EU Age Control: 디지털 ID를 위한 트로이 목마

 (juraj.bednar.io)
2P by GN⁺ 5시간전 | ★ favorite | 댓글 1개
  • 연령만 증명하는 프라이버시 보호형 인증으로 홍보되지만, 실제 배포 구조는 각국 앱과 선택적 경로에 의존하며 단일 EU 앱으로 작동하지 않음
  • 대형 플랫폼은 EU wallet 대신 여권 스캔과 liveness 검사를 수행하는 일반 KYC provider를 쓸 수 있어, 프라이버시 보호 경로가 필수 요건이 아니라 선택지에 머묾
  • 현재 reference 구현의 주 경로는 zero-knowledge proofs가 아니라 ISO 18013-5 mdoc with ES256를 사용하며, unlinkability도 강한 수학적 보장보다 지갑의 일회용 자격증명 회전 규칙에 기대고 있음
  • 앱 무결성 검증에 hardware attestation이 붙으면 최종 바이너리는 Google 또는 Apple이 승인한 코드와 일치해야 해, GrapheneOS나 커스텀 Linux 폰 같은 기기는 배제될 수 있음
  • relay attack은 모든 서명과 attestation이 정상이어도 막히지 않으며, 이런 구조가 연령 확인을 넘어 revocable digital IDs 수용으로 이어질 수 있다는 경계가 함께 제기됨

DSA 우회 경로와 KYC 대체

  • 특정 콘텐츠를 다루는 대형 플랫폼은 나이 확인이 필요하지만, 반드시 프라이버시 지향 EU 지갑을 쓸 필요는 없음
    • 플랫폼은 EU wallet을 선택할 수도 있음
    • 동시에 여권 전체 스캔과 liveness 검사 등을 수행하는 일반 KYC provider를 붙일 수도 있음
  • 프라이버시 기능은 선택 사항에 머묾
    • 홍보는 privacy-preserving 쪽에 집중되지만, 규칙상 비공개성이 약한 대체 경로도 허용됨
  • 각국 eID를 직접 연동하는 길은 실무적으로 어렵게 묘사됨
    • 27개국의 서로 다른 national eID systems를 통합하는 일은 복잡함
    • KYC 사업자는 물리 신분증 외형 데이터베이스와 사진 기반 절차를 유지하는 편이 더 싸고 범용적으로 작동함
  • 현재 상호운용성의 준비 상태도 낮게 평가됨
    • 공식 trusted list에는 프로덕션 앱이 0개임
    • reference implementation도 아직 미완성으로 묘사됨
    • 2026년 말까지 27개국 전체에서 깔끔한 상호운용이 갖춰질 것이라는 기대는 비현실적으로 봄

실제 검증 흐름과 기기 통제

  • 주된 고신뢰 경로는 NFC passport를 사용함
    • 사진 페이지 하단의 MRZ를 스캔해 NFC 칩 데이터를 읽고 복호화할 키를 얻음
    • 칩에는 서명된 데이터와 보유자 JPEG photo가 들어 있음
    • 설계상 휴대폰에서 실시간 얼굴 사진을 찍어 칩 사진과 로컬 매칭함
  • 이 로컬 얼굴 매칭은 자녀가 부모 여권을 스캔해 자기 자격증명을 발급받는 일을 막기 위한 용도로 적혀 있음
  • 앱이 오픈소스여도 실제 국가 배포판에서 hardware attestation이 강제되면 임의 수정은 막히게 됨
    • 본문 기준 현재 reference code에서는 서버 측 attestation 검증이 아직 연결되어 있지 않음
    • 다만 국가별 배포판이 이를 추가해야 하는 구조로 적혀 있음
    • 최종 바이너리는 Google 또는 Apple이 서명한 정확한 코드와 일치해야 함
  • 이 보안 모델은 특정 기기와 운영체제를 배제함
    • GrapheneOS, 커스텀 Linux 폰은 허용되지 않음
    • Huawei 기기는 자체 하드웨어 attestation은 가능해도 Play Integrity를 통과하지 못한다고 적혀 있음
    • 관련 예시로 GrapheneOS attestation compatibility guide가 링크됨
  • 더 단순한 MRZ-only 경로도 있지만 한계가 큼
    • NFC 읽기나 얼굴 매칭 없이 신분증 사진만 찍는 경로임
    • 실제 국가 앱이 이를 지원할지는 불명확하다고 적혀 있음
    • reference는 고신뢰 칩 기반 경로를 권장함

홍보되는 암호기술과 실제 탑재된 암호기술의 차이

  • 대외 서사는 zero-knowledge proofs 중심이지만, 실제 reference Android 앱의 실행 경로는 ZK 암호를 사용하지 않음
  • 현재 작동하는 방식은 ISO 18013-5 mdoc with ES256로 적혀 있음
    • 각 속성은 사전에 서명됨
    • 지갑은 요청받은 속성만 드러내고, 나머지는 salted-digest commitments로 숨김
  • ZK 라이브러리가 저장소에 포함돼 있어도, presentation path에서는 그것을 호출하지 않음
    • 저장소에 있다는 사실과 실제 switched on 상태는 다르다는 점을 구분함
    • 각국 앱이 나중에 활성화할지는 열려 있는 문제로 남겨 둠
  • 현재 reference의 unlinkability도 강한 수학적 보장과는 다르게 설명됨
    • 본문은 이를 disposable-batch unlinkability로 표현함
    • 서명된 자격증명을 한 번씩만 쓰면 18세 이상 여부와 발급자 정도만 드러날 수 있고, 고유 식별자는 없다고 적혀 있음

프라이버시 특성과 한계

  • 전체 흐름은 local-first에 가깝지만, 자격증명 발급 서버는 여전히 필요함
    • 문서 스캔과 초기 검사는 휴대폰에서 수행됨
    • attested app이라는 전제 아래 발급 서버는 어떤 코드가 실행됐는지 어느 정도 신뢰할 수 있음
    • 서버는 문서 서명을 검증하고 서명된 credential을 발급함
  • 검증자 관점의 unlinkability는 지갑이 규칙대로 움직일 때만 성립함
    • 설계는 두 증명이 수학적으로 상관관계 분석이 불가능한 구조가 아니라, disposable credentials를 한 번씩 쓰고 다시 받아오는 방식임
    • 지갑이 이를 지키면 서로 다른 검증자는 서로 다른 서명을 보게 되어 연결하기 어려워짐
    • 지갑이 속이거나 proof가 재사용되면 같은 서명 바이트가 드러나 연결이 쉬워짐
  • 흔히 떠올리는 ZK = 영구적 unlinkability라는 서사는 여기 적용되지 않음
    • 이 성질은 암호학이 재사용 자체를 무력화해서가 아니라, 지갑이 회전 규칙을 지켜야 유지됨
    • 비교 대상으로 BBS+CL signatures가 언급되며, 그런 방식은 재사용돼도 상관없는 비연결 증명을 만들 수 있다고 적혀 있음
  • 발급자 관점의 추적 범위도 제한적임
    • 발급자는 사용자가 ID를 제시할 때 credential을 발급함
    • 이후 그 credential을 어디에 몇 번 쓰는지는 서버가 알지 못함
    • 상상 가능한 rate limit도 발급량 제한일 뿐, 실제 사용 횟수 제한은 아님
  • 정상적인 지갑 동작 아래서는 EU 국가 시민이라는 점 정도를 추론할 수 있지만, 어떤 계정들이 같은 사람 것인지나 사이트 간 활동 연계는 어렵다고 적혀 있음

Relay attack 문제

  • 규격이 제대로 답하지 못하는 relay attack 시나리오가 제시됨
    • 미성년자가 연령 제한 사이트에 들어가려 할 때, 대리 인증 서비스에 QR 코드나 링크를 넘김
    • 그 서비스는 실제 성인의 정부 지갑이 있는 깨끗한 휴대폰으로 이를 전달함
    • 성인이 승인하면 사이트는 완전히 유효한 over-18 proof를 받고 접근을 허용함
  • 이 흐름에서는 어떤 암호 검증도 실패하지 않음
    • 모든 서명은 진짜이고, attestation도 진짜이며, 성인도 실제로 성인임
    • 문제는 프로토콜이 현재 이 브라우저 앞의 인간이 아니라, 어디선가 어떤 지갑이 승인했다는 사실에만 바인딩된다는 점임
  • proximity check가 없다는 점이 핵심 한계로 제시됨
    • 브라우저 측 Digital Credentials API는 같은 휴대폰에서 브라우징과 인증을 함께 할 때만 일부 완화 효과가 있음
    • 기기 간 이동에 쓰이는 QR 코드와 deep link는 여전히 열려 있다고 적혀 있음
  • Play Integrity도 이 문제를 막지 못함
    • Play Integrity는 어떤 기기에서 어떤 코드가 실행되는지만 attestation함
    • 기기 앞에 누가 있는지, 그 기기가 어디 있는지는 말해주지 않음
    • 프록시 흐름에서 대리 웹서비스는 attestation 대상이 아니라 바이트만 중계함
  • 성인 등록 이후에는 재판매 모델이 더 쉬워진다고 봄
    • 지갑에는 짧은 주기로 갱신되는 30개의 disposable credentials가 있다고 적혀 있음
    • 발급자는 그 자격증명이 실제로 어떻게 소비되는지 보지 못함
    • 따라서 프록시 운영자는 같은 credential을 많은 미성년자에게 재사용할 수 있고, 상류 시스템은 이를 감지하지 못함
  • 이 문제는 구현 버그가 아니라 protocol shape에서 비롯된 구조적 성질로 규정됨
    • 따라서 규격을 따르는 27개국 앱 전반에 남을 문제로 봄

디지털 ID 인프라로의 확장 우려

  • 연령 확인 앱은 digital ID infrastructure로 가는 진입점으로 다뤄짐
  • 시작점은 아동 보호와 유해 콘텐츠 차단이지만, 실제로는 사람들이 더 편한 attested wallet을 선택하도록 마찰을 만드는 구조로 묘사됨
  • 이 구조에서 앱 자체도 attestation 대상이므로, 무엇이 실행 가능한지 Google 또는 Apple이 좌우하게 됨
  • 자격증명은 issuer가 폐기할 수 있다고 적혀 있음
  • reference app은 얼굴 사진을 로컬에서만 누출한다고 적혀 있음
    • 동시에 27개국이 각자 별도 버전을 만들 것이므로, 각국 구현마다 별도 프라이버시 버그가 생길 수 있다고 봄
  • 반복적 지갑 호출은 Hawthorne effect를 낳는다고 적혀 있음
    • 논란성 사이트에서 매번 지갑을 꺼내게 되면, proof가 익명이라 해도 자기검열이 커질 수 있음
    • 정부가 이런 데이터를 잘 보호해온 기록이 좋지 않다고 적혀 있음
  • 이후 Digital Euro 같은 다른 체계와 연결될 수 있다는 우려도 제기됨
    • 그러면 삶의 큰 부분이 원격으로 꺼질 수 있다고 봄
    • 주차 위반 과태료 미납을 예시로 들어 credential 일시 박탈 같은 시나리오를 상정함
  • 결론적으로 인터넷 접근의 대가로 revocable digital IDs를 받아들일 필요가 없다고 못 박음

공개된 해킹 사례에 대한 구분

  • 보고된 문제는 두 부류로 나뉨
    • mock-up bugs: 파일 누출, 검사되지 않은 MRZ 스캔, placeholder backend를 때리는 Chrome extension 데모 등
    • structural properties: proximity binding 부재, 클라이언트 측 one-time-use, 재사용 시 깨지는 unlinkability 등
  • 첫 부류는 국가별 구현에서 고칠 수 있는 문제로 분류됨
    • reference app의 디스크 파일 누출은 수정될 일이며, 본질적 문제로 보지 않음
    • 테스트 credential을 얻게 속일 수 있어도, 실제 주 경로는 검증되지 않은 MRZ 스캐너 mock-up이 아니라 각국 eID 체계가 될 것이라고 적혀 있음
  • 두 번째 부류는 버그가 아니라 규격에서 바로 따라오는 속성으로 다뤄짐
    • 규격을 따르는 모든 국가 구현에 남는 문제로 규정됨
  • custom Chrome extension 기반 해킹도 생산 환경에서는 통하지 않을 것으로 봄
    • attestation이 강제되면 앱 검증에서 실패하게 됨
    • MRZ 경로도 실제 EU 공통 백엔드와 연결되지 않으며, 유효 문서 레지스트리는 각국 관할이라고 적혀 있음
  • mock-up을 뚫었다는 식의 시연은 라이브러리 사용 예제를 공격한 것에 가깝다고 정리함
    • 실제로는 Slovak, Hungarian, German, Dutch, French 등 국가별 앱이 각각 존재하게 될 것이라고 적혀 있음

수요와 결론

  • 이런 체계에 대한 수요 자체는 존재한다고 봄
    • 인터넷이 위험하다고 느끼는 부모들이 자녀 보호 수단을 원함
    • 아이들이 우회할 가능성과 별개로, 보호받는 대상인 아이보다 안심하려는 부모가 실질적 고객으로 묘사됨
  • 관련 참고 링크가 함께 실려 있음
  • 결론부의 판단은 네 가지로 압축됨
    • EU fancy ZK apps는 준비가 늦어 플랫폼이 일반 KYC provider, AI 얼굴 나이 추정기, 기타 수단을 쓸 가능성이 큼
    • 규격대로 구현되면 플랫폼이 사용자의 실명이나 계정 간 연결을 알기 어렵다는 의미 있는 프라이버시 특성은 있음
    • 다만 그 특성은 암호학적 강제보다 wallet behavior에 기대며, 저장소 안의 ZK 수학은 현재 켜져 있지 않음
    • Google/Apple approved device가 아니면 동작하지 않는 제약과 relay attack의 구조적 한계가 함께 따라옴

함께 보면 좋은 글 β

GN⁺ 5시간전  [-]
Hacker News 의견들

  • 이건 트로이 목마가 아니라, 결정문·토론·법률 텍스트에 명시된 목표
    연령 확인 요구사항은 기술이 실현 가능하다는 걸 입증하는 수단이면서, 완전한 디지털 ID로 가는 가장 단순한 출발점으로 고른 것임
    EU는 이미 각국 정부가 스마트카드나 정부 계정 기반의 OIDC 비슷한 인증 서비스를 제공하고 있고, 디지털 월렛은 그 연장선에서 타국 EU 시민의 인증을 쉽게 하고 휴대폰에 신분증을 담게 하려는 구조임
    자녀에게 연령 확인 토큰을 넘겨준다는 시나리오는 현실에서도 이미 가능한 일이고, 그 위험은 감수하되 적발 시 처벌하는 식으로 다뤄왔지 술집이 따라다니며 실제로 마시는지 확인하진 않음

    • 오늘은 연령 확인, 내일은 디지털 ID, 그다음은 영구 추적이라는 패턴은 늘 같아 보임
    • 차이는 큼
      실제 실물 신분증은 은행 업무, 문서 서명, 정부 상대처럼 드문 상황에서만 보여주면 되는 경우가 많고, 술 살 때도 거의 요구받지 않았음
      요구받더라도 그냥 보여주는 정도지 사진을 찍어 보관하게 두진 않음
      그런데 식료품점, 약국, 주유소, 주차장, 식당, 바마다 신분증을 요구하고 사진까지 찍어 DB에 저장한다면 누구도 반길 수 없을 것임
    • 그럼 로드맵이나 일정은 있는지 궁금함
      나도 글쓴이처럼 슬로바키아 ID가 있는데, 이게 인터넷 서비스 접근에 실제로 쓸모 있어지는 시점이 언제인지 알고 싶음
    • 현실에서도 가능하다는 비유는 부적절한 유추에 가까움
      여기서 말하는 결함은 우회를 산업화할 수 있게 해주니, 현실에서 몇 번 대리 구매하는 수준과는 차이가 매우 큼

  • BBS+ 나 CL 서명 같은 진짜 암호학적 unlinkability는 재사용해도 상관관계 없는 증명을 만들지만, 이 시스템은 그게 아님
    스위스 eID 논의 때도 나왔듯이 ZKP 대신 회전 서명을 쓰는 이유는 대부분의 휴대폰 보안 하드웨어가 BBS+ 같은 알고리즘을 지원하지 않기 때문임
    국가가 자체 암호 저장 체계를 새로 만드는 것보다, 하드웨어 모듈이 만들어둔 서명 묶음을 순환시키는 편이 전체적으로 더 현실적이고 큰 문제도 적다는 판단임
    하드웨어 모듈의 장점은 휴대폰을 잃어버렸을 때 공격자가 실제 비밀키를 빼내기 훨씬 어렵게 만든다는 데 있음
    매번 디지털 ID 얘기만 나오면 공포를 부풀리는 쪽이 복붙한 우려를 반복하는데, 실제 EUDI 스펙을 읽어보면 그중 상당수는 이미 다뤄져 있음
    https://eudi.dev/1.6.0/architecture-and-reference-framework-main/

    • 스펙은 읽어봤지만, revocation flow가 발급자·정부와 사이트 운영자가 공모했을 때 연령 확인 사용자의 신원을 드러내지 못하게 어떻게 막는지 이해가 잘 안 감
    • 각종 ID 시스템의 제안, 장단점, 실제 운영 경험을 정리해 볼 만한 좋은 입문 자료가 있으면 알고 싶음
      위키피디아에서 국가별 eID 문서를 보는 것보다 나은 출발점이 필요함
    • 맞음
      늑대소년식 호들갑을 반복하는 흐름은 정말 지겨움

  • 다른 관점도 가능함
    EU Age Control 자체는 트로이 목마가 아니고, 앱은 표방하는 기능을 그대로 수행함
    아무도 그걸 쓰고 싶어 하진 않음
    진짜 트로이 목마는 기업 모바일 OS
    무료 선물처럼 보이니 사람들은 기꺼이 받아들이지만, 실제론 Google·Apple과 광고 파트너에게 유리한 프라이버시 침식 소프트웨어가 핵심 비즈니스 모델임
    사람들은 그 기능을 보지 못하고 예쁜 무료 선물만 봄
    그래서 연령 확인 앱도 기업 모바일 OS에서만 동작함
    글쓴이가 말했듯 Google이나 Apple이 승인한 기기 아니면 Linux, GrapheneOS, Huawei, 커스텀 펌웨어는 배제되며, 그게 보안 모델의 일부라고 함
    ID를 요구하는 진짜 핑계는 연령 확인이 아니라 보안이고, 바로 그 논리 때문에 기기 소유자가 스스로 컴파일한 OS를 쓰지 못하게 됨

  • 내 보기엔 디지털 ID는 디지털 화폐처럼 결국 피할 수 없게 될 가능성이 큼
    더 편하고 효율적이기 때문에 발급은 계속될 것이고, 종이 기반 신원 증명은 시간이 갈수록 사라질 것임
    연결된 세상에서 은행카드나 운전면허 같은 물리 토큰은 필수도 아니고 최선의 해법도 아님
    그래서 초점은 정부가 그걸로 무엇을 할 수 없는지 통제하는 데 맞춰야 함
    예를 들어 시민권을 박탈하면 안 되듯, ID 비활성화나 삭제도 쉽게 못 하게 막아야 함

    • 사람들이 digital ids를 들으면 서로 다른 걸 떠올리는 듯함
      네덜란드 정부가 세금 신고 등에 쓰는 디지털 ID도 있고, 우크라이나 정부가 발급한 X509 인증서와 앱으로 비슷한 일을 할 수도 있음
      이런 것까지 나쁘다고 보는 건 잘 이해되지 않음
    • 하지만 많은 나라가 실제로 시민권 박탈을 허용함
      영국에선 정치적 결정으로도 가능하고, 은행 계좌 동결처럼 다른 권리도 막을 수 있으니 그걸 효과적으로 금지할 수 있을지 회의적임
      물리 토큰의 문제도 잘 모르겠음
      단순하고, 단일 장애점을 만들지 않으며, 휴대폰을 잃어도 카드와 현금은 남고, 네트워크나 시스템 장애에도 강함
      카드 몇 장 들고 다니는 게 그렇게 큰 단점인지 모르겠음
    • 디지털 ID도 결국 물리 토큰 형태와 함께 갈 가능성이 큼
      게다가 종이 위에도 디지털화되고 암호학적으로 서명된 ID를 담을 수 있어서, 보안성과 기계 판독성 면에선 전자식과 꽤 비슷한 역할을 할 수 있음
      전자 토큰이 특히 빛나는 지점은 ID든 다른 것이든 단일 사본의 물리적 소지를 입증할 때임
    • 피할 수 없다는 데는 동의하지만, 그다음은 깊은 토끼굴처럼 보임
      EU는 이미 여러 해 동안 정부가 할 수 있는 일을 통제한다는 명분 아래 이런 방향으로 가고 있음
      https://escapekey.substack.com/p/europe-goes-full-digital
    • ID 차단 금지를 말해도, 여권을 잃어버리면 경찰에 신고해서 무효화해야 하듯 휴대폰 속 디지털 ID도 분실 시 폐기할 수 있어야 함

  • 소셜 미디어가 커진 뒤 선거가 바뀐 걸 보면, 정부는 예전처럼 통제력을 되찾고 싶어 하는 듯함
    아동 성착취물, 테러, 이제는 AI 생성 CP 같은 공포를 내세워 열린 인터넷을 점점 더 조이면서, 결국은 서구식 만리방화벽과 사회신용 비슷한 2류 버전을 얻게 될 것 같음
    이미 몇몇 자유민주주의 국가는 그 뿌리를 심어둔 상태로 보임

    • 오히려 소셜 미디어에서 디지털 신원 검증을 통해 공적 토론을 망치는 봇 계정을 없애려는 쪽에 더 가깝다고 봄
      대형 인플루언서 계정 중 일부가 중국·러시아 봇으로 드러났고, 혐오와 분열을 키우려는 움직임은 LLM 때문에 더 심해지고 있음
      소셜 계정의 실체를 검증할 수 있는 어떤 형태의 디지털 ID가 아마 진짜 공적 토론을 지킬 마지막 희망일 수 있음
    • 정부가 통제력을 되찾겠다고 하면서, 정작 우리를 미국 기업이 완전히 통제하는 기기를 거치게 만드는 건 이상하지 않나 싶음
    • 이게 선거 변화와 직접 연결됐는지는 모르겠음
      내 정부는 한동안 소셜 미디어가 우리를 더 멍청하고, 더 우울하고, 더 불안하게 만든다고 말해왔고, 그건 사실이라고 봄
      그 영향이 선거에도 나타난다는 건 알겠지만, 문제를 풀고 싶은 핵심 지점이 선거 자체는 아닌 듯함
      문제를 해결하면 선거에도 영향이 가는 건 오히려 당연함
    • 정부는 AI CP를 정말 문제 삼는 것 같지도 않음
      실제 아동을 기반으로 만든 것조차, 억만장자가 생성기 접근권을 대놓고 팔면 그냥 넘어가는 듯함
      그래서 이게 결국 공포를 부풀리는 허수아비 논리라는 생각이 더 강해짐

  • 데모 앱이든 아니든 제대로 구현하는 게 더 중요함
    각 회원국이 전부 올바르게 구현할 가능성은 낮기 때문임
    아이를 보호하겠다는 해법도 결국 한계가 큼
    아이에게 폰이나 컴퓨터를 안 주는 게 단순한 해법일 수 있고, 어차피 불법 사이트들은 연령 확인에 따르지 않을 것임
    Pirate Bay 같은 곳이 법을 잘 지켰다면 애초에 존재하지도 않았을 테니, 결국 실효성 없는 해결책에 가까움

    • 단일 앱인지 여부보다 데이터베이스와 상호연결성이 더 걱정됨
      특히 국가 간에 어떤 승인·통제 프로토콜을 따를지가 핵심임
      단일 DB나 통제 없는 네트워크를 원한다는 발상은 꽤 무섭게 느껴짐
    • 아이에게 폰이나 컴퓨터를 안 주는 건 해결책이 아님
      요즘은 많은 학교가 컴퓨터 접근 자체를 요구함

  • 우리는 이미 오래전부터 eID를 써왔고, 그게 온라인에서 더 널리 쓰이게 되는 건 괜찮음
    연령 확인도 마찬가지지만, 그 과정에 미국 기업이나 Palantir가 끼지 않는 방식이어야 함

  • 연령 확인 같은 데 진짜 Zero Knowledge Proof 체계가 허용될 가능성은 낮아 보임
    그리고 remote attestation도 그런 식으로 작동하지 않음
    진짜 ZKP 체계에서는 키 하나만 유출되거나 추출돼도 무한한 가짜 증명을 만들 수 있고, 그걸 탐지하기 어려워지기 때문임

    • 이 글이 다루는 EU 연령 확인은 내가 본 기술 문서들에서 분명히 ZKP 사용을 명시하고 있음
      https://eudi.dev/2.5.0/discussion-topics/g-zero-knowledge-proof/
    • 그렇다면 Google Play Integrity는 사용할 수 없게 됨
      Oreo 같은 오래된 기기까지 인증해 주는데, 벤더가 업데이트를 끊은 기기엔 사실상 무한한 취약점이 남아 있어 키 유출이 가능해지기 때문임

  • 많은 나라가 이미 수년째 디지털 ID를 운영해왔음
    문제는 디지털 ID 자체가 아니라 감시
    정부가 발급한 주체와 직접 소통할 때만 쓰는 디지털 ID는 괜찮고 오히려 바람직하기도 함
    하지만 연령 확인을 밀어붙이는 건 그 정보를 민간 기업에도 열어주는 장치이고, 그게 바로 트로이 목마라고 봄

    • 여기서 말하는 정보는 사실상 {"over_18": true}{"over_16": true, "over_18": false}에 정부 서명이 붙는 정도임
      물론 바티칸 ID처럼 특이한 경우면 곤란할 수도 있겠지만, 애초에 그쪽은 이 시스템에 참여하지 않음

  • 인터넷은 원래 사이버펑크적 탈출구였는데, 이제는 어떤 대가를 치르더라도 익명성을 없애려는 쪽으로 가는 듯함
    얼굴 인식으로 폰을 깨우고, 인터넷 기록이 정부 ID와 1:1로 묶이는 세상은 그냥 씁쓸함

답변달기
긱뉴스에 GeekBadge 기능이 추가되었습니다. 긱배지로 자신을 표현해 보세요.