아이들을 생각하라: 모든 인터넷 트래픽에 Real ID를 강제하는 방법(2023)

 (nochan.net)
1P by GN⁺ | ★ favorite | 댓글 1개
  • 성인 인증을 명분으로 한 신분증·문서 업로드 요구가 중앙화 상업 데이터베이스로 이어지면, 성인 사이트를 넘어 인터넷 전반의 실명 추적으로 확장될 수 있음
  • 이미 ICRA PICSRTA Header 같은 저마찰 대안이 있었고, RTA는 웹페이지나 HTTP 헤더에 한 줄만 추가해 브라우저·검색엔진·크롤러가 성인용 가능성을 감지하게 함
  • 글의 시나리오는 주 단위 법제화가 연방법과 해외 확산으로 이어지고, 이후 소셜미디어·금융·상거래·메신저·게임 플랫폼까지 추적 프레임워크가 넓어지는 흐름임
  • 전역 집행 수단으로는 Web Environment Integrity(WEI) 서명 없는 페이지 차단, 신용카드·주 신분증·TPM·Secure Boot와의 결합 가능성이 거론됨
  • 대안은 사이트 운영자에게 1년 안에 RTA 헤더를 넣게 하고, 기본 브라우저와 웹 클라이언트가 이를 읽어 부모 통제를 활성화하며, 2034년 기준 13세 미만 아동부터 적용하는 방식임

성인 인증 데이터베이스가 만드는 위험

  • 일부 주와 한 국가는 성인 웹사이트 로그인 때 성인임을 증명하기 위한 주 신분증과 문서 업로드를 요구하는 중앙화 상업 데이터베이스를 구현하고 있음
  • 이 방식이 성인 콘텐츠에 머물지 않고, 인터넷 사용 전반에 실명과 금융 정보를 연결하는 인프라로 커질 수 있다는 점이 핵심 우려임
  • 정치권은 자유롭고 열린 인터넷을 허용한 일을 뒤늦게 후회하고, 기술 기업이 자발적으로 통제권을 되돌리도록 설득해야 하는 상황으로 묘사됨
  • 결과적으로 정부와 기업 파트너가 이익을 얻는 방식으로 인터넷 통제권을 회수할 수 있다는 경고가 담겨 있음

이미 있던 저마찰 대안: ICRA PICS와 RTA

  • 과거 브라우저와 애드온은 오래된 표준을 통해 성인 콘텐츠와 사용자 생성 콘텐츠를 감지할 수 있었음
  • 이 방식은 클라이언트 개발자와 웹 서버 운영자에게 비용을 거의 요구하지 않고, 아이가 무엇을 볼 수 있는지 관리하는 책임을 부모에게 두는 구조였음
  • yt-dlp의 예시 코드는 RTA 헤더를 찾는 구현 사례로 제시됨

  • ICRA PICS Headers

    • ICRA PICS는 아이들에게 더 안전한 웹을 만들기 위한 첫 시도였음
    • 일부 브라우저, 서드파티 도구, 웹 서버가 이를 채택함
    • 사이트에 어떤 유형의 콘텐츠가 있는지 상세히 기술하는 헤더를 웹 폼으로 생성해야 해 마찰이 컸고, 채택은 정체됨

  • RTA Header

    • RTA Header는 더 단순한 방식으로 더 널리 쓰인 두 번째 시도였음
    • 사이트 운영자는 웹페이지나 HTTP 헤더에 간단한 헤더 하나를 추가하면 되고, 브라우저·검색엔진·크롤러는 해당 사이트가 아이에게 적합하지 않을 수 있음을 즉시 알 수 있음
    • HTML 지시문 예시는 다음과 같음
    <meta name="rating" content="RTA-5042-1996-1400-1577-RTA">
    • NGinx HTTP 헤더 예시는 다음과 같음
    add_header Rating 'RTA-5042-1996-1400-1577-RTA' always;
    • HAProxy에서는 다음처럼 설정할 수 있음
    http-response set-header Rating "RTA-5042-1996-1400-1577-RTA"
    • 서버, 로드밸런서, 애플리케이션 어디서든 설정하기 단순하고 비용도 거의 들지 않는 접근임
    • 남은 작업은 브라우저에 클라이언트 코드를 다시 넣고, 휴대폰과 태블릿에도 추가하는 것임
    • 대부분의 개발자·기업·조직이 적은 노력과 비용으로 구현할 수 있으며, 빠른 사이드 프로젝트로도 가능하다고 봄

추적 데이터베이스가 확산되는 시나리오

  • 글은 다음 흐름을 이론과 최선의 추정으로 구분함
    • 1단계: 보수 정치인에게 로비되고, 가족 가치와 유권자 신념에 맞는 정책으로 받아들여짐
    • 2단계: 충분한 보수 성향 주가 데이터베이스 요구 법을 채택하면 연방법을 정당화하기 쉬워짐
    • 3단계: 수익이 발생함
    • 4단계: 미국 연방법이 추적을 요구하면 다른 국가도 제재나 벌금을 피하기 위해 따르게 됨
    • 5단계: 추적 프레임워크가 생긴 뒤 Facebook, X, Instagram 같은 소셜미디어에도 요구됨
    • 6단계: 은행, 온라인 상점, 암호화폐 거래소, 투표, 온라인 채팅 시스템, Signal, WhatsApp, Slack, Discord, IRC, Hacker News, 사용자 기여 콘텐츠, chan류 사이트, YouTube, Rumble, TikTok, Steam, Battle.net, Minecraft 같은 게임 플랫폼으로 확대될 수 있음
    • 7단계: 더 큰 수익과 대규모 추적이 발생함
  • 이런 데이터가 한곳에 모이면 인터넷상의 악의적 행위자를 끌어들일 수 있음
  • S3 버킷에서 실수로 유출되거나 데이터가 판매되지 않을 것이라는 보장은 냉소적으로 다뤄짐

전역 집행과 수익화 가능성

  • 전역 집행은 이론적으로 모든 웹 브라우저가 Web Environment Integrity(WEI) 서명이 없는 웹페이지를 차단하는 방식으로 가능함
  • 이 흐름은 신용카드, 주 신분증, TPM 모듈과 연결될 수 있음
  • Tor Browser가 WEI를 구현하면 Tor .onion 사이트에도 잠재적으로 적용될 수 있다고 봄
  • 모든 사용자가 모든 웹사이트에 실명 ID와 금융 정보로 로그인하게 되면, 사이트는 판매와 청구를 훨씬 쉽게 만들 수 있음
  • ID 검증 웹사이트를 통한 구매 버튼이 추가되고, 해당 검증 사이트가 수수료를 가져가는 구조도 예상됨
  • 차지백을 피하기 위해 계좌를 당좌예금 계좌에 직접 매핑하는 편의 기능이 제공될 수도 있음
  • 벤더와 OS 업데이트가 Secure Boot를 잠가, 서드파티 연령·ID 검증에 참여하지 않는 OS를 막을 수 있다는 우려도 포함됨

사회적 영향에 대한 우려

RTA 헤더의 남용 가능성과 한계

  • 누군가 웹페이지에 RTA 헤더를 삽입할 수 있다면, 이는 사이트 운영자가 넣어야 했던 헤더의 공백을 메우는 일로 간주됨
  • 일부 청소년은 제한을 우회할 수 있음
  • 이 방식은 완벽하지 않지만, 현재 존재하거나 구현 중인 방식보다 낫다고 평가됨
  • 청소년이 헤더를 우회하는 상황이, 중앙화 데이터베이스를 쓰기 위해 신용카드를 훔치거나 ID를 위조하고 범죄 이력으로 삶을 시작하는 상황보다 낫다는 입장임

사용자 생성 콘텐츠에 RTA가 필요한 이유

  • 사용자 생성 콘텐츠는 순식간에 아이에게 적합하지 않은 콘텐츠로 바뀔 수 있음
  • 성년인 성인만 계약을 체결하고 법적으로 집행 가능한 합의를 수락할 수 있음
  • 성인 대상 콘텐츠가 있는 경우 아이는 부모나 법적 보호자와 함께 있어야 하며, 또는 부모가 허용하는 도메인이나 URL을 승인 목록에 넣어야 한다는 입장임
  • 법률 조언이 아니며, 변호사도 오류를 낼 수 있으므로 여러 의견을 받고 도전해야 한다는 단서가 붙음

제안된 실행 계획

  • 사람들은 주 및 연방 대표에게 연락해, 더 단순하고 프라이버시 침해가 적은 연령 인증 방식을 요구해야 함
  • 첫째, 모든 웹사이트 운영자와 소유자가 RTA 헤더를 구현하도록 하고 1년의 시간을 줌
    • 구현에는 몇 분만 걸린다고 봄
  • 둘째, 기본 설치된 사용자 에이전트인 브라우저와 웹 클라이언트가 RTA 헤더를 감지하고 부모 통제를 활성화해야 함
    • QA를 제외하면 하루 미만의 개발 작업으로 봄
    • 구현 기간은 1년으로 제안됨
    • 관리자 계정 이후 새로 생성되는 기본 계정은 관리자 암호가 입력되지 않는 한 부모 통제를 사용하는 아이 계정이 되어야 함
  • 셋째, CDN과 웹 스크래핑 회사와 계약해 사이트에 RTA 헤더가 있는지 검증함
  • 넷째, 2034년 기준 13세 미만 모든 아동에게 부모 통제가 활성화되도록 법제화함
  • 다섯째, 현재 청소년은 2034년이면 모두 성인이 되므로 이 방식이 제대로 실행되면 영향을 받지 않음
    • 시간의 슬라이딩 윈도우를 만들고, 미래의 청소년만 영향을 받게 됨
    • 아이의 책임은 정부가 아니라 부모에게 있다는 입장임
  • 여섯째, 이 접근에 반대하거나 다른 옵션을 위해 로비하는 회사는 법적으로 자금이 끊기고, 반대 정치인은 견책과 최종 제명 대상이 되어야 한다고 주장함
  • 개인식별정보를 업로드해야 한다면, 직접·간접 관련 데이터센터는 PCI DSSFedramp를 합친 것보다 더 엄격한 기술·감사 요구사항을 따라야 함
    • IoT 기기, 개발자 노트북, DEV/QA, 성능, 스테이징, 프로덕션까지 모든 것이 범위에 들어가야 함
    • 이것이 너무 어렵다면 개인식별정보를 건드리지 말고 RTA·성인 헤더를 쓰라는 결론임

CTO와 CSO에게 주는 권고

  • 법이 된 뒤 역풍이 불고 실패할 때까지 기다리지 말고, 사이트에 RTA 헤더를 구현해야 함
  • 브라우저에는 헤더 검사를 넣어 부모와 아이를 보호할 수 있어야 함
  • 기업은 이러한 구현을 통해 다른 곳보다 앞서 있다고 말할 수 있음

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • 최후의 방어선은 무엇일까? 도시 안에 지하 무선 중계망을 만들어 컴퓨터끼리 직접 연결하고, 거기서 해적판 콘텐츠를 시드하고 원하는 이야기를 나누는 방식일 수 있다고 봄
    도시 밖 네트워크와 연결할 때는 더 긴 파장의 무선을 써서 전리층 반사로 지구 반대편까지 보내야 해서 대역폭이 낮아질 수도 있음
    FCC는 별로 신경 쓰지 않겠음. 버려진 건물 옥상, 지역 FCC 현장 사무소 앞, 숲 한가운데, 바다의 부표 위에 노드를 세울 것임
    잡히거나 더 나쁜 일을 당할 수도 있지만 어차피 영원히 살 것도 아님
    Hacker News에 아직 진짜 해커들이 남아 있다면 이 아이디어를 검토하고 기술적인 부분을 발전시켜 줬으면 함. 모든 통신이 신원 확인되고 검열되는 미래를 받아들일 수 없음
    이것이 그들의 최종 목표이고, 막아야 함. 권력이 우리를 다른 권력의 졸개와 싸우게 했던 전쟁들보다 더 큰 싸움일 수 있음. 문명 역사상 처음으로 엘리트 집단이 아니라 우리 자신의 권리를 위해 싸우는 셈이기 때문임

    • 최후의 방어선은 언제나 정부를 바꾸는 것임. 기술적 수단에 의존해야 하는 상황이면 이미 진 것임
    • 모두, 특히 젊은 세대는 공격적 해킹 기술을 반드시 익혀야 한다고 봄
      내 아이들에게도 적의 컴퓨터 시스템을 익스플로잇하고 파괴하는 법을 아는 만큼 가르칠 것임
      이는 인터넷 공간에서의 수정헌법 2조에 해당함. 컴퓨터 시스템의 모든 것을 조사하고, 분해하고, 디버그할 수 있어야 하며, 그 시스템이나 소유자가 잘못 행동하기 시작하면 무너뜨릴 지식도 가져야 함
      정부의 폭정에 맞서 전체 인구가 단순한 Kali Linux만 들고 반격하기로 한다면 컴퓨터 시스템과 관련된 거의 모든 문제를 해결할 수 있음
    • 정치의 우회로가 되어 주는 마법 같은 기술적 트릭은 없다고 봄
    • 신뢰하는 피어/친구들끼리 IPSec 터널을 만들어 인터넷 안에 자신들만의 신뢰 인터넷을 구성하면 됨. 그러면 전부 그냥 LAN처럼 보임
      얼마나 잘 확장될지는 모르지만, 무선 장난을 정리하는 것보다는 훨씬 쉬움. 경험상 무선 쪽은 FCC나 각국 규제기관이 꽤 꾸준히 단속함
    • 이미 할 수 있고, 이름은 Reticulum
      본질적으로 LoRa를 포함한 어떤 네트워크 위에서도 동작하는 암호화된 인터넷/네트워킹임
      문제는 커뮤니티 규모와, 실제 인터넷을 제공하거나 공개 서비스를 노출할 만큼 서로 연결되는 것임

  • 목록에 더하자면 금융에 한정되지 않는 KYC/AML식 규제와 관행이 있음. 책임을 체인 아래쪽, 책임 추궁이 어려운 영역으로 밀어내고, 결과적으로 예방적이고 과도하게 넓은 위험 회피, 자기검열, 오버턴 창 조작을 낳음
    예를 들어 DMCA와 YouTube 관행, 그리고 실제 채널들이 둘 다 피하려고 선택하는 행동을 비교해 보면 됨. 알고스피크나 글에서 언급된 PayPal 상황도 마찬가지임
    하지만 전부 말뿐임. 정치적 압력은 기체 압력과 같아서, 가능한 부피를 전부 채움. 웹에서 떠드는 것 말고 실제로 무엇을 하느냐가 가능한 부피를 정함. 아무것도 하지 않으면 그 부피는 무한대가 됨

    • 정부를 처음부터 새로 만들면 됨
      법률을 버전 관리하고, 모든 다른 나라의 법과 비교하고, 데이터를 비축함
      정부 직원을 대체하고 법 집행을 쉽게 만드는 코드를 작성함. 잘 만들었다면 제품이나 서비스로 팔 수도 있음
      모든 것을 모듈식으로 만들어 기존 체제가 훔쳐 갈 수 있게 함
      사람들을 참여시켜야 함. 시뮬레이션을 만들고 그걸 게임이라고 설득해야 하더라도 상관없음
      이 전체 작업을 코드 작성이라고 생각하면 자신이 그 일에 완벽하다고 상상할 수 있음
      여러 정치 성향의 사람들이 자발적 세금 아이디어를 좋아한다는 걸 배웠지만, 실제로 작동한다고 믿는 사람은 없음
      전체 시스템이 기부와 자원봉사자, 몇몇 “국영” 회사만으로 돌아갈 수 있다면 핫스왑은 필연적이 됨

  • 등급 코드가 왜 그렇게 복잡한지 궁금함. Pornhub.com은 그 코드를 활성화했지만 더 단순한 것도 같이 쓰고, 4chan도 후자를 씀

    • https://rtalabel.org/에서 왜 그 특정 문자열인지 설명을 찾지는 못했지만, 문자열이 고유해서 “adult” 같은 일반 단어보다 공식 웹사이트를 찾기 쉬운 점은 좋음
    • 규제의 의도와 달리 사람들이 비등급 콘텐츠 제공을 중단하게 만들기 때문일 수도 있음
      실제로 비슷한 일이 있었음: “Sesame Scheme: Unintended Consequences of Allergen Food Labeling”( https://news.ycombinator.com/item?id=44074487 )
    • 클라이언트 코드가 둘 중 어느 쪽이든 찾는 건 꽤 간단해야 한다고 봄
    • 아마 고유성 때문일 것임. 이 코드는 매우 구체적인 표준으로 정해진 반면, adult는 거의 무엇이든 의미할 수 있음

  • 간단한 해법은 라우터로 필요한 것을 차단하고 아이들의 기기를 관리하는 것임. 그러면 인터넷은 계속 자유롭고 개방적으로 남음
    지금 무슨 이야기를 하는 건가? 잘 풀릴 법은 없음

    • 핵심 목적은 인터넷 트래픽 통제를 얻는 것임. 직접 구현해야 하는 방식은 통하지 않음. 모든 사람을 통제할 수 없으니 그들이 어떻게 구현할지도 통제할 수 없기 때문임
      제목의 “아이들을 위해”는 진심이 아니라 빈정거림에 가까움
    • 우리가 무슨 이야기를 하는지는 알고 있을 것임. 그 책에 쓰여 있었음
    • 인터넷을 설계해서 네가 트래픽을 중간자 공격할 수 있게 만들고 싶은 건가?

  • 그보다 20년 전에는 “The Digital Imprimatur”가 있었음: <https://www.fourmilab.ch/documents/digital-imprimatur/>

  • 특정 사용자가 어떤 인간인지 식별하지 않고도, 그 사용자가 인간이고 일정 나이 이상이라는 점만 증명할 방법이 있어야 함

    • 이런 제안은 있었음. 사용자가 앱에 필요한 데이터만 사용하도록 허가할 수 있는 암호화된 데이터 컨테이너를 쓰는 방식이었지만, 아이디어가 Web3와 엮였고 Crypto와 NFT 과열기 사이에 대중의 강한 반발을 맞았음
      https://www.w3.org/2023/Talks/0727-wearedevelopers-tbl/solid...
      이제는 AI로 넘어왔고, 결국 정치인들이 법에 써 넣은 구현으로 열악한 나이 확인을 하게 됨
    • 불가능한 과제임. 어떤 사업자가 인간 ID를 요구하고 싶다면 그렇게 하게 두면 됨. 정부가 강제해서는 안 됨
      자기 라우터와 아이 기기는 완전히 통제할 수 있으니 거기서 시작하면 됨. 남의 책임이 아님
    • 누군가가 인간인지 확인하는 건 더 어려움. 일정 나이 이상인지 확인하는 것은, 아이들이 접근하는 대부분의 기기와 브라우저가 RTA/adult 헤더를 확인하고 자녀 보호 기능을 켜도록 한다면 시간이 걸려도 가능할 수 있음
      하룻밤에 해결되지는 않으니 완벽하지 않겠지만, 완벽은 좋은 것의 적임
      지금 있는 방식은 좋지 않다고 봄. 현재 방식은 아이와 성인 모두의 신원 정보를 위험에 빠뜨림. 아이들은 이런 데이터 공유에 동의할 수도 없으니, 그들을 보호할 수 있는 유일한 사람은 부모임
    • 장기적으로는 이런 것이 올 것 같음. 모든 사이트가 AI 스크래퍼 봇을 막기 위해 Cloudflare CAPTCHA 같은 것을 붙이고 있음. 결국 실제 인간에게만 발급되는 토큰이 필요해질 수 있음
    • https://zkpassport.id/

  • AI 등장 이후 광고 회사들이 무엇이 실제 트래픽인지 확신하지 못하게 되었고, 그래서 이걸 로비로 밀어붙였다는 점을 상기할 필요가 있음. 모든 트래픽을 정부 ID에 묶으면 그 문제가 해결되기 때문임

  • 제3자 나이 확인이나 ID 확인을 쓰는 회사가 그 데이터에 대해 완전한 법적 책임을 지도록 법을 만들어야 함
    데이터가 유출되면 어떻게, 왜 유출됐는지와 관계없이 당사자 1명당 100만 달러를 지급해야 함
    신원 300건이 유출되거나 팔렸다면 형사처벌과 별개로 3억 달러임. 이로 인해 파산한다면 의도대로 작동한 것임. 그런 회사는 이 데이터의 수호자는커녕 아이들의 수호자가 될 자격도 없다는 뜻임

    • 너무 과한가? 그렇다면 애초에 데이터를 수집하지 않고, 입법자들이 제정신을 차려 아이들을 신경 쓰기 시작한다는 전제하에 RTA 헤더와 클라이언트의 해당 헤더 확인을 쓰면 됨
    • 장부에 0달러만 남겨 두는 내 LLC가 큰일 났네
    • Discord는 제3자를 썼고, 그 업체는 전달받은 ID를 삭제해야 했지만 그러지 않았고 결국 유출됐음

  • 익명성은 사라질 것이라고 거의 확신하지만, 동시에 특정 명분들은 여전히 대량의 봇 계정으로 지원될 것임

  • 이 전쟁은 TV에 V-Chip을 넣도록 속아 넘어갔을 때 이미 졌음
    명백한 거래는 이랬어야 함. 우려하는 사람들에게 명시적으로 차단할 도구를 줬으니, 공중파에서 온갖 공격적 표현과 포르노 선택지가 허용되어야 했음
    물론 “부모가 없을 때 TV 플러그를 뽑는 것”도 이미 쓸 수 있는 도구이긴 했음
    하지만 우리는 그런 대가를 받지 못했음
    이것이 얼마나 “누가 아이들을 생각하지 않겠는가” 계층 자체가 정치적으로 시끄럽고 구애할 만하기 때문인지, 또 얼마나 더 나쁜 목적을 가진 기업들이 그걸 통로로 키워 왔기 때문인지 궁금함
    예를 들어 상업적 소셜 제공자들은 COPPA 준수의 곡예를 피할 법적 면책을 간절히 원하고, 나이 증명이 제공하는 검증된 인구통계 정보에도 유인이 있음

답변달기