온라인 연령 인증, 왜 개발자들이 'CCTV 사회의 시작'이라며 반대할까

갑자기 전 세계가 ID 카드를 요구하기 시작했다

요즘 영국, 호주, 미국 일부 주에서 '온라인 서비스를 쓰려면 신분증으로 나이를 인증하라'는 법이 줄줄이 통과되고 있어요. 표면적인 이유는 '아동을 유해 콘텐츠로부터 보호하자'예요. 듣기에는 너무 좋은 말이죠. 그런데 보안·프라이버시 전문가들과 개발자 커뮤니티에서는 '이게 우리가 죽기로 막아야 할 마지막 선'이라며 강하게 반발하고 있거든요. 도대체 왜 그럴까요?

이번에 화두가 된 글의 핵심 주장은 간단해요. "한 번 익명성을 잃으면 다시는 되찾을 수 없다." 인터넷의 가장 큰 가치 중 하나가 '내가 누군지 밝히지 않고도 의견을 내고, 정보를 찾고, 도움을 받을 수 있다'는 거였는데, 연령 인증이 의무화되면 이 전제가 통째로 무너진다는 거예요.

기술적으로 어떻게 동작하길래 문제일까

연령 인증 시스템은 보통 세 가지 방식 중 하나로 구현돼요.

첫 번째는 신분증 업로드 방식이에요. 운전면허증이나 여권 사진을 찍어서 사이트에 올리는 거죠. 가장 직관적이지만 가장 위험해요. 그 신분증 데이터가 어디 어떻게 저장되는지 사용자는 알 수 없거든요. 작년 호주의 한 인증 업체 해킹 사건에서 수십만 명의 운전면허 스캔본이 유출됐어요.

두 번째는 얼굴 분석 방식이에요. AI가 셀카를 보고 '이 사람은 18세 이상인 것 같다'고 추정하는 거죠. Yoti 같은 회사가 대표적이에요. 신분증보다는 덜 침습적이지만, 생체 정보가 서버로 전송되고, 오차율도 무시할 수 없어요. 동양인이나 어려 보이는 사람은 자꾸 거부당하는 편향 문제도 있고요.

세 번째가 그나마 진보적이라는 제로 지식 증명(Zero-Knowledge Proof) 기반 인증이에요. 이게 뭐냐면, 암호학적으로 '나는 18세 이상이다'라는 사실만 증명하고, 실제 생년월일이나 이름은 절대 공개하지 않는 기술이에요. EU의 디지털 신분증 EUDI Wallet이 이 방향을 추구하고 있어요. 이론적으로는 깔끔한데, 실제 구현이 까다롭고 결국 발급 기관(정부)은 누가 어디서 인증했는지 다 알 수 있다는 한계가 있죠.

진짜 무서운 시나리오

반대 진영이 가장 우려하는 건 '기능 확장(scope creep)'이에요. 처음에는 성인 사이트만 인증하라고 시작하지만, 곧 SNS, 게임, 동영상 플랫폼, 검색엔진까지 확대된다는 거죠. 영국의 Online Safety Act가 이미 그 길을 걷고 있어요. 위키피디아조차 인증을 요구받을 처지에 놓였거든요.

그리고 한 번 '인터넷 신분증 시스템'이 깔리면, 정권이 바뀌었을 때 그 인프라가 어떻게 쓰일지 모른다는 점이 더 큰 문제예요. 오늘은 '아동 보호'지만, 내일은 '가짜뉴스 차단'이라며 비판적 의견을 추적하는 도구가 될 수 있는 거죠. 보안 전문가 브루스 슈나이어는 '한번 만들어진 감시 인프라는 절대 사라지지 않는다'고 했어요.

업계의 대응과 흐름

Apple은 'Wallet ID'로 자체 신분 인증 생태계를 만들고 있고, Google은 'Credential Manager API'를 통해 안드로이드에서 비슷한 기능을 제공해요. 표면적으로는 사용자 편의지만, 결국 거대 플랫폼이 신원 게이트키퍼가 된다는 비판도 만만찮아요. 반대편에서는 Tor, Signal, 그리고 분산 신원(DID, Decentralized Identifier) 진영이 '플랫폼 없는 인증'을 만들려고 노력 중이에요.

한국 개발자에게는 어떤 의미일까요

한국은 이미 본인 인증 천국이에요. 게시판 댓글 달려고 휴대폰 인증, 회원가입에 i-PIN, 결제에 공동인증서. 이미 거의 모든 온라인 활동이 실명과 연결돼 있죠. 그래서 한국 개발자들은 이 논쟁이 좀 낯설게 느껴질 수도 있어요.

하지만 글로벌 서비스를 만든다면 얘기가 달라져요. 영국, EU, 호주에 서비스하려면 연령 인증을 어떻게 구현할지 진지하게 설계해야 해요. 그리고 한국에서도 'AI 학습 데이터 출처 인증', '딥페이크 방지 신원 확인' 같은 새로운 인증 요구가 늘어날 텐데, 이때 최소 정보 원칙(data minimization)과 제로 지식 증명 같은 개념을 알아두면 큰 도움이 돼요.