1P by GN⁺ | ★ favorite | 댓글 1개
  • 유럽의 디지털 ID 지갑은 공공 서비스 접근과 온라인 연령 확인에 쓰일 예정이지만, 보안 확인을 Google Play Integrity API와 Apple Managed Device Attestation 같은 민간 플랫폼에 맡기는 구조임
  • Play Integrity는 앱이 정품 인증 Android 기기에서 실행되는지 확인하면서 Google 라이선스 Android와 Play Store 설치 여부를 기준으로 삼아 Google 생태계 의존을 키움
  • 네덜란드와 이탈리아 지갑 개발자는 Play Integrity를 구현해, e/OS와 GrapheneOS 같은 de-Googled 운영체제 사용자가 공공 서비스에서 배제될 수 있음
  • EU의 Architecture Reference Framework는 Google 증명을 요구하지는 않지만 권장하며, 이탈리아는 이를 의무처럼 해석한 반면 스위스는 데이터 보호·데이터 주권·선택의 자유 우려로 제외함
  • ID 지갑이 공공 인프라라면 Google·Apple 증명에 기대기보다, 개방형 하드웨어 기반 증명 메커니즘을 의무화해야 함

디지털 ID 지갑이 민간 증명 서비스에 기대는 구조

  • 유럽 정부들은 시민이 서비스에 접근하고 온라인에서 나이를 확인할 수 있도록 디지털 ID 지갑을 도입하고 있음
  • 이 지갑들은 Google Play Integrity API와 Apple Managed Device Attestation 같은 안전 서비스에 의존함
  • 이런 안전 서비스는 원격 증명(remote attestation) 으로 불리며, 지갑 앱이 변조되지 않은 하드웨어에서 실행되는지 확인하는 데 쓰임
  • 공공 인프라에 민간 기업의 안전 서비스를 넣으면 유럽 사회가 Google과 Apple 같은 사기업에 의존하게 되고, 해당 기업의 이해관계에 유리한 구조가 될 수 있음

Play Integrity API가 만드는 Google 중심 통제

  • Google Play Integrity API는 개발자가 앱 실행 환경의 무결성을 확인하도록 Google이 무료로 제공하는 소프트웨어임
  • 개발자는 이를 통해 앱이 “genuine certified Android device”에서 실행되는지 확인할 수 있음
    • 봇 악용 감소
    • 은행 앱 사기 방지
    • 게임 앱 부정행위 방지에 활용될 수 있음
  • 문제는 이 API가 기기의 Google 라이선스 Android 실행 여부도 확인하고, 라이선스가 없는 대안을 잠재적 보안 위험으로 취급한다는 점임
  • 앱 변조 여부를 판단할 때도 Google Play Store가 기준이 됨
    • 앱이 수정되었는지 확인함
    • 앱이 Play Store를 통해 설치되었는지 확인함
  • 그 결과 Play Integrity는 Google 라이선스가 없는 운영체제를 배제하고, Play Store 설치와 Google 계정 로그인을 유도하는 구조를 가짐
  • 이런 설계는 Digital Markets Act(DMA) 와 충돌함
  • 더 개방적인 대안으로 Android의 Hardware Attestation API가 있으며, Google 생태계 정책을 강제하지 않고 하드웨어 기반 보안 확인을 제공함

정부 구현이 독점 구조를 강화하는 방식

  • EU는 빅테크 독점을 깨겠다는 목표를 자주 밝히지만, 일부 회원국은 디지털 ID 지갑 아키텍처에 Google Play Integrity API를 넣어 Google 생태계를 강화할 위험을 만들고 있음
  • 네덜란드와 이탈리아의 지갑 개발자는 Play Integrity를 구현함
  • 이 방식에서는 e/OS와 GrapheneOS 같은 de-Googled 운영체제 사용자가 지갑 서비스 접근에서 제외될 수 있음
  • 정부가 지갑에 Google의 안전 서비스를 넣으면, 공공기관이 민간 기업의 플랫폼 정책을 집행하는 역할을 하게 됨
  • 이는 개방성, 포용성, 기술 주권 같은 공공 가치를 바탕으로 디지털 공공 인프라를 구축하려는 유럽의 목표와 긴장 관계에 있음
  • EU의 ID 지갑 규정은 상호운용성을 핵심 목표로 삼지만, Google 소프트웨어·Google 추적기·내장 LLM이 사전 설치되지 않은 운영체제를 쓰려는 사용자는 지갑 사용을 위해 Google 소프트웨어를 받아들여야 하는 상황에 놓임

ID 지갑은 일반 앱이 아니라 공공 인프라

  • ID 지갑은 정부 문서 접근과 공공 서비스 로그인 관리에 쓰이는 핵심 수단임
  • 따라서 Google과 Apple에 의존하지 않고 누구에게나 제공되어야 하는 디지털 공공 인프라의 중요한 구성 요소임
  • 대체 de-Googled 운영체제는 신원 지갑처럼 정부 서비스 로그인에 필요한 핵심 앱을 사용할 수 없으면 채택 매력이 크게 낮아짐
  • Waag의 EU 지원 Mobifree 프로젝트 연구도 이 문제를 뒷받침함
    • 지난 2년 동안 de-Googled 모바일 소프트웨어 생태계가 다양한 최종 사용자에게 어떤 가치를 갖는지 조사함
    • 120명의 테스터 중 다수는 결제 앱과 정부 신원 확인 앱 같은 핵심 서비스 앱과의 호환성을 de-Googled 운영체제 전환의 주요 조건으로 봄
  • 정부 개발자는 상호운용성을 최적화할 때 더 깊은 스택 수준까지 고려해야 함
  • Play Integrity API는 DMA와 충돌하므로, 유럽 주권을 강화하려는 ID 지갑의 목표와도 모순됨

국가별로 엇갈리는 증명 방식

  • EU는 지갑 아키텍처를 위한 일반 기술 프레임워크인 Architecture Reference Framework를 제공함
  • 이 프레임워크는 유럽 정부에 Google 증명 사용을 요구하지는 않지만 권장함
  • 이 권장 때문에 국가별 접근이 엇갈림
    • 일부 국가는 Google 증명을 쓰지 않음
    • 일부 국가는 Google 생태계 정책을 강제하는 방식으로 구현함
  • 이탈리아는 Play Integrity API 사용 권고를 의무처럼 해석함
  • 스위스는 Android의 증명 메커니즘에 의존하며, 데이터 보호·데이터 주권·선택의 자유 우려 때문에 Play Integrity를 제외함
  • 네덜란드와 이탈리아는 Play Integrity를 조건 없이 사용하고 있으며, Google과 Apple의 증명 소프트웨어 사용 권고를 매우 엄격하게 해석함
  • 유럽이 디지털 자율성을 진지하게 추구한다면 Architecture Reference Framework에서 Google과 Apple 증명을 완전히 배제하고, 개방형 하드웨어 기반 증명 메커니즘을 의무화해야 함
  • 스위스 사례는 Google Play Integrity 사용이 정당화되지 않으며 다른 해결책이 가능하다는 점을 보여줌

공공 책임성과 대응 경로

  • 디지털 지갑은 공공 인프라이므로 설계 과정에 공공 참여와 책임성이 필요함
  • 시민과 개발자는 국가별 저장소에서 우려를 제기하고 있음
    • 독일의 공개 지갑 개발 트래커인 gitlab.opencode.de
    • 스위스의 공개 토론 포럼인 github.com/orgs/swiyu-admin-ch
  • 이런 채널은 정당한 문제 제기 경로지만, 도달 범위는 좁은 기술 독자층에 제한됨
  • 대체 de-Googled 운영체제 사용자는 각국 EUDI Wallet 앱 개발자에게 Google·Apple 증명으로부터의 독립을 요구할 수 있음
    • 네덜란드 지갑의 경우 외교부 EDI 웹사이트의 contact page를 이용할 수 있음
  • 우려하는 시민은 선출직 대표에게 ID 지갑을 Google과 Apple로부터 독립시키라고 요구할 수 있음
  • 기자는 정치적·설계적 절차를 추적할 수 있음

댓글과 토론

Hacker News 의견들
  • EU의 지갑 참조 구현은 Google Play services를 엄격히 요구했음
    https://github.com/eu-digital-identity-wallet/eudi-app-andro...
    그래서 이탈리아의 IO 앱 https://github.com/pagopa/io-app도 지갑, 문서, 연령 확인 기능에서 GrapheneOS 지원 요청을 계속 거부하고 Google을 요구함
    소송이 시작되기 전까지는 아무것도 바뀌지 않을 듯하고, 희망은 Motorola/GrapheneOS 협업과 반경쟁 행위로 소송을 걸 수 있는 소비자 단체뿐임
    Play services를 요구하는 앱들에 대해 가능한 모든 채널에서 목소리를 내야 함. 나중에 소송이 시작되면 이런 기록이 사용자 지지를 보여주는 데 도움이 됨

    • 문제는 단순한 기술 의존성만이 아님
      시민 각자가 몇백 유로를 그런 회사들에 지불하게 만들고, 그 회사들은 다시 시민의 권리에 반하는 캠페인을 벌임
      문제가 생겨도 시민은 아무런 지원을 받지 못하고, 회사는 책임은 거의 없으면서 상대를 매우 소름 끼치는 방식으로 추적할 광범위한 권리를 갖는 극도로 비대칭적인 계약을 맺어야 함
    • GrapheneOS만 특별 취급해 지원하는 건 임시방편일 뿐이고, 애초에 원격 증명을 요구하지 않는 방법을 찾아야 함
      그래야 누구나 원하는 하드웨어에서 원하는 운영체제를 쓸 수 있음
    • 지금은 시장 점유율이 반영된 결과일 뿐임. EU 법은 회원국이 공공서비스 접근에 스마트폰을 필수로 만들지 못하게 금지함
      EU는 iOS와 Android에 전적으로 의존하는 위험을 명시적으로 예상했고, EUDI Wallet 프레임워크를 다른 물리적 형태도 가능하도록 설계했음
      예를 들면 현재의 국가 신분증 같은 스마트카드, 독립형 하드웨어 토큰과 USB 키가 있음
    • 슬프게도 소송은 별 효과가 없을 듯함. “보안”, 더 정확히는 전체주의적 통제가 휴대폰을 직접 만지고 싶어 하는 1%의 괴짜보다 더 중요하게 취급될 테니까
    • GrapheneOS도 증명을 지원하므로, 설령 성공해도 Google, Apple, GrapheneOS에 선물이 되는 정도일 가능성이 큼
      반대해야 할 것은 본질적으로 사용자에게 적대적인 하드웨어 증명임. 인기 있는 Android 배포판 하나를 허용하는 건 큰 그림에서는 별 의미가 없음
  • Play Integrity 대신 Android의 하드웨어 증명 API에 의존하더라도, 내 기준에서는 디지털 자율성에 대한 공격임
    사용자의 전체 플랫폼에 대한 원격 증명에 의존하는 보안 기능은 결국 정부가 허용 가능한 운영체제를 고를 권한을 갖게 하므로 정부의 권한 남용임
    이 권한이 정보기관용 백도어를 설치하라고 운영체제 개발자들에게 압박하는 데 악용되는 건 시간문제고, 사람들에게 스마트폰 두 대를 가지라고 하는 건 해결책이 아님
    적절한 영지식 증명(ZKP) 방식이나 블라인드 서명에 기반한 익명 디지털 연령 확인에는 범용 운영체제가 필요하지 않고, 몇 가지 암호학 원시 연산과 기기에 묶인 키 집합이면 충분함
    EU가 이런 기능만 갖춘 전용 하드웨어 토큰을 개발해 앱의 대안으로 모든 시민에게 무료 제공하는 건 과한 요구가 아님. 스마트폰을 소유하지 않아도 디지털 서비스 접근이 심하게 제한되지 않는 자유도 보장됨

    • 은행과 정부 서비스 모두에서 하드웨어 보안을 강제하는 것 자체는 괜찮다고 봄
      다만 휴대폰에서 사용자 지정 소프트웨어를 실행할 능력을 제한해서는 안 되고, 특히 모든 사람에게 Google/Apple이 서명한 휴대폰을 요구해서는 안 됨
      Pixel에 GrapheneOS를 올려도 은행·정부 앱은 동작해야 하며, 하드웨어 보안을 강제하면서도 이게 가능하다고 믿음
    • 맞음. 하드웨어 증명이 정부에 어떤 이득을 주는지 잘 모르겠음
      고객 입장에서는 자기 키가 기기 안에서 안전하다고 믿을 수 있다는 잠재적 장점이 있지만, 핵심을 빗나감
      정말 필요한 건 표준 프로토콜을 정의하는 오픈소스 명세임. 기기는 신뢰할 수 있는 출처, 예를 들면 정부 키로 서명된 요청이라는 걸 알고, 정부 API가 본인을 나타내는 것으로 아는 키로 그 요청에 서명하면 됨
      정부 포털에서 기기별 공개키 여러 개를 추가하고, 요청 검증에 쓸 정부의 공개키도 공유하는 식을 상상함. 신원 확인이 필요한 서비스는 사용자의 공개키를 요청하고, 정부 API에서 챌린지 토큰을 받아 사용자에게 전달함
      사용자는 그 챌린지가 신뢰하는 키로 서명됐는지 확인하고 서명해 앱에 돌려주며, 앱은 이를 정부 API로 보내 요청한 정보의 일부만 접근 허가를 받음. 앱이 나이만 필요하면 그 정보만 받게 됨
      휴대폰 구현체가 키 보호를 위해 하드웨어 증명을 쓰고 싶을 수는 있지만, 의무화할 이유는 없음. 잘 설계된 공개키 시스템이면 충분하고, 필요하면 키를 쉽게 폐기하고 새로 추가할 수 있어야 함
    • “기기에 묶인 키”가 필요하다면, 하드웨어나 실행 환경에 대한 증명 없이 그 키가 실제로 기기 결속되어 있음을 어떻게 보장할 수 있음?
  • 미국 기업 두 곳에 전적으로 의존하는 유럽 디지털 ID 시스템이라니
    얼마 전까지 유럽의 디지털 주권이 절박하다는 얘기를 하지 않았나? 아니면 그냥 보여주기식 헛소리였나?

    • FOSDEM에서는 이 주제를 꽤 길게 논의함. 어느 정도 움직임은 있었고, 해마다 나아지고 있다고 낙관함
    • 맞음. Google/iOS 증명을 요구하지 않는 오픈소스 명세 [0]도 있음. 다만 지갑 제공자는 “가급적” 앱을 App Store에 올리라고 되어 있음 [1]

      사용자가 지갑 솔루션을 신뢰할 수 있도록, 지갑 제공자는 인증된 지갑 솔루션을 관련 운영체제의 공식 앱 스토어(Android, iOS 등)를 통해 설치 가능하게 하는 것이 바람직하다. 이를 통해 기기의 운영체제가 앱의 진정성에 관한 관련 검사를 수행할 수 있다.
      물론 중요한 기업이 별도 경로를 구현할 가능성은 사실상 0에 가깝고, 일부 정부기관 정도는 선택지를 제공할지도 모름
      [0] https://github.com/eu-digital-identity-wallet
      [1] https://eudi.dev/latest/architecture-and-reference-framework...

    • 꼭 그렇지는 않음. EU는 실제로 탈동조화를 시도하고 있음
      하지만 많은 경우 지원할 수 있는 유럽 자체 대안이 없음. Google과 Apple이 제공하는 소프트웨어 스택의 상당 부분이라도 대체할 수 있는 EU 기업은 하나도 없음
      규제 환경이 바뀌지 않는 한 앞으로도 아마 없을 것임
    • 미국은 5분 만에 오스트리아에 전화해, 증거 부담도 없이 주권국가 원수의 항공 영공 허가를 취소시키고 착륙 직후 항공기를 급습하게 만들 수 있음
      단지 누군가가 탑승했을지도 모른다는 이유였고, 실제로는 탑승하지도 않았으며, 그의 유일한 실질적 “범죄”는 미국의 근본적으로 위헌적인 불법 행위를 폭로해 미국을 망신 준 것뿐이었음
      스웨덴 검사들도 마찬가지였음. 미국은 전화 한 통으로 기소는 아니지만, 그날 저녁 전 세계 헤드라인에 “Assange”와 “rape”가 같이 뜨게 할 만큼의 공식 발언을 받아냈음
      유럽 국가들은 대체로 미국의 애완견처럼 굴고 있고, 정말 슬픔. 그런데도 미국 대통령은 침공과 병합을 위협하거나 NATO 회원국의 기본 의무를 완전히 무시하며 등을 찌름
      유럽이 왜 미국의 멍청한 게임에 계속 끌려가는지 모르겠음. 반복해서 보듯이, 그런 태도는 같은 방식으로 보답받지 못함
  • 의도대로 작동하는 것임. EU는 완전히 통제 가능한 기기와 운영체제를 쓰게 만들고 싶어 함
    새롭고 황당한 규정을 따르지 않으면 앱이 금지될 수 있음

    EU App Store: Apple Removes Thousands of Apps Due to Digital Services Act Requirements
    Apple’s app removals follow the Digital Services Act, a European law requiring all app traders to display verified contact details, including address, email, and phone number.
    https://www.techrepublic.com/article/eu-app-store-apple-digi...
    Chat Control을 구현하고 싶지 않은 앱들이 앱 스토어에 남아 있을 거라고 생각함?
    EU to legislate about Chat Control behind closed doors (https://news.ycombinator.com/item?id=48707719)

    • 문제는 EU가 그 기기들을 통제하지 않는다는 것임. 통제하는 건 Google과 Apple, 나아가 미국 정부임
  • 규제는 독점을 만듦. 거대 기업의 통제를 줄이려는 규제라도, 작은 업체들은 보통 감당하지 못해 시장 점유율을 잃음
    이는 경영대학원에서 경쟁우위 전략으로 실제로 가르치는 내용임. 기업들은 겉보기에는 자신들에게 해로운 법을 만들도록 정부에 로비하지만, 실제로는 구현 비용을 높여 기울어진 운동장을 만들고 시장 점유율을 가져감

    • 규제가 전혀 없으면 기본적으로 독점으로 귀결되는 것 아닌가?
      모든 규제가 독점을 깨는 건 아니지만, 독점을 깰 수 있는 유일한 수단도 규제임
    • 독점을 보장하는 유일한 방법은 규제가 완전히 없는 상태임
      모든 “자유” 시장은 1% 법칙 때문에 독점으로 향하는 경향이 있다는 것이 알려져 있음. 완전한 자유시장은 추상 속에만 있고 현실에는 없으므로, 실제 자유시장을 보장하려면 규제가 필요함
      어떤 경우에는 자유시장이 잘못된 해법이고 규제된 독점이 필요하며, 신원 분야가 바로 그렇다고 봄. 신원은 개인에게 고유하기 때문임
      개인은 이론적으로 하나의 신원만 가져야 하고, 극히 예외적이며 잘 문서화된 경우를 제외하면 그 신원은 바뀌지 않음
      국가는 신원을 제공할 좋은 방법을 갖춰야 하며, 작은 국가가 자원이 부족하다면 큰 국가가 모두를 위해 제공해야 함. 이는 국가 간 비호환성을 줄이고 사적 이해관계를 배제함
      국가는 누구의 신원을 증명할지에 대해 유일한 독점을 가져야 함. 시장 조건의 영향을 받지 않는 유일한 주체이기 때문임
      이 주제에서 앞서간 나라들은 실제로 이렇게 작동함. 개별 국가들이 공통 해법에 도달하지 못한다면 집단이 해야 함
      여기서 집단은 실패했음. 유럽 차원의 해법을 의무화하지 않고 민간 해법을 권고했기 때문임
      민간 부문은 이윤 추구 의제가 있으므로 신원이 무엇으로, 어떻게 증명되는지를 지시해서는 안 됨. 국가는 해법을 평가해야 하지만, 운영과 구현은 국가의 몫이어야 함
      시장 해법이 좋은 분야는 많지만, 이건 그중 하나가 아님
    • 규제가 기존 사업자와 신규 진입자를 어떻게 다룰지 명시적으로 포함한다면 얘기가 달라짐
      예를 들어 MMTIS(다중 교통 승객 정보)는 혁신과 신규 플레이어를 목표로 명시함. 비슷한 예시도 더 있음
    • 직감적으로는 반드시 참은 아니지만 실제로는 자주 참일 것 같고, 이 문제를 더 잘 아는 사람이 설명해줄 수 있을 듯함
      문제의 규제가 얼마나 비싼지도 중요함. 건물이 무너지지 않고, 음식이 독성이 없고, 약이 약리학적 러시안룰렛이 되지 않으려면 많은 분야에서 규제는 절대적으로 필요함
      따라서 목표는 규제의 비용 대비 효과를 최적화하는 것이어야 함
    • 기업 로비로 만들어진 규제가 그 기업들이 독점으로 가는 데 도움이 된다는 뜻이라면, 그건 말이 됨
      하지만 그것은 “규제가 독점을 만든다”는 포괄적 주장과는 다름
  • Google이 누군가를 차단하면, 그 사람은 디지털 ID가 필요한 모든 서비스 접근권도 영원히 잃는 건가?
    예전에 어떤 YouTuber가 생방송 시청자들에게 이모지 입력으로 “투표”하라고 했다가, 시청자 여러 명의 Google 계정이 스팸으로 차단된 일이 있었음[1]
    Google은 사용자 지원을 꺼리는 것으로도 유명하므로, 개인별 구제는 기대하기 어려움
    새 랜섬웨어도 이미 보임. “돈을 내지 않으면 네 Gmail에서 스팸을 보내서 디지털 ID를 잃게 하겠다”
    [1] https://www.engadget.com/2019-11-10-youtube-reinstates-banne...

  • 이에 대한 비교적 단순하고 훨씬 개방적이며 안전한 해법은 물리적 EU 신분증 카드를 증명 원천으로 삼고, 고가치 서명이나 새 기기 로그인, 반복 인증 실패 뒤의 로그인 같은 중요한 작업에는 사용자가 카드를 휴대폰에 접촉하도록 요구하는 것임
    그러면 기기 쪽의 개방형 하드웨어·운영체제 “문제”가 완전히 사라짐. 더 이상 신뢰할 하드웨어나 운영체제 서명이 필요하지 않기 때문임
    휴대폰에서 중간자 공격 가능성이 생긴다고 주장할 수는 있음. 카드에는 화면도 PIN 패드도 없으니 무엇에 서명하는지, 누구에게 PIN을 제공하는지 알 수 없기 때문임
    하지만 이 위험을 완화하는 것이 휴대폰 증명에 따라오는 모든 종속 우려를 감수할 만큼 가치가 있는지는 의문임
    현재 모든 EU 신분증 카드는 이미 강력한 암호학적 인증을 의무적으로 갖추고 있지만, ICAO 생체 신분 문서 표준에 따른 대면 신분 확인에만 쓸 수 있고 원격 신원 증명에는 쓸 수 없는 형태임. 필요한 것에 답답할 만큼 가깝지만, 정작 필요한 기능은 아님

    • 내 프랑스 신분증 카드에는 그런 기능이 있지만, 프랑스 디지털 ID 앱도 Play Integrity를 요구함
    • 하드웨어 증명 없이 보안 영역(secure enclave)을 어떻게 가질 수 있음? 모든 것의 출처는 프로세서 루트 키
  • 독일에서는 독일철도(DB)가 노인을 차별하지 않도록 컴퓨터나 스마트폰 없이 구매 가능한 오프라인 표를 제공해야 한다는 법원 판결이 있었음
    EUDI Wallet이 Google/Apple을 요구하는 경우에도 비슷한 판결이 나올 가능성이 크다고 봄

    • 현재 모두가 소지해야 하는 오프라인 신분증을 완전히 없앨 계획은 없는 것으로 알고 있음
      그래서 EUDI가 온라인 서비스를 쓰고 싶은 사람을 위한 선택적 대안으로 남아 있는 한 비슷한 판결이 나올지는 의심스러움
    • 이상적으로는 모든 독일 은행에도 앱 기반이 아닌 계좌나 2단계 인증을 배포하거나 제공하라고 했어야 함. 하지만 그러지 않았음
      사람들은 Play Store나 App Store에 의존하고 있고, DB도 앱을 직접 다운로드로 제공하지 않음
  • EU는 모든 것에 대해 무작위 문자열을 유일한 인증 요소로 쓰는 사용자용 인증 체계를 의무화했어야 함
    현대 기업용 소프트웨어의 API 토큰과 거의 같지만, 앱 개발자가 아니라 일반인이 쓰는 형태임
    그리고 민감도가 높은 애플리케이션에는 하드웨어 토큰을 보완하면 됨
    패스키가 그 역할을 할 수도 있었지만, 업계에 의해 빠르게 변질됐음

    • 그 방식은 추적과 마케팅을 허용하지 않는데, 굳이 왜 그렇게 하겠음?
    • 대규모 사용자 기반을 지원해본 적이 없다는 걸 이렇게 드러내는군
      무작위 문자열을 잃어버린 사람 5만 명이 매일 생기면 어떻게 지원할 건가? 또 그 문자열을 아무 웹사이트에 붙여넣은 다른 5만 명은 어떻게 할 건가? 유럽에는 10억 명이 있음
  • 일반적인 기준은 이렇다
    내가 완전히 직접 만들었거나 내가 선택한 누군가에게 만들게 할 수 있는 컴퓨터에서, 내가 완전히 직접 썼거나 내가 선택한 누군가에게 쓰게 할 수 있는 코드를 실행해 어떤 디지털 서비스나 제품을 사용할 수 없다면, 그건 완전히 받아들일 수 없음