해커 뉴스에서 302포인트. 아동 안전 규제에 관한 정책 브리핑이 이 정도의 관심을 끌었다면, 통상적인 프라이버시 옹호 커뮤니티를 훨씬 넘어서는 무언가가 사람들의 신경을 건드렸다는 뜻이다.
Dyne.org가 게시한 이 글의 제목은 직설적이다: "아동 보호를 인터넷 접근 통제로 변질시키지 마라." 그 논지 역시 마찬가지로 명확하다. 유럽연합이 미성년자 온라인 보호를 위해 추진 중인 정책들이 조용히, 그러나 착실히, 훨씬 더 광범위한 무언가를 위한 기술적·법적 토대를 쌓고 있다는 것이다. 바로 나이와 관계없이 대륙의 모든 인터넷 사용자에게 영향을 미치는 범용 감시 인프라다.
약속 뒤에 숨은 제안들
EU는 플랫폼과 서비스 제공자에게 연령 인증, 콘텐츠 스캔, 접근 제한의 구현을 요구하는 아동 안전 규정 개정안을 마련해 왔다. 서류상의 목표는 단순하다: 유해 콘텐츠를 아이들로부터 차단하는 것. 이 목표 자체에 반대할 사람은 거의 없다.
하지만 구현의 세부 사항은 다른 이야기를 들려준다.
Dyne.org의 분석에 따르면, 제안된 메커니즘은 단순히 미성년자를 위한 콘텐츠 필터링에 그치지 않는다 — 사실상 모든 사람의 인터넷 접근을 통제하는 인증 시스템 구축을 요구한다. 대규모 연령 인증은 곧 대규모 신원 인증을 의미한다. 아동 안전 자료를 위한 콘텐츠 스캔은 곧, 향후 다른 범주의 콘텐츠로 용도를 변경하거나 확장하거나 강제할 수 있는 콘텐츠 스캔 인프라를 의미한다.
이것은 프라이버시 기술자들이 수년간 경고해 온 패턴이다. 한 가지 목적을 위해 파이프를 깔면, 그 파이프는 다음에 무엇이 흘러가든 신경 쓰지 않는다.
인증이 새로운 병목을 만드는 방식
여기서 공급망적 사고가 중요해진다. 반도체 분야에서 우리는 단 하나의 병목 — 이를테면 ASML의 EUV 리소그래피 독점 — 이 어떻게 전체 생태계에 대해 한 노드에 과도한 영향력을 부여하는지 추적한다. 인터넷 인프라도 같은 방식으로 작동한다.
연령 인증은 중앙집중식 신원 데이터베이스 또는 분산형 자격증명 시스템 중 하나를 필요로 한다. 둘 다 새로운 병목을 만든다. 중앙집중식 시스템은 개인 데이터를 한 곳에 집중시켜, 국가 행위자와 범죄자 모두에게 거부할 수 없는 표적이 된다. 분산형 시스템도 여전히 신뢰 앵커 — 웹사이트에 접근하기 전에 당신이 누구인지를 확인해 주는 기관 — 를 필요로 한다.
어느 쪽이든, 사용자와 개방된 인터넷 사이에 새로운 계층이 삽입된다. 그 계층은 이전에는 존재하지 않았다. 한번 들어서면, 사라지지 않는다.
콘텐츠 스캔 제안, 특히 클라이언트 측 스캔은 더욱 극명한 문제를 제기한다. 아동 착취물을 탐지하는 데 필요한 기술은 정치적 반체제 활동, 언론의 취재원, 또는 영업 비밀을 탐지하는 데 필요한 기술과 기능적으로 동일하다. 유일한 차이는 대조하는 해시 데이터베이스뿐이다. 그리고 그 데이터베이스를 누가 통제하느냐가 유럽 디지털 정책에서 가장 중대한 질문이 된다.
아동 안전이 완벽한 정치적 방패가 되는 이유
아동 보호는 태생적으로 반박하기 가장 어려운 정책 영역이다. 어떤 정치인도 아동 안전 조치에 반대하는 것으로 인용되고 싶지 않다. 어떤 기업도 그런 헤드라인을 원하지 않는다. 이는 보안 연구자들이 "래칫 효과"라 부르는 현상을 만들어낸다 — 아동 보호를 명분으로 정당화된 각각의 새로운 조치가 다음 확장의 기준선이 되는 것이다.
Dyne.org의 글은 이러한 역학이 우연이 아니라고 주장한다. 정책 설계자들은 아동 보호가, 그 자체의 명분만으로 제안되었다면 거센 반대에 부딪혔을 인프라를 구축하는 데 필요한 정치적 엄호를 제공한다는 것을 이해하고 있다. 모든 EU 시민이 웹사이트에 접근하기 전 신원을 인증하도록 요구하는 법안을 통과시켜 보라. 유럽의회에서 반란에 직면할 것이다. 아이들을 보호하기 위한 것이라고 프레임을 씌우면, 계산법이 완전히 달라진다.
이는 영국의 온라인 안전법에서 벌어진 일과 정확히 같은 양상이다. 아동 보호 법안으로 시작된 이 법률은 결국 플랫폼에 종단간 암호화를 깨뜨리도록 강제할 수 있는 조항을 갖추게 되었다. Signal과 WhatsApp은 준수하느니 차라리 영국 시장에서 철수하겠다고 위협했다. 기술 커뮤니티의 우려는 가정이 아니었다 — 구조적인 문제였다.
인터넷을 실제로 만드는 사람들의 반발
반발은 기존의 예상 가능한 곳에서만 나오는 것이 아니다. 물론 전자프론티어재단(EFF)과 유럽디지털권리(EDRi) 같은 디지털 권리 단체들이 경종을 울려왔다. 하지만 해커 뉴스의 반응은 더 광범위한 무언가를 시사한다: 엔지니어, 시스템 아키텍트, 보안 전문가들이 이 제안들을 인터넷의 작동 방식과 근본적으로 양립할 수 없는 것으로 보고 있다는 것이다.
Dyne.org 자체는 자유 소프트웨어와 디지털 주권에 초점을 둔 재단이다. 그들의 비판은 자유지상주의적 이념에 뿌리를 두고 있지 않다 — 시스템 설계에 뿌리를 두고 있다. 그들은 공학적 논증을 펼치고 있다: 선택적으로만 감시하는 시스템은 구축할 수 없다는 것이다. 감시 인프라는 본질적으로 범용이다. 명시된 목적으로만 사용될 것이라는 생각은, 제도적 권력이 기술적 역량과 상호작용하는 방식에 대해 우리가 아는 모든 것과 모순된다.
반대편에서는 아동 안전 단체와 법 집행 기관이 현 상황이 아이들을 방치하고 있다고 주장한다. 그들은 온라인 착취의 규모, 현행 신고 체계의 부적절함, 그리고 암호화된 플랫폼이 학대의 경로가 되고 있는 현실을 지적한다. 이러한 우려는 실재하며 문서화되어 있다.
이 긴장은 아이들을 걱정하는 사람과 그렇지 않은 사람 사이의 대립이 아니다. 제안된 치료법이 질병보다 더 나쁜지 여부에 대해 의견이 갈리는 두 집단 사이의 대립이다.
브뤼셀이 만들면, 세계가 물려받는다
이 시점이 특히 중대한 이유는 글로벌 인터넷 거버넌스에 대한 선례를 만들기 때문이다. EU의 규제 프레임워크는 사실상의 글로벌 표준이 되는 경향이 있다. GDPR은 단지 유럽 데이터 처리 방식만 바꾼 것이 아니라 — 전 세계의 프라이버시 관행을 재편했다. 두 개의 별도 시스템을 구축하는 것이 하나의 규정 준수 시스템을 구축하는 것보다 비쌌기 때문이다.
EU가 연령 인증과 콘텐츠 스캔 인프라를 의무화하면, 그 인프라는 전 세계 플랫폼에 내장될 것이다. 민주적 감시가 덜 견고한 국가들도 동일한 기술적 역량을 물려받게 된다. 브뤼셀에서 설계된 스캔 시스템이 "아동 보호"와 "국가 안보"와 "사회 화합"이 모두 같은 데이터베이스를 공유하는 관할권에 배치될 것이다.
이것이 해커 뉴스 커뮤니티가 본능적으로 이해하는 지정학적 차원이다. 기술 인프라는 그 창조자의 정치적 의도를 존중하지 않는다. 그것을 통제하는 자의 의도를 존중할 뿐이다.
좁아지는 궤도 수정의 창
EU의 입법 과정은 진행 중이며, 기술적 구현이 이러한 비판들에 의해 형성될 여지는 아직 남아 있다. 하지만 그 창은 좁아지고 있다.
핵심 질문은 아이들이 온라인에서 보호받을 자격이 있느냐가 아니다 — 당연히 있다. 질문은 지금 구축 중인 보호 메커니즘이 비례적이고, 표적화되어 있으며, 임무 범위의 확장에 저항력이 있느냐는 것이다. 현재의 궤적에서, 세 가지 모두에 대한 답은 '아니오'다.
해커 뉴스의 302포인트만으로 EU 정책이 바뀌지는 않을 것이다. 하지만 그것은 실제로 인터넷 인프라를 구축하고 유지하는 사람들 사이에서, 무언가 중대한 결정이 내려지고 있으며 — 그것을 결정하는 사람들이 자신들이 무엇을 짓고 있는지 온전히 이해하지 못할 수 있다는 인식이 확산되고 있음을 반영한다.
파이프는 무엇이 흘러가든 신경 쓰지 않는다. 이것이 엔지니어들이 전하려는 핵심이다. 정책 입안자들이 귀를 기울이고 있는지는 전혀 다른 문제다.
