나이 인증을 했을 뿐인데, 내 얼굴이 어디로 갔다고?
요즘 영국, 호주, 미국 일부 주에서 "성인 콘텐츠 사이트는 반드시 나이 확인을 해야 한다"는 법이 줄줄이 시행되고 있어요. 그래서 많은 사이트가 Yoti 같은 나이 인증 서비스를 붙이고 있는데요, 이게 뭐냐면 웹캠으로 얼굴을 찍으면 AI가 "이 사람 18세 이상으로 보입니다"라고 추정해 주는 서비스예요. 신분증 없이도 빠르게 통과할 수 있어서 사용성이 좋다고 홍보돼 왔어요.
그런데 최근 연구자들이 Yoti의 실제 동작을 뜯어봤더니 좀 충격적인 사실이 드러났어요. 얼굴 사진과 디바이스 지문(device fingerprint)이 제3자 서비스로 전송된다는 거예요. 이게 무슨 의미인지, 그리고 우리가 비슷한 시스템을 설계할 때 뭘 조심해야 하는지 풀어볼게요.
디바이스 지문이 뭔가요
먼저 디바이스 지문부터 이해해야 해요. 이게 뭐냐면, 브라우저가 서버에 접속할 때 자연스럽게 흘리는 정보들을 모아서 "이 기기 고유의 ID"를 만드는 기술이에요. 예를 들어 운영체제 종류, 브라우저 버전, 설치된 폰트 목록, 화면 해상도, 그래픽카드가 그리는 캔버스의 미세한 차이, 오디오 처리 패턴 같은 걸 조합해요. 쿠키와 달리 사용자가 지울 수 없고, 시크릿 모드에서도 거의 동일하게 잡혀요.
그래서 광고 추적 업계가 정말 좋아하는 기술이에요. 한 번 지문을 만들어두면 같은 사람이 다른 사이트에 가도 알아볼 수 있거든요. 문제는 이 기술이 익명성을 깨뜨린다는 거예요. 나이 인증을 하면서 디바이스 지문까지 같이 수집되면, 누가 어떤 성인 사이트를 방문했는지가 추적 가능한 데이터로 남아요.
무엇이 어디로 전송되는가
연구에 따르면 Yoti의 나이 인증 화면이 로드될 때 다음과 같은 일들이 일어났어요. 사용자의 얼굴 사진이 캡처되어 Yoti 서버로 전송되는 건 당연한 일이에요. 문제는 그 외에도 여러 분석 도구와 제3자 스크립트가 같이 실행되면서 디바이스 지문, IP, 방문 사이트 정보, 세션 데이터가 함께 흘러나간다는 점이에요.
이게 왜 문제가 되냐면, 이런 데이터들은 따로 보면 익명일 수 있어도 합쳐지면 개인 식별이 가능해지기 때문이에요. 예를 들어 "성인 사이트 A를 방문한, 윈도우 11에 크롬 최신 버전을 쓰고, 폰트 조합이 이러이러한 사람"이라는 정보는 같은 지문을 가진 다른 사이트 방문 기록과 연결돼서 실제 신원으로 이어질 수 있어요. 그리고 얼굴 사진은 그 자체로 가장 강력한 생체 식별자고요.
사이트 입장에서는 "우리는 사용자 정보 안 받아요, Yoti가 알아서 처리해요"라고 말할 수 있지만, Yoti와 그 협력사들은 트래픽을 통째로 들여다보고 있는 셈이에요.
나이 인증법의 역설
여기서 묘한 역설이 생겨요. 영국 온라인 안전법(Online Safety Act)이나 호주의 비슷한 법은 "아이들을 유해 콘텐츠에서 보호한다"는 좋은 의도로 만들어졌어요. 그런데 그 결과 모든 성인이 자기 얼굴을 인증 서비스에 제출해야 하는 상황이 됐어요. 그리고 그 인증 서비스가 데이터를 어떻게 다루는지는 일반인이 알기 어렵죠.
프라이버시 진영에서는 이걸 "감시 인프라를 시민이 비용을 대서 깔게 하는 법"이라고 비판해 왔어요. 이번 Yoti 분석은 그 비판이 단순한 우려가 아니라 실제로 발생하고 있는 일임을 보여줬다는 점에서 의미가 커요.
대안으로 자주 거론되는 게 영지식 증명(Zero-Knowledge Proof) 기반 나이 인증이에요. 이게 뭐냐면, "나는 18세 이상이다"라는 사실만 증명하고 다른 정보(생년월일, 이름, 얼굴)는 일절 노출하지 않는 암호학 기술이에요. EU에서 추진하는 EUDI 월렛이나 애플 월렛의 ID 기능이 이쪽 방향으로 가고 있어요. 다만 아직 보급률이 낮아서 상용 사이트가 바로 쓰기는 어렵죠.
비슷한 사례들
이런 "좋은 의도, 나쁜 구현" 패턴은 처음이 아니에요. Clearview AI는 공공 사진을 무단으로 긁어서 얼굴 인식 DB를 만들었다가 EU와 캐나다에서 제재를 받았고요, 23andMe는 유전자 데이터 유출 사고로 수백만 명의 가장 민감한 데이터가 새어 나갔어요. Equifax 신용 정보 유출도 결국 "신뢰받는 중앙 서버에 모든 데이터를 모으는 모델"의 위험성을 보여준 사건이었죠.
Yoti도 비슷한 길을 갈 수 있어요. 사용자 입장에서는 "믿을 만한 회사겠지" 하고 얼굴을 맡기지만, 한 번 새면 비밀번호처럼 바꿀 수 있는 게 아니거든요. 얼굴은 평생 그 얼굴이니까요.
한국 개발자에게 주는 시사점
한국도 무관한 이야기가 아니에요. 한국은 이미 본인인증 문화가 강해서 PASS 앱, 통신사 본인인증, 아이핀 등이 광범위하게 쓰이고 있어요. 그리고 "청소년 보호" 명목으로 더 많은 사이트에 인증을 요구하는 흐름이 있죠. 이런 인증 과정에서 어떤 데이터가, 어디로, 누구에게 전달되는지 개발자가 의식적으로 살펴봐야 해요.
실무에서 적용할 수 있는 포인트를 정리해 보면 이래요. 첫째, 우리 서비스에 외부 인증 SDK를 붙일 때 그 SDK가 어떤 트래커를 같이 로드하는지 네트워크 탭으로 확인해 보세요. 예상치 못한 광고망이나 분석 도구가 같이 깔리는 경우가 많아요. 둘째, 데이터 최소화 원칙을 적용하세요. 나이 확인이 필요하면 "성인 여부"만 받고 생년월일이나 얼굴은 굳이 저장하지 마세요. 셋째, 사용자에게 무엇이 수집되는지 솔직하게 알리는 UI를 설계하세요. 약관 깊숙이 숨기는 게 아니라 인증 화면에서 명시적으로요.
그리고 새로운 인증 시스템을 설계할 일이 있다면 영지식 증명, 분산 ID(DID), 선택적 공개(selective disclosure) 같은 키워드를 공부해 두면 좋아요. 앞으로 몇 년 안에 이쪽 기술이 본격적으로 표준화될 거예요.
마무리
한 줄로 정리하면, Yoti 사건은 "보안과 프라이버시는 다르다"는 걸 다시 일깨워 준 사례예요. 데이터를 안전하게 보관한다고 광고해도, 처음부터 너무 많은 데이터를 받는 시스템은 근본적으로 위험해요.
여러분은 본인인증을 할 때 어떤 정보가 어디로 가는지 의식하면서 사용하시나요? 그리고 서비스를 만드는 입장에서 "법적으로 요구되는 인증"과 "사용자 프라이버시" 사이에서 어떤 절충안을 선택하시겠어요? 영지식 증명 같은 기술이 한국에서도 빨리 자리잡을 수 있을까요?
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공