업계기사
연령 인증 제안들, 활발한 정책 논의를 보여주지만 중요한 공백도 드러내다
온라인 연령 확인의 해답은 매장 직원에게 운전면허증을 건네는 방식이 아니다
작성자: Joel R. McConvey
보도일자: 2026년 1월 8일
출처: Biometricupdate.com
Tech Policy Press에 실린 한 의견 글은, 온라인 연령 확인을 둘러싼 개인정보 보호 우려에 대한 해법이 사실상 눈앞에 놓여 있을지도 모른다고 제안한다.
달하우지 대학교(Dalhousie University) 법학과 학생인 핀 미트라(Finn Mitra)가 쓴 이 글은, 2025년 10월 AB 1043으로 발의된 캘리포니아 디지털 연령 인증법(Digital Age Assurance Act)을 출발점으로 삼아, 플랫폼 차원의 연령 인증에 대한 비판을 전개한다. 그리고 그 논의는 디지털 ID 커뮤니티의 다수가 달가워하지 않을 지점, 즉 ‘매장(store)’이라는 공간으로 귀결된다.
미트라는 플랫폼 수준의 연령 확인이 개인정보 수집에 과도하게 의존하고 있다는, 반복되어 온 주장을 다시 한 번 강조한다.
“사용자의 연령을 확인하는 가장 일반적인 방법들 가운데 상당수는 정부 발행 신분증이나 안면 스캔을 포함한 민감한 개인정보를 요구하는 경우가 많다”고 그는 말한다. “이러한 법을 시행하기 위해 요구되는 연령 확인의 횟수가 워낙 많기 때문에, 플랫폼 차원의 방식은 막대한 양의 개인정보를 수집하고 보관할 수밖에 없게 될 가능성이 높다.”
그런 이는 부정확한 주장이다. 대부분의 인증된 연령 인증 기술은 수집된 개인정보를 신속히 삭제하는 것을 최우선으로 하며, 안면 연령 추정(FAE) 시스템은 애초에 생체정보를 저장할 필요조차 없다. 미트라는 포르노 웹사이트에 대한 연령 인증 조치가 곧 Pornhub가 해킹될 수 있는 사용자 신원 데이터베이스를 보유한다는 의미라고 오해하는 듯 보인다.
미트라는 데이터 과다 보관이 명시적인 문제로 지적됐던 작년 디스코드(Discord) 유출 사고를 예로 들며, 플랫폼 차원의 연령 인증이 작동하지 않는 이유라고 주장한다. 이 과정에서 그는 중요한 지점 하나를 짚어낸다. 즉, 모든 플랫폼이 모범 사례를 따르지는 않을 것이라는 점이다. 그럼에도 불구하고, “플랫폼 수준의 프레임워크는 의심스러운 이점만을 제공한다”는 그의 단정과, NIST의 ‘안면 분석 기술 평가: 연령 추정 및 검증(FATE AEV)’을 편향성의 근거로 가볍게 언급한 부분은 충분한 정보에 기반했다고 보기 어렵다.
NIST가 다수의 안면인식 알고리즘이 피부색이 더 어두운 사람들, 여성, 고령자를 오인식 할 가능성이 더 높다는 점을 밝혀온 것은 사실이다. 그러나 최근 시험에서 최고 성능의 알고리즘들은 그러한 차이가 매우 낮은 수준임을 보여주고 있다.
제안: 연령은 스스로 신고하고, 모든 데이터 처리는 빅테크에 맡기자
캘리포니아는 플랫폼 차원의 연령 확인에 대한 대안으로, 스마트폰이나 노트북과 같은 기기를 처음 설정할 때 부모 또는 사용자가 연령을 직접 선언하도록 의무화하는 모델을 제시하고 있다. 해당 정보는 암호화되어 앱에 전달되며, 앱은 연령대(age bracket) 형태의 최소한으로 관련된 데이터만을 받아 연령에 맞는 콘텐츠를 제공할 수 있다. 이는 애플의 Declared Age Range API 모델과 유사하다.
문제는 이 방식이 연령 자가 신고(self-declaration)를 다시 연령 확인 절차의 출발점으로 되돌린다는 점이다. 새 휴대전화를 설정하는 15세 청소년이 가짜 생년월일을 입력하는 것은 매우 쉬워, 연령 인증의 ‘보증(assurance)’이라는 측면에서는 전체 과정이 상당히 취약해질 수 있다.
미트라는 캘리포니아의 시스템이 “목표 달성을 위해 필요한 최소한의 침해적 수단을 사용한다”고 본다. 아이러니하게도 그는 데이터의 대규모 중앙화를 장점으로 꼽는다. “연령 확인 과정은 이미 방대한 양의 민감한 사용자 정보를 보유하도록 신뢰받고 있는 소수의 온라인 서비스 제공자(OSP)에 중앙화된다. 플랫폼 차원의 제안 하에서 수많은 검증되지 않은 주체들이 사용자 민감 정보를 수집하는 것과 비교하면, 이 방식은 잠재적 데이터 유출의 가능성과 그 심각성을 상당히 줄인다.”
여기서 쟁점이 되는 것은 무엇이 ‘기존에 확립된 주체(established party)’로 간주되는가이다. 미트라에게는 실리콘밸리의 거대 기업들이 방대한 사용자 데이터를 보유하는 것이, 아직 검증되지 않았다고 여겨지는 소규모 기업들이 연령 인증 서비스를 수행하는 것보다 더 바람직해 보인다. 그러나 NIST나 영국의 디지털 신원 및 속성 프레임워크(DIATF)와 같은 인증 제도는 바로 그러한 기업들을 기준과 표준에 따라 검증하기 위해 존재한다. 그렇다면 예컨대 30년 이상 업력을 쌓아 왔고, 현재 NIST FAE AEV 순위 최상단에 알고리즘을 올려놓고 있는 Regula와 같은 기업은 언제쯤 ‘확립된’ 기업으로 인정받을 수 있는가? 이 질문은 평가의 잣대가 항상 세계에서 가장 크고 강력한 기업들일 수밖에 없다면, 더욱 중요해진다.
더 나아가 ‘확립되었다(established)’는 표현에는 곧 ‘기득권(establishment)’이라는 뉘앙스가 담겨 있다. 실리콘밸리의 거대 기업들은 최근 몇 년간, 자신들의 이해관계에 부합하는 한 미국 정부와 기꺼이 협력할 의지가 있음을 보여 왔다. 그렇다면 정말로 구글에 데이터를 맡기는 것이 아이데미아(Idemia)에 맡기는 것보다 더 안전하다고 할 수 있을까?
그거 온라인으로도 받을 수 있다는 거, 알고 있었나요?
미트라가 제시하는 해법은 자가 신고를 구식의 물리적 신분증 확인으로 대체하는 하이브리드 방식이다. 이 모델은 운영체제(OS) 제공자가 “신규 기기를 구매할 때 소매점이나 통신사 매장에서 승인된 직원이 각 고객의 신분증을 확인하도록 하고, 해당 직원이 고객의 연령을 나타내는 신호를 기기에 부착하도록 요구”한다.
미트라는 또한 “이상적인 모델은 오지에 거주하거나 신뢰할 만한 교통수단이 없는 사람들의 접근성 문제를 해결해야 한다”는 점을 인정한다. 하지만 결국 그는 온라인 쇼핑에 익숙하지 않은 것처럼 보일 수밖에 없다. 자연스럽게 떠오르는 다음 질문은 “아마존에서 노트북을 주문하고 싶다면 어떻게 되는가?”이며, 그에 대한 답은 명확하다. 고객의 연령을 온라인에서 확인할 수 있는 방법이 여전히 필요하다는 것이다.
자유지상주의 싱크탱크, 의무가 아닌 선택적 법안을 선호
캘리포니아의 법안에도 옹호자들은 있다. Reason Foundation에 실린 기술 정책 연구원 리처드 실(Richard Sill)의 글은 디지털 연령 인증법(Digital Age Assurance Act)을 “기업의 규제 준수에 대한 확실성을 높이면서도 데이터 노출을 최소화하려는, 보다 프라이버시 친화적인 연령 신호 모델을 향한 의미 있는 첫걸음”이라고 평가한다.
실은 “AB 1043은 검증 절차 대신 자가 선언된 연령 신호를 사용함으로써 프라이버시와 보안을 올바르게 우선시한다”고 본다. 그는 이 법이 신원과 준수 상태를 분리하고, 사용자 데이터가 식별 가능한 형태로 로컬 시스템을 벗어나지 않도록 보장함으로써, 프라이버시 중심 설계(privacy-by-design)의 핵심 원칙을 통합했다고 주장한다.
그러나 Reason Foundation은 자유지상주의적 입장에서 논의를 전개하고 있으며, 그들이 그리는 이상적인 상태는 아예 입법이 없는 것이다. 민감한 개인정보의 취약성에 대한 그들의 표면적 우려는, 사실상 핵심 정책 방향에 가짜 콧수염을 씌운 것에 가깝다. 그들이 제안하는 “단순하지만 의미 있는 조정”은 법을 더 낫게 만들 수 있다며, 기기 수준의 연령 신호를 의무가 아니라 부모의 선택 사항으로 만들자는 것이다.
이 시나리오에서는 사용자가 기기를 켜면 “연령 정보를 제공하시겠습니까?”라는 안내가 나타나고, 데이터 유출에 대한 끝없는 공포 조장에 길들여진 대다수의 사용자들은 웃으며 ‘아니오(NO)’를 클릭하게 될 것이다.
플랫폼이 진화함에 따라, 부모들로부터의 압박은 더욱 커질 것이다
연령 인증과 온라인 안전 정책을 둘러싼 다양한 의견들이 본격적으로 제기되고 있다는 사실은, 이 이슈가 이미 싱크탱크의 논의 대상에 올랐음을 보여준다. 이는 단기적으로 디지털 연령 확인 기술에 대한 반발이 계속될 가능성이 크다는 뜻이기도 하다. 그러나 정책을 과거로 되돌리려는 주장 – 예컨대 매장 직원에게 운전면허증을 건네 연령을 증명하고 그 과정에서 주소까지 노출하는 방식으로 돌아가자는 제안이나, 입법이 정치적 이념을 위한 장식물에 불과한 공백 상태로 나아야 한다는 주장 – 은 성공하기 어려울 것이다.
규제의 동력은 이미 하나의 흐름을 형성하고 있다. 동시에 오늘날의 미국은, 특히 경제 권력과 불가분하게 얽힌 표현의 자유 문제에서, 세계의 다른 지역과 자신을 구별하기 위해 자국의 규범을 재정의하려는 의지를 분명히 보여 왔다. 그 결과, 미국이 유럽이나 영국을 뒤따라 기술 규제를 입법화하는 길을 선택할 가능성은 점점 낮아지고 있다.
아래로부터의 압박은 또 다른 문제다. 현대 사회의 기술이 아이들에게 어떤 영향을 미치는지를 직접 목격한 부모들은, 변화를 요구하는 목소리를 쉽게 멈추지 않을 것이다.
이 점에서 X의 사례는 시사적이다. 한때 트위터로 알려졌던 이 마이크로블로깅 플랫폼은 인스타그램이나 틱톡만큼 아이들 사이에서 인기가 있었던 것은 아니지만, 불과 몇 주 전까지만 해도 대중의 인식 속에서는 여전히 주로 소셜미디어 사이트로 자리하고 있었다. 그러나 이제 사용자들이 대규모언어모델 Grok을 활용해 나체 아동 이미지를 생성하는 행태가 이어지면서, X는 전혀 다른 존재가 되었다. 최근 파이낸셜 타임스(Financial Times)의 한 헤드라인이 이를 가장 잘 표현한다. “트위터로 알려졌던 딥페이크 포르노 사이트 X.”
