전문가: EU 채팅 통제법으로 인해 사용자가 Web3로 이동

EU의 채팅 통제법은 개인 메시지를 암호화하기 전에 검사를 강제로 시행하여 디지털 신뢰를 위협하고 잠재적으로 사용자를 Web3 플랫폼으로 몰아넣을 수 있다는 이유로 보안 전문가로부터 비판을 받았습니다.

논란의 핵심은 아동 성적 학대 예방 및 퇴치에 관한 규정 초안입니다. 이 규정은 종단 간 암호화 시스템에 "백도어"를 생성하여 EU의 개인정보 보호 약속을 위반하고 유럽 디지털 시장을 분열시킬 수 있다고 합니다.

채팅 제어란 무엇인가요?

이는 플랫폼이 종단 간 암호화를 수행하기 전에 개인 메시지에 불법적인 내용이 있는지 검사하도록 요구함으로써 아동 성적 학대를 예방하는 것을 목표로 하는 EU의 제안된 규정입니다.

초안에 따르면 "클라이언트 측 스캐닝"은 사용자 기기에서 직접 수행됩니다. 비평가들은 이러한 접근 방식이 암호화 시스템에 백도어를 설치하는 것과 마찬가지이며, EU 데이터 보호 기준, 특히 EU 헌장에 따른 통신 개인정보 보호권에 위배된다고 주장합니다.

전문가들은 왜 이를 위험한 선례로 여기는가?

전문가들은 이로 인해 나쁜 법적, 기술적 선례가 생기고, 감시 도구의 남용 위험이 높아지며, 디지털 인프라에 대한 신뢰가 침식된다고 경고합니다.

다이오드(Diode)의 공동 창립자이자 CEO인 한스 렘펠(Hans Rempel)은 데이터 유출의 10% 이상이 정부 시스템에서 발생했다는 점을 지적하며, 이 도구가 악용되지 않을 것이라는 보장은 없다고 말했습니다. 브릭켄(Brickken)의 법률 고문인 엘리센다 파브레가(Elisenda Fabrega)는 EU 사법 재판소 판례법 및 통신 개인정보보호 및 데이터 보호에 관한 EU 헌장 제7조와 제8조와의 충돌 위험을 지적했습니다.

"본질적으로 부패하기 쉬운 존재에게 개인의 사생활에 사실상 무제한으로 접근할 수 있는 권한을 부여하는 것은 진정한 디지털 프라이버시 주장과 일치하지 않습니다."
– 한스 렘펠, 다이오드 CEO, 코인텔레그래프, 2024

클라이언트 측 스캐닝은 어떻게 작동하며 위험은 무엇입니까?

클라이언트 측 스캐닝은 침해 징후가 없더라도 콘텐츠가 전송되기 전에 장치에 있는 콘텐츠를 검사합니다.

파브레가는 이 메커니즘을 통해 사용자 기기의 콘텐츠가 전송되기 전에 이를 모니터링할 수 있으며, 이로 인해 광범위하고 모호한 간섭에 대한 우려가 제기된다고 설명했습니다. 실제 사례: Apple은 2021년에 iCloud 사진 및 기기에서 아동 음란물(CSAM)을 탐지할 계획을 발표했지만, 개인정보 보호에 대한 강한 반발로 2022년에 이를 취소했습니다(The Verge, 2022; Apple). 기기 내 스캐닝은 또한 스파이웨어 및 신원 사기 공격의 공격 표면을 증가시킵니다.

"클라이언트 측 스캐닝을 통해 불법 활동의 흔적이 없더라도 전송 전에 사용자 기기의 콘텐츠를 모니터링할 수 있습니다."
– Elisenda Fabrega, Brickken 법률 고문, Cointelegraph, 2024

이 조치가 EU 개인정보 보호 기준과 충돌합니까?

많은 법적 분석은 그렇다고 제시하고 있으며, 특히 EU법과 CJEU 판례법의 필요성과 비례성의 원칙을 고려하면 그렇습니다.

파브레가는 통신의 기밀성과 데이터 보호를 보장하는 EU 헌장 제7조와 제8조를 인용합니다. 유럽데이터보호청(EDPB)과 유럽데이터보호이사회(EDPS-EDPB)는 공동 의견서 04/2022에서 대량 스캐닝 조치가 기본권을 침해할 심각한 위험을 초래한다고 경고했습니다(EDPB-EDPS, 2022). 유럽사법재판소(CJEU)의 대량 데이터 저장 관련 판례는 필요성과 비례성의 엄격한 기준을 더욱 강조합니다.

디지털 신뢰는 어떻게 영향을 받을까요?

암호화된 메시징에 대한 신뢰는 데이터가 항상 비공개로 유지된다는 약속입니다. 이 약속이 지켜지지 않으면 사용자는 플랫폼을 떠날 수 있습니다.

파브레가는 암호화가 단순한 기술적 기능이 아니라 사용자에 대한 약속이라고 강조했습니다. 신뢰가 약화되면 사용자, 특히 개인정보 보호를 중시하는 사용자들이 더 안전한 대안을 찾게 될 수 있으며, 이는 유럽 디지털 시장의 분열을 초래하고 EU의 국제 표준 수립 능력을 약화시킬 위험이 있습니다.

개인 정보 보호에 민감한 사용자를 위한 해결책은 Web3일까?

Web3 플랫폼은 기본적으로 데이터를 보호하도록 설계되어 사용자에게 데이터 주권을 부여하므로 개인 정보 보호를 중시하는 그룹에게 매력적입니다.

렘펠에 따르면, Web3의 핵심은 키와 데이터를 자율적으로 관리하여 사용자가 정보 수명 주기 전반에 걸쳐 정보를 제어할 수 있도록 하는 것입니다. 그러나 Web3에는 사용자 경험, 확장성, 법률 준수라는 과제도 있습니다. 하지만 Chat Control이 도입될 경우, 중앙 집중식 플랫폼에서 분산형 솔루션으로의 부분적인 마이그레이션이 증가할 것으로 예상됩니다.

독일은 어떻게 결정할까?

독일이 핵심 투표국입니다. 현재 15개국이 독일을 지지하고 있지만, EU 이사회의 이중 과반수 규칙이 요구하는 65% 기준에는 미치지 못합니다.

가중다수결 메커니즘에 따라 최소 회원국의 55%(현재 충족)와 EU 인구의 65%(아직 충족되지 않음)의 찬성이 필요합니다. 독일이 지지할 경우 통과 가능성이 매우 높지만, 기권하거나 반대할 경우 법안은 부결될 가능성이 높습니다. 이러한 사실 때문에 독일의 결정은 EU 이사회의 '채팅 통제(Chat Control)' 로드맵(QMV 규칙)에서 결정적인 요인이 됩니다.

통과 가능성 및 다음 시나리오

일부 전문가는 통과 가능성이 낮다고 했지만, 안전을 위해 비슷한 노력을 다시 할 수도 있을 것입니다.

렘펠은 통과 가능성이 낮다고 말했지만, 안전을 명분으로 기본권을 제한하려는 제안이 이번이 마지막은 아닐 것이라고 덧붙였습니다. 어떤 결과가 나오든 아동 안전과 사생활 보호 사이의 균형을 둘러싼 논쟁은 계속될 것이며, 이를 위해서는 투명하고 강력한 사법적 감독을 받으며 비례적인 해결책이 필요합니다.

비교표: 클라이언트 측 스캐닝, 기존 종단 간 암호화 및 Web3 플랫폼

세 가지 접근 방식 간의 목표, 위험, 사용자 신뢰에 미치는 영향을 간략하게 비교한 내용은 다음과 같습니다.

자주 묻는 질문

채팅 제어 기능은 모든 개인 메시지를 강제로 검사합니까?

(Cointelegraph와 관련 법률 분석에 따르면) 이 초안에서는 아동 학대와 관련된 불법 콘텐츠를 감지하기 위해 위반 흔적이 없더라도 암호화하기 전에 기기의 콘텐츠를 스캔하도록 요구합니다.

EU의 자격 다수결 규칙은 어떻게 작동합니까?

EU 이사회의 승인을 받으려면 회원국의 최소 55%와 EU 인구의 65%가 필요합니다(QMV 규칙). 현재 이를 지지하는 15개국은 아직 인구 65% 기준에 도달하지 못했습니다.

클라이언트 측 스캐닝은 엔드투엔드 암호화와 어떻게 다릅니까?

클라이언트 측 스캐닝은 암호화하기 전에 기기의 콘텐츠를 스캔하여 백도어 위험을 발생시킵니다. 종단 간 암호화는 제공자가 콘텐츠를 읽을 수 없도록 하고, 발신자와 수신자만 콘텐츠를 해독할 수 있도록 합니다.

Web3는 개인정보 보호 위험을 완전히 없앨 수 있나요?

아니요. Web3는 사용자에게 데이터 제어권을 더 많이 제공하지만, 사용자 경험, 핵심 보안 및 규정 준수 측면에서 어려움을 겪습니다. 하지만 개인정보 보호에 민감한 사람들에게는 매력적인 옵션입니다.

독일이 채팅 제어에서 결정적인 역할을 하는 이유는 무엇입니까?

독일은 인구가 많습니다. 독일이 지지한다면 65% 기준을 충족할 수 있지만, 반대하거나 기권할 경우 법안은 부결될 가능성이 높습니다.