출시 하루 만에 허물어진 'EU 최고 수준 보안'

유럽위원회(European Commission)가 야심차게 공개한 연령 인증 앱(age verification app)이 출시 이튿날 보안 컨설턴트에 의해 2분도 안 걸려 우회됐다. 영국 보안 컨설턴트 폴 무어(Paul Moore)는 4월 16일, 로컬 설정 파일을 텍스트 편집기로 수정하는 단순한 방법만으로 플랫폼이 유효한 것으로 인식하는 위조 인증 정보(forged credential)를 생성하는 데 성공했다. 우르줄라 폰데어라이엔(Ursula von der Leyen) 유럽위원회 위원장이 '세계 최고 수준의 개인정보 보호 기준'이라 자부한 지 불과 24시간 만의 일이다.

무엇이 뚫렸나

유럽위원회는 4월 15일 수요일, EU 디지털 서비스법(DSA, Digital Services Act) 집행 체계의 핵심 도구로 설계한 연령 인증 앱을 공식 출시했다. 이 앱은 이용자가 여권이나 신분증(national ID card)을 한 번 등록하면, 이후 소셜미디어 등 온라인 플랫폼 접속 시 개인 정보를 공개하지 않고 연령(예: 18세 이상 여부)만 플랫폼에 전달하도록 설계됐다. 현재 6개 EU 회원국이 시범 운영 중이었다.

그러나 무어가 공개한 우회 방식은 충격적으로 단순했다. 앱의 인증 로직이 로컬 기기에 저장된 설정 파일에 의존하는 클라이언트 측(client-side) 구조로 구현된 탓에, 해당 파일만 수정하면 실제 신원 확인 없이도 유효한 인증 토큰을 생성할 수 있었다. 고도의 해킹 기술이나 별도 도구도 필요하지 않았다.

예견된 실패: 438명의 경고를 무시했다

이번 취약점이 더욱 충격적인 이유는 사전 경고가 있었기 때문이다. 지난 3월, 보안·개인정보 연구자 438명이 연령 인증 시스템 자체의 근본적 결함을 지적하는 공개 경고문을 발표했다. 연구자들은 클라이언트 측 검증에 의존하는 구조가 본질적으로 우회 가능하다고 명시했다. 유럽위원회는 이 경고를 묵살하고 앱을 강행 출시했다.

4월 17일 기준, 유럽위원회는 패치나 공식 입장을 내놓지 않은 상태다.

무엇이 달라졌나: 기존 연령 인증 방식과 비교

앱이 지향한 개인정보 보호 원칙은 기존 방식보다 진일보했지만, 보안 구현이 이를 뒷받침하지 못한 것이 근본 문제다.

왜 이게 중요한가: 아동 보호 정책의 신뢰성 위기

이 사건은 단순한 기술적 버그가 아니다. EU가 아동 온라인 보호의 핵심 기반으로 내세운 인증 체계가 처음부터 흔들렸다는 점에서 정책 신뢰성에 치명적 타격을 준다.

글로벌 맥락도 중요하다. 지난달 미국 캘리포니아주 배심원단은 메타(Meta)와 유튜브(YouTube)가 중독성 기능으로 한 여성에게 해를 끼쳤다고 판결했고, 뉴멕시코주에서는 메타가 아동 성적 착취를 방조했다는 판결이 나왔다. 전 세계 규제 당국이 플랫폼에 강력한 연령 확인을 요구하는 흐름 속에서, EU의 중앙화 솔루션이 출시 첫날 무력화된 것은 국제 아동 보호 논의에 악영향을 미칠 가능성이 있다.

[전문가 분석] 앞으로 어떻게 될까

보안 전문가들 사이에서는 클라이언트 측 검증에 의존하는 연령 인증 구조 자체가 재설계돼야 한다는 목소리가 높아질 가능성이 높다. 인증 로직을 기기 내부가 아닌 서버 측(server-side)에서 처리하는 방향으로 전환하지 않는 한, 유사한 우회 시도는 반복될 가능성이 높다.

유럽위원회가 패치를 내놓더라도 근본 아키텍처를 바꾸지 않는 한 임시방편에 그칠 것이라는 분석이 우세하다. 일부 전문가들은 이번 사태가 기술 솔루션의 한계를 드러낸 것으로, 플랫폼 책임 강화와 콘텐츠 설계 규제가 더 실효적인 접근일 수 있다고 지적한다.

유럽의회 및 회원국 정부들이 유럽위원회에 긴급 해명을 요구할 가능성이 높고, DSA 집행 일정과 연계된 연령 인증 의무화 로드맵에도 차질이 생길 가능성이 높다. EU의 디지털 정책 신뢰도 회복을 위해서는 독립적인 보안 감사(security audit)와 공개 검증 절차가 선행돼야 한다는 지적이 나오고 있다.