실패 시 ID, 얼굴 인식, 이메일, 신용카드, 디지털 ID 중 선택 가능
  • Private ID를 통한 얼굴 인식은 기기 내 처리로 비교적 안전
    • 단, 특정 대상 공격 시 이미지 전송 가능성 존재
  • 이메일 인증은 VerifyMy가 수행하며, 이메일을 제3자 데이터베이스와 대조
    • 제3자 목록은 공개되지 않음
  • 신용카드 인증은 Google Payments를 통해 처리되어 상대적으로 안전
    • 소액 결제 후 환불, 카드 교체 가능
  • 디지털 ID는 일부 지역에서만 가능하며, 정부 시스템과의 통신 가능성 있음
  • 신분증 업로드 시, Google은 인증 후 삭제를 명시하지만, 외부 감사 여부 불명확

TikTok

  • TikTok은 업로드된 영상·음성으로 자동 연령 추정
    • 너무 어리다고 판단되면 계정 제한 또는 삭제, 일정 기간 내 이의 제기 필요
  • Yoti를 통한 얼굴 인식은 Meta와 동일한 위험 구조
  • 신용카드 인증은 소액 결제 후 환불 방식이며, 보안 처리 여부 불명확
  • 부모·보호자 카드 인증 또는 성인과 함께 사진 촬영 방식도 존재하나,
    • 실제 적용 사례가 거의 없고 검증 절차 불투명
  • Incode를 통한 신분증+얼굴 비교 방식은 데이터 자동 삭제 미지원
    • TikTok은 삭제 요청을 시작한다고 명시하지만, Incode 직접 삭제 요청이 필요
    • ID에는 실명·주소 등 민감 정보 포함

기타 서비스와 공통 원칙

  • Spotify, OnlyFans는 Yoti, Quora와 Discord는 k-ID를 사용
  • 모든 방식이 완전한 개인정보 보호를 보장하지 않음
    • 데이터 최소 제공, 접근자 제한, 빠른 삭제가 핵심 원칙
  • EFF는 이러한 제도들이 이용자 프라이버시와 표현의 자유를 침해한다고 지적하며,
    전 세계적으로 나이 인증 의무화 철회 운동을 지속 중임
roxie 22시간전  [-]

로블록스 진짜 농담인가 싶더라구요

답변달기
GN⁺ 9일전  [-]
Hacker News 의견들

  • 우리 아이가 최근 Roblox를 그만둔 이유가 얼굴 인증을 통한 나이 확인 절차가 너무 수상했기 때문임
    아이와 친구들은 절대 자신의 사진을 인터넷에 올리지 말라는 걸 잘 알고 있어서, 다른 게임으로 옮기거나 인터넷에서 스톡 사진을 다운받아 업로드함 (이게 실제로 통한다고 함)
    이런 방식은 완전 농담 수준의 보안임. 기업들이 아이들에게 개인 사진을 올리는 걸 ‘정상화’하는 건 정말 잘못된 방향임

    • 이런 사진 업로드의 ‘정상화’가 위험한 이유는, 악의적인 사용자가 “재인증하지 않으면 게임 머니를 잃는다” 같은 메시지를 띄워서 아이들의 신분증 사진을 수집할 수 있기 때문임
      입법자들이 문제를 깨닫기 전에 피해가 발생할 게 두려움
    • 우리 아이들도 인터넷상 생일은 항상 1970년 1월 1일로 설정함
    • 하지만 반대로, 내가 직접 신분증을 제출해야 하는 것도 원치 않음
      익명성가명 접근이 최선의 해결책이라고 생각함
      EU가 나이 인증을 추진하면서 동시에 미국과 경찰 데이터를 공유하려는 걸 보면, 이런 데이터가 법으로 ‘정상화’될까 걱정됨
    • 기업들이 이런 행동을 하는 건 단순한 실수가 아니라, 프라이버시를 비정상화하고 감시를 일상화하려는 의도적인 선택이라고 봄
    • 영국 정부가 나이 제한을 이유로 감시와 추적을 강화하려는 움직임이 있음
      정부가 기업에 신분증, 얼굴 사진, 영상을 요구하는 건 위험하며, 결국 사기와 개인정보 유출을 늘리고 자유를 줄이는 결과를 낳을 것임

  • Google 계정은 충분히 오래됐는데도 YouTube에서 계속 나이 인증 팝업이 뜸
    결국 이건 단순히 나이 확인이 아니라 얼굴 데이터를 수집하려는 시도라고 생각함
    이런 데이터는 제3자에게 팔릴 가능성이 높음

    • 하지만 어떤 사람은 “기업들이 굳이 얼굴 데이터를 원하지는 않지만, 막을 이유도 없기 때문”이라고 봄
      법을 지키는 가장 쉬운 방법이 얼굴 인식이기 때문에 그냥 그렇게 하는 것임
    • 내 계정도 18년이 넘었지만, FPGA 영상 보려다 나이 인증 팝업이 떴음. 즉, 계정 나이는 상관없음
    • Google, Apple, Meta는 데이터를 판매하기보다는 내부 활용에 더 관심 있다고 느낌
    • EU 규제 이후 YouTube가 과잉 대응한 듯함. ElsaGate 사건 이후 플랫폼 내 이상한 콘텐츠를 가리기 위한 조치였다고 생각함
    • 이런 주장들이 너무 피해망상적으로 들림. 대부분은 법적 요구를 따르는 것뿐임

  • 많은 사람들이 어떤 서비스가 끝나도 그냥 놓지 못하는 경향이 있음
    만약 HN이 신분증 인증을 요구한다면, 그냥 사용을 멈출 것임. 세상엔 그런 일도 있는 법임

    • 하지만 어떤 사람은 “그게 단순한 취미 문제가 아니다”라고 함
      예를 들어, 교회나 유치원이 WhatsApp이나 Facebook으로만 공지하면, 안 쓰는 사람은 정보 접근 자체가 불가능
    • 반대로 나는 모든 웹 콘텐츠가 자유롭게 복제될 수 있어야 한다고 생각함
      과거엔 HyperCardFileMaker 같은 도구로 자급자족이 가능했는데, 지금은 감시 자본주의만 남았음
      이제 AI 시대에는 웹사이트 복제와 자동화가 가능하니, 독점 기업들이 더 이상 ‘망가뜨리기(en-shittification)’ 전략을 쓰지 못하게 될 것임
    • 많은 사람들은 사실 프라이버시를 포기하는 데 아무런 저항이 없음

  • 내 가장 큰 걱정은 내 정보가 안전하게 저장되는지 알 수 없다는 점
    예전에 내 아기 이름으로 데이터 유출 통보서를 받은 적이 있음. 병원 하청업체가 정보를 잃어버렸다고 함
    아이가 말을 배우기도 전에 개인정보가 유출된 셈임
    내가 직접 거래하지 않은 회사가 내 정보를 잃을 수 있다면, 온라인 신분 인증은 근본적으로 위험함
    관련 글: Your ID online and offline

    • 결국 온라인에 올린 모든 ‘비공개’ 정보는 언젠가 공개됨
      “임시 저장 후 삭제한다”는 말은 믿을 수 없음
      2026년이 되어도 비밀번호 저장 방식조차 확실히 알 수 없는데, 사진 관리 방식은 더 불투명함
    • 게다가 피싱 사이트가 진짜 인증 페이지처럼 보이면, 잘못 입력한 순간 정보가 도용될 위험이 큼

  • 나이 인증은 결국 피할 수 없는 흐름이라고 생각함
    술집이나 클럽 입장 시 신분증을 요구하는 것처럼, 온라인에서도 자연스럽게 받아들여질 것임
    그래서 중요한 건 어떻게 구현하느냐
    예를 들어, 매장에서 신분증 확인 후 기프트카드 형태의 토큰을 주는 방식이나, 정부가 발급한 익명 토큰으로 나이만 증명하는 방식이 가능함
    EFF는 일부 사용자가 이런 기술을 쓰기 어렵다고 하지만, 그 비율이 얼마나 되는지 궁금함

  • EFF가 VPN을 통한 회피를 언급하지 않은 게 의외였음

    • 하지만 활동가 단체가 “문제를 회피하라”고 조언하는 건 부적절함
    • 게다가 Cloudflare가 인터넷 대부분을 차지해서 VPN으로는 접근이 어려움
    • VPN 사용은 오히려 계정이 의심 계정으로 표시될 수 있음
    • “그냥 포기하라”는 건 해결책이 아님
    • 결국 각국이 나이 인증 법을 도입하면 VPN도 무력화될 것이고, 그때는 인터넷을 떠나거나 대안 네트워크를 찾아야 할 것임

  • 나는 원칙적으로 쿠키 배너를 절대 수락하지 않음
    uBlock Origin으로 전부 차단함. 나이 인증이 도입돼도 비슷하게 대응할 생각임

    • 하지만 사이트가 인증 없이는 접근을 막으면 차단만으로는 불가능
    • 쿠키 배너는 단순 알림이지만, 나이 인증은 접근 자체를 막는 게이트
    • 배너를 무시하는 건 사실상 모든 추적을 동의한 것과 같음

  • 프라이버시 친화적 신원 인증 서비스가 비즈니스 기회가 될 수 있다고 생각함
    제3자 사이트가 나이만 확인하고, 실제 신원은 알 수 없는 구조임

    • 스위스의 e-ID 시스템이 이런 방식으로 제안되었음
    • 인터넷 접속 사업자가 가정이나 회사 단위로 연령 인증을 대행할 수도 있음
      예를 들어, IPv6 세그먼트를 나이 제한별로 구분해, 네트워크 단에서 인증을 처리하는 방식임
    • 제3자는 실제 신원을 몰라도 됨. 관련 논의: HN thread
    • 반대로, 불필요하게 신분증을 요구하는 서비스에 가짜 ID를 제공하는 합법적 비즈니스가 생기면 좋겠다고 생각함
    • 이런 아이디어는 흥미롭지만, 상용화와 네트워크 효과를 얻기 어렵고, 결국 Apple이나 Google 같은 대형 벤더가 나서야 가능할 듯함

  • 얼굴로 나이를 추정하는 기술은 아무리 발전해도 사기성 기술(snake oil) 이라고 생각함
    이름과 얼굴을 짝지으려는 시도 자체가 수상함

  • 처음엔 이 글이 나이 든 사람의 구직 문제에 관한 줄 알고 클릭했음

    • 나도 처음엔 그렇게 착각했음
답변달기