EU, 여전히 개인 메시지와 사진을 스캔하겠다는 입장 — 개발자가 알아야 할 것들

무슨 일이 벌어지고 있나요?

유럽연합(EU)이 다시 한번 "채팅 통제(Chat Control)" 법안을 밀어붙이고 있어요. 이 법안의 핵심은 간단해요. 메신저 앱에서 주고받는 개인 메시지, 사진, 영상을 자동으로 스캔해서 아동 성착취물(CSAM)을 탐지하겠다는 거예요. 목적 자체는 누구나 공감할 수 있는 건데요, 문제는 그 방법이에요.

이 법안이 처음 제안된 건 2022년이에요. 그때부터 지금까지 유럽 내에서 엄청난 반발이 있었거든요. 프라이버시 전문가들, 보안 연구자들, 그리고 수많은 시민단체가 반대 목소리를 냈는데, EU 집행위원회는 여전히 포기하지 않고 있어요. 2026년 현재까지도 이 법안의 수정안이 계속 논의되고 있는 상황이에요.

기술적으로 어떤 문제가 있는 걸까요?

이게 왜 개발자에게 중요한 얘기냐면, 이 법안이 통과되면 종단간 암호화(End-to-End Encryption, E2EE)가 사실상 무력화되거든요. 종단간 암호화가 뭐냐면, 메시지를 보내는 사람과 받는 사람만 내용을 볼 수 있게 만드는 기술이에요. 카카오톡의 비밀채팅이나 Signal, WhatsApp 같은 앱에서 쓰는 방식이죠. 서버를 운영하는 회사도 메시지 내용을 볼 수 없어요.

그런데 EU가 원하는 건 이 암호화된 메시지를 스캔하라는 거예요. 이걸 구현하려면 크게 두 가지 방법이 있는데, 둘 다 문제가 있어요.

첫 번째는 서버 측 스캔이에요. 메시지가 서버를 거칠 때 암호를 풀고 내용을 검사하는 건데, 이러면 종단간 암호화의 의미가 완전히 사라져요. 암호화를 해놓고 중간에 열어본다는 건 앞문은 잠그고 뒷문은 활짝 열어두는 것과 같거든요.

두 번째는 클라이언트 측 스캔(Client-Side Scanning, CSS)이에요. 메시지를 암호화해서 보내기 전에, 사용자의 기기에서 먼저 내용을 검사하는 방식이에요. 기술적으로는 암호화를 "깨지" 않는다고 주장할 수 있지만, 실질적으로는 모든 사용자의 기기에 감시 소프트웨어를 설치하는 것과 다름없어요. Apple이 2021년에 비슷한 시스템(NeuralHash 기반 CSAM 탐지)을 발표했다가 엄청난 반발에 결국 철회한 적이 있죠.

두 방식 모두 공통적인 문제가 있어요. 바로 오탐(false positive) 이슈예요. AI 기반 이미지 분류 시스템은 완벽하지 않아서, 가족 사진이나 의료 이미지 같은 정상적인 콘텐츠를 불법 콘텐츠로 잘못 분류할 수 있어요. 수십억 건의 메시지를 스캔하면 오탐률이 아무리 낮아도 수백만 건의 잘못된 신고가 발생할 수 있거든요.

업계에서는 어떻게 보고 있나요?

Signal 재단은 이미 이 법안이 통과되면 유럽에서 서비스를 중단하겠다고 경고한 바 있어요. Threema, Wire 같은 유럽 기반 보안 메신저 기업들도 마찬가지로 강하게 반대하고 있고요. Mozilla, EFF(Electronic Frontier Foundation) 같은 단체들도 지속적으로 반대 캠페인을 벌이고 있어요.

흥미로운 건 EU 내부에서도 의견이 갈린다는 거예요. 유럽의회의 시민자유위원회(LIBE)는 종단간 암호화를 약화시키는 조항에 반대 입장을 밝혔지만, EU 이사회 일부 국가들은 여전히 스캔 의무화를 지지하고 있어요. 특히 스페인, 벨기에 등이 적극 찬성파로 알려져 있고, 독일과 오스트리아는 강하게 반대하는 입장이에요.

이 논의는 더 큰 흐름의 일부이기도 해요. 호주의 암호화 백도어 법안(Assistance and Access Act), 영국의 Online Safety Act 등 전 세계적으로 정부가 암호화 통신에 접근하려는 시도가 계속되고 있거든요.