작성자: Joel R. McConvey
보도일자: 2025년 3월 28일
출처: Biometricupdate.com


캐나다 개인정보보호위원회(OPC)가 실시한 연령 확인(Age Assurance)에 관한 탐색적 공정회에서 주요 시사점이 도출되었다. OPC는 자사 웹사이트에 발표한 성명을 통해, 설문조사에 대한 응답이 다양하게 나타났으며 일부 제출 의견은 OPC의 초기 입장을 지지한 반면, 다른 의견들은 이를 반박했다고 밝혔다. 설문 대상에는 연령 확인 서비스 제공업체와 해당 시스템을 도입한 조직 등 업계 관계자뿐만 아니라, 시민사회, 학계, 기술 정책 싱크탱크, 관심 있는 개인, 해외 개인정보 보호 당국 등이 포함되었다.

피드백에서 도출된 6가지 주요 주제는 다음과 같이 요약된다:

1. ‘연령 확인(age assurance)’이라는 용어는 다양한 형태, 방법, 사용 목적을 포함한다.
2. 연령 확인과 관련된 피해 및 영향은 과소평가되어서는 안 된다.
3. 중요한 것은 기술 자체가 아니라, 청소년을 온라인상에서 보호하는 것이다.
4. 누가 연령 확인의 책임을 져야 하는지에 대한 논의가 필요하다.
5. 주요 방법인 ‘연령 추정(age estimation)’과 ‘연령 인증(age verification)’ 중, 연령 추정은 특별한 주의가 필요하거나, 경우에 따라 더 바람직할 수 있다.
6. 연령 확인의 사용은 위험 기반 평가(risk-based assessment)를 통해 이루어져야 한다.

명확히 하자: 연령 확인은 단일한 개념이 아니다

첫 번째 주제는 연령 확인(Age Assurance)의 다양한 형태와 활용 목적을 구분하는 것이 중요하며, 지침이나 정책을 수립할 때 이러한 차이를 반드시 고려해야 한다는 점을 강조한다. 좀 더 직설적으로 표현하면, “연령 확인은 단일하고 획일적인 개념이 아니다(Monolithic하지 않다)”는 것이다. 따라서, “OPC는 다양한 기술을 동일하게 취급하는 정책을 수립하는 데 주의를 기울여야 한다”고 지적된다.

이 주제를 확장해 설명하며 OPC는 다음과 같이 덧붙였다. 연령 확인은 단일 목적만을 위한 것이 아니다. 연령 확인은 주로 청소년의 온라인 안전과 관련된 사례로 인식되지만, 금융기관의 사기 방지 조치의 일부로서 청소년과 무관한 상황에서도 사용될 수 있다. 또한, 연령 확인 방법은 그 사용 목적에 따라 달라질 수 있다. 끝으로, 연령 확인은 항상 ‘접근 차단 게이트(access gate)’의 형태를 취하는 것도 아니다.

이 첫 번째 주제에서 요구되는 핵심 사항은 정의와 주요 용어에 대한 보다 명확한 설명이다.

진지하게 받아들이자: 위협은 실제한다

두 번째 주제는 매우 명확하다. “응답자들이 가장 분명하고 일관되게 전달한 메시지는, 연령 확인 기술의 사용 또는 오용에 따른 긍정적·부정적 영향이 결코 과소평가되어서는 안 된다는 점”이다. OPC는 이러한 영향력을 세 가지 주요 범주로 나누어 설명한다.

첫 번째 범주는 연령 확인 기술이 완화하고자 하는 해악과 관련되어 있다. 이는 단순히 아동이 음란물에 접근하지 못하도록 막는 수준을 넘는다. 어떤 의견서에서는 이렇게 지적했다: “캐나다 아동은 성인과의 유해한 접촉의 대상이 되고 있으며, 여기에는 그루밍, 섹스토션(sextortion), 그 외 성적 폭력이 증가하는 추세로 포함된다.”

두 번째 범주는 연령 확인으로 인해 발생할 수 있는 접근 제한에 따른 해악, 특히 LGBTQ+ 청소년들에게 미치는 영향과 관련된다. 한 응답자는 다음과 같이 말했다: “인터넷은 공동체 형성, 시민 참여, 교육 등 다양한 기회를 제공하는 공간이다. 이는 오프라인에서는 같은 기회를 누리기 어려운 소수자 집단에게 특히 중요하다.” 또한, 응답자들은 다음과 같은 우려도 제기했다: “청소년이나 특정 집단에게 해로운 콘텐츠가 무엇인지 객관적으로 정의하는 것은 어렵다.” 이는 “당시의 정치적 의제에 좌우될 수 있는 위험이 있다.”

세 번째 범주는 데이터 유출과 관련된 피해다. 어떤 콘텐츠는 법적으로는 문제가 없더라도, 지역 사회 내에서는 낙인 효과가 크고 민감할 수 있다. 이런 콘텐츠에 접근하거나 이를 제작한 개인의 온라인 활동이 외부에 노출될 경우, 심각한 정신적 또는 신체적 피해로 이어질 수 있다.

이에 대한 정책 제안은 예상대로 갈린다. 업계 단체들은 과도하게 규정적인 연령 확인 요건을 경계하고 있으며, 반면, 다른 그룹은 명확하고 강력한 규제 체계의 필요성을 촉구하고 있다.

중요한 건 기술이 아니라 아이들이다

세 번째 주제의 핵심은, 연령 확인(age assurance)은 그 자체가 목적이 아니라, 아이들을 온라인에서 더 안전하게 보호하기 위한 수단 중 하나라는 것이다. 즉, “온라인에서 개인의 나이를 아는 것이 연령 확인의 목적이 되어서는 안 되며, 연령 확인은 청소년을 위한 보다 안전한 온라인 환경을 조성하기 위한 여러 조치 중 하나로 위치 지어져야 한다.”

연령 확인 기술은 완벽할 필요가 없다. 예를 들어 VPN 같은 우회 수단이 존재한다고 해서, 연령 확인 기술이 전체적으로 유해 예방에 기여하는 효과까지 부정되는 것은 아니다. 또한, 연령 확인은 만병통치약이나 완전한 해결책이 아니며, “단지 여러 도구 중 하나일 뿐”이다. 이를 보완하는 기타 수단으로는 입법 조치, 정보 투명성 확보, 가정 내 또는 부모 통제 기능 등이 있다.

또한, 이번 주제에서도 ‘명확성’에 대한 요구가 다시 등장한다. 이번에는 특히 ‘효과적(effective)’이라는 표현의 의미에 대한 것이다. 이 단어는 여러 규제 기관의 연령 확인 가이드라인에서 중심적인 개념으로 사용되고 있지만, 그 정의가 모호하고 해석의 여지가 많다는 지적이 제기되었다.

내 책임 아냐: 연령 확인의 책임 주체는 논쟁 중인 사안

네 번째 주제는 연령 확인을 누가 책임져야 하는가에 대한 첨예한 논쟁을 다룬다. “이 기술을 누가 구현해야 하는지에 대해 응답자들의 의견은 엇갈렸다.” 제시된 책임 주체 후보에는 다음과 같은 다양한 옵션이 포함되어 있다:

1. 개별 기기 수준
2. 개별 웹사이트 또는 온라인 서비스 수준
3. 앱 스토어 수준

이 주제는 유명한 스파이더맨 밈처럼, 서로가 서로를 가리키며 책임을 미루는 모습을 연상시킨다. OPC가 식별한 세 가지 주요 주체는 다음과 같다: 개인(예: 부모 포함), 웹사이트 및 온라인 서비스, 운영체제(OS)의 앱 마켓(스토어). OPC는 명확히 말한다: “이들 입장 중 반대 의견이 없는 경우는 없었다.” 예를 들어, “ISP, 기기, 또는 앱 스토어 수준처럼 기술 스택의 더 깊은 층위에서 연령 확인 시스템을 적응하는 것은 지나치게 포괄적이고, 침해적이며, 부적절하다는 의견도 있었다.” OPC는 향후 지침에서 “온라인 생태계 내 다양한 주체들의 잠재적 책임을 더 심층적으로 다룰 예정”이라고 밝혔다.

내 생체정보 안 돼: 연령 추정 기술은 규제 감시 필요성 제기

얼굴 기반 연령 추정에 대한 논의에서는 유사한 모호성이 나타난다. “특히 개인의 생물학적 특성(예: 얼굴 특징)을 기반으로 연령을 추정하는 방식의 적절성에 대해서는 응답자들 간 의견이 갈렸다.” 일부 응답자는 “생체정보 처리에 대한 별도의 규정이 필요하다”고 지적했다.

이와 함께, 신뢰의 문제도 제기된다. “개인의 관점에서 보면, 예를 들어 데이터가 단일 목적에만 사용되고 즉시 삭제되는 연령 추정 과정과, 생체 특성이 처리되어 다른 목적에도 활용되는 과정 사이에 실제 경험상 큰 차이를 느끼지 못할 가능성이 있다는 점도 지적되었다.” 이러한 우려에 대한 해결책으로는 ‘감시 체계와 교육’이 필요하다는 의견이 많았다. 예를 들어, 이번 조사에 참여한 연령 확인 서비스 제공업체들은 다음과 같은 사실을 직접 설명해야 했다: 연령 추정 시스템이 반드시 사람의 신체적 특성 측정에만 의존하지는 않는다. 예: 이메일 기반 연령 추정 방식 등)

이유부터 묻자: 목적과 위험 수준에 따라 판단해야 한다

마지막 핵심 주제는, 연령 확인(age assurance)은 해결하려는 위험의 수준에 비례해 적용되어야 한다는 점이다. OPC의 초기 입장은 다음과 같았다: “연령 확인 시스템의 사용은 청소년의 최선의 이익에 중대한 위험을 초래하는 상황으로 제한되어야 한다.” 그러나 이에 대해 일부 응답자들은 지나치게 제한적이라는 비판을 제기했다. 한 응답자는 이렇게 지적했다: “우리는 다른 분야에서는 청소년에게 ‘중간 수준’의 위험조차 허용하지 않는다.” 이에 대해 OPC는 다음과 같이 밝혔다: “이러한 피드백을 반영하여, 연령 확인이 적절하게 사용될 수 있는 다양한 상황을 포괄하지 못할 수 있다는 점을 인지했으며, 초기 입장을 보다 정교하게 조정할 계획이다.”

OPC의 다음 단계: 위험 기반 평가와 프라이버시 중심 설계에 집중

OPC(캐나다 프라이버시 위원회)는 “연령 확인 기술이 적절하게 사용되며, 프라이버시를 보호하는 방식으로 구현될 수 있도록 주도적인 역할을 할 계획”이라고 밝혔다. 이를 위해, 이번 사전 협의에서 받은 피드백을 바탕으로 다음의 두 가지 핵심 주제에 대한 초안 지침(draft guidance)을 마련할 예정이다:

1. 위험 기반 평가를 통해 언제 연령 확인을 사용하는 것이 적절한지에 대한 판단 기준
2. 어떤 연령 확인 기술이든 반드시 고려해야 할 설계 요소(design features) 또는 프라이버시 고려사항