들어가며
지난 4월 30일, 루리웹 운영자 진인환 씨가 공지 하나를 올렸어요. "7월 1일부터 모든 이미지에 AI 필터링을 거쳐야 합니다." 게임 커뮤니티에 사진 한 장 올리는 데, 업로드 버튼을 누르면 AI가 먼저 들여다본다는 이야기예요.
이유는 불법촬영물 유통 방지. 취지 자체를 부정하는 사람은 많지 않아요. 그런데 이 조치가 알려지자마자 에펨코리아, 디시인사이드, 클리앙까지 주요 커뮤니티들이 일제히 반발했어요. 같은 시기, 해외에서는 Hacker News와 Privacy Guides에 "한국이 모든 이미지를 AI로 검열한다"는 글이 퍼지기 시작했고요.
결론부터 말씀드릴게요. 이건 단순한 국내 규제 이슈가 아니에요. Apple도, EU도 똑같은 기술을 검토했다가 멈춘 길이거든요. 한국만 걷고 있는 이 길이 어디로 향하는지, 오늘 함께 짚어볼게요.
7월 1일, 한국 인터넷에 무슨 일이 벌어지나
2026년 4월 28일, 전기통신사업법 시행령이 개정됐어요. 핵심은 한 줄이에요. 불법촬영물 유통 방지를 위한 사전 차단 대상이 동영상에서 이미지까지 확대된 거예요.
7월 1일 시행이고, 연말까지 6개월 계도기간이 붙어요. 방미통위는 지난해 12월 설명회에서 시행 일정을 안내했고 이후 수차례 공문을 보냈다고 하지만, 현장에서는 "장비 수급이 현실적으로 어렵다"는 호소가 나오고 있어요.
대상은 연매출 10억 원 이상이거나 일평균 이용자 10만 명 이상인 부가통신사업자 약 80곳이에요. 구글, 메타, X 같은 해외 사업자도 국내 이용자 10만 명 이상이면 포함돼요. 루리웹, 에펨코리아, 디시인사이드 같은 국내 커뮤니티는 물론이고요. 작동 방식은 이래요. 방송미디어통신심의위원회가 이미 심의·의결한 불법촬영물의 디지털 식별정보(해시값)를 사업자에게 제공하면, 사업자는 이용자가 이미지를 업로드할 때 이 식별정보와 대조해요. 일치하면 게시가 차단되는 구조예요. AI가 모든 이미지의 내용을 판독하는 것이 아니라, 기존에 확인된 불법 콘텐츠의 디지털 지문과 매칭하는 방식이에요. 다만 매칭이든 판독이든, 업로드되는 모든 파일을 서버에서 대조해야 하는 건 같아요. 인프라 부담은 달라지지 않아요.
문제는 이걸 실행하는 데 필요한 인프라예요. 정부가 2021년에 공개한 권장 서버 사양 문서를 보면 꽤 놀라워요. 3.7GHz 16코어 CPU, 128GB RAM, 48GB 이상 VRAM을 가진 데이터센터급 GPU가 최소 1개 필요해요. GPU 소비전력만 250~300W이고, 서버 전체 소비전력은 2,000W 이상이에요. 여기에 중요한 조건이 하나 더 붙어요. NVIDIA 라이선스 정책상 일반 소비자용 GPU, 그러니까 RTX 2060이나 RTX 3060 같은 GeForce 계열은 데이터센터에서 사용이 제한돼요. 정부 문서에서도 Quadro 계열 워크스테이션용 제품을 권장하고 있어요. NVIDIA A6000 같은 모델이 여기 해당하는데, 2026년 반도체 가격이 치솟은 상황에서 GPU 한 장에 수백만 원, 서버 한 대 구축에 수천만 원에서 억 원대 비용이 들어요.
그리고 이 비용은 전액 사업자 부담이에요. 정부 보조는 없어요. 서버를 돌리는 데 드는 전기료와 유지보수 비용도 고스란히 사업자 몫이고요.
사실 이 부담은 어제오늘 이야기가 아니에요. 동영상에 대한 AI 필터링이 먼저 시행되었을 때, 이미 2022년에 에펨코리아 운영자가 리소스 부담이 상당하다고 공개적으로 호소한 적이 있어요. 이제 이미지까지 확대되면서 비용이 또 한 번 뛰는 거예요.
루리웹 운영자는 "불법촬영물에 걸릴 수준의 이미지나 영상은 의무 대상 사이트에 거의 올라오지 않는다"고 지적했어요. 핵심을 찌르는 발언이에요. 에펨코리아 운영자도 5월 28일 공식 입장을 내며, 이번엔 형평성 문제를 정면으로 꺼냈어요. 실제로 불법촬영물이 유통되는 텔레그램이나 X(구 트위터)도 규제 대상이에요. 방미통위도 "이미 해외 사업자 10여 곳에 시정명령을 내렸다"고 밝혔어요. 하지만 텔레그램처럼 국내에 사업자 등록 자체를 하지 않는 플랫폼에는 이행을 강제할 현실적 수단이 없어요. 불법촬영물의 실제 유통 경로가 이런 사각지대에 집중돼 있다는 게 운영자들의 핵심 반발이에요.
물론 다른 시각도 있어요. "그동안 중대형 커뮤니티가 아무런 책임도 지지 않았다"는 비판이에요. 해외 주요 플랫폼들은 최소한 연령 인증(age verification)이나 콘텐츠 모더레이션 시스템을 자체적으로 운용하고 있는데, 한국 커뮤니티들은 이런 안전장치 없이 성장해 왔다는 거예요. 불법촬영물을 사실상 방치해 온 것이 더 큰 문제이고, 이 정도의 의무는 지금이라도 져야 한다는 논리예요. 이 시각에 일리가 없는 건 아니에요.
하지만 '책임져야 한다'는 것과 '어떤 방식으로 책임지게 할 것인가'는 다른 문제예요.
정리하면 이런 구도예요. 규칙을 지키며 운영해 온 국내 커뮤니티에는 억 원대 인프라 의무가 부과되고, 문제의 진원지인 해외 플랫폼은 법의 그물 바깥에 있는 거예요. 같은 GPU를 로컬 AI 서비스 개발이나 이미지 생성 모델 운용에 쓸 수 있는 자원이, 사실상 검열 인프라에 묶여버리는 셈이기도 하고요.
Apple과 EU는 같은 기술 앞에서 멈췄다
이미지를 자동 스캔해서 불법 콘텐츠를 잡아내겠다는 발상은 한국만의 것이 아니에요.
2021년 8월, Apple이 먼저 움직였어요. 아이폰에 저장된 사진을 iCloud에 업로드하기 전, 기기 내에서 아동 성착취물(CSAM)[1] 데이터베이스와 대조하는 기술을 발표했어요. '클라이언트 사이드 스캐닝'이라고 불리는 방식이에요. 목적은 분명했어요. 아동을 보호하겠다는 것이었죠.
발표 직후 상황이 뒤집어졌어요. 암호학자 매튜 그린을 시작으로 보안 연구자, EFF[2], 프라이버시 단체들이 일제히 반대 성명을 냈어요. 핵심 우려는 하나였어요. "한번 만들어진 스캐닝 인프라는, 검색 대상을 언제든 확장할 수 있다." 오늘은 아동 보호 목적이지만, 내일은 정치적 반대 의견이나 합법적 콘텐츠를 검색하는 데 쓰일 수 있다는 거예요.
Apple은 계획을 보류했고, 이후 공식적으로 복원하지 않았어요.
EU도 비슷한 경로를 밟았어요. 2022년 유럽연합 집행위원회가 메시지와 이미지를 자동 스캔하도록 의무화하는 법안, 이른바 'Chat Control'을 제안했어요. 독일의 디지털 시민단체들과 유럽 디지털권리기구 EDRi가 조직적으로 반대했어요. "대규모 감시의 문을 여는 것"이라고요. 이 법안은 3년 넘게 표류하다가 2025년 말, 의무적 스캐닝 대신 '위험 완화 조치'라는 우회적 표현으로 사실상 후퇴했어요. 강제 스캐닝 명령은 빠졌지만, 플랫폼이 자발적으로 콘텐츠를 모니터링하도록 압력을 가할 여지는 남겼어요. 표면적으로는 한 발 물러섰지만, 완전히 폐기한 건 아닌 셈이에요.
Apple과 EU가 공통적으로 부딪힌 벽은, 보안 전문가들이 '미션 크리프(mission creep)'라고 부르는 현상이에요. 처음에는 아동 보호라는 좁은 목적으로 만들어진 도구가, 시간이 지나면서 검색 대상이 조금씩 넓어지는 거예요. 아동 성착취물에서 테러 콘텐츠로, 테러에서 저작권 침해물로, 다시 정치적 표현으로. 한번 구축된 스캐닝 인프라는 '무엇을 검색할 것인가'라는 목록을 바꾸는 것만으로 완전히 다른 도구가 될 수 있어요.
이 흐름에 학술적 근거를 제공한 건 2021년 14명의 국제 보안 연구자들이 발표한 논문 "Bugs in our Pockets"예요. 결론이 인상적이에요. Apple이 최고 수준의 보안·암호학 전문가를 투입했음에도, 안전하고 신뢰할 수 있으며 효과적인 시스템 설계에는 도달하지 못했다는 거예요. 기술적으로 '가능하다'는 것과 안전하게 '운용할 수 있다'는 것은 전혀 다른 차원의 문제라는 점을 보여준 셈이에요.
같은 기술, 다른 선택... 무엇이 갈렸나
Apple, EU, 한국. 세 곳 모두 "불법 콘텐츠 차단"이라는 동일한 목적을 갖고 있었어요. 사용하려는 기술의 원리도 거의 같아요. 업로드되는 콘텐츠를 자동으로 스캔하고, 데이터베이스와 대조해서 위법 여부를 판별하는 거예요.
결과는 완전히 갈렸어요.
Apple과 EU에서는 시민사회와 기술 커뮤니티의 조직적 반발이 작동했어요. 보안 연구자들이 기술적 리스크를 논문으로 발표하고, 시민단체가 캠페인을 벌였고, 미디어가 집중 보도했어요. "기술적으로 가능하더라도 사회적으로 수용할 수 없다"는 합의가 형성된 거예요.
한국에서는 다른 맥락이 작동했어요. 2020년 텔레그램 N번방 사건이 사회에 깊은 충격을 남겼고, 디지털 성범죄에 대한 강력 대응이라는 사회적 합의를 만들어냈어요. 전기통신사업법 개정안(이른바 'N번방 방지법')은 2020년 6월 여야 합의로 공포됐고, 2021년부터 동영상 필터링이 시행됐어요. 그리고 이번 시행령 개정으로 이미지까지 확대된 거예요. 시민단체 오픈넷이 헌법소원을 청구했지만, 헌법재판소는 2025년 10월 "사전검열에 해당하지 않는다"는 요지로 기각했어요.
주목할 건 속도예요. 이미지 확대 시행령이 4월 28일에 개정됐는데, 불과 2주 뒤인 5월 14일에는 관련 추가 법안이 국회 본회의를 통과했어요. 재석 272명 중 찬성 252명, 반대 12명. 압도적이에요. 여야 모두 이 방향에 동의했다는 뜻이고, 그만큼 이 이슈에 반대 목소리를 내는 것 자체가 정치적으로 어렵다는 것도 의미해요.
흥미로운 건 이 사안을 둘러싼 국내 여론의 온도예요. 긱뉴스, 클리앙 등 일부 IT 커뮤니티에서만 버즈가 있을 뿐, 주류 언론이나 일반 여론에서는 놀라울 정도로 조용해요. 오히려 해외에서 더 시끄러워요. Hacker News 프론트페이지에 올랐고, Privacy Guides에서 토론이 벌어지고 있어요. 국내 반발이 조용한 이유는 간단해요. N번방 이후 형성된 합의가 너무 강력해서, "이 규제에 반대한다"는 발언 자체가 "디지털 성범죄를 방관하겠다"는 말로 들릴 수 있는 구조가 된 거예요. 정치적으로 반대할 수 없는 이슈가 된 셈이에요.
사회적 합의가 강력할수록, 반대 논리가 설 공간은 좁아져요. 이건 자연스러운 현상이에요. 문제는 합의의 강도가 규제의 효과성까지 보증하지는 않는다는 거예요.
아이러니한 것은 실제 불법촬영물의 유통 경로를 보면, 텔레그램이나 해외 서버 기반 플랫폼이 압도적이에요. 법 조문상으로는 해외 사업자도 대상이고, 정부도 시정명령을 내린 사례가 있어요. 하지만 국내에 사업자 등록 자체를 하지 않는 플랫폼에는 이행을 강제할 도구가 사실상 없어요. 그물은 촘촘하게 짰는데, 물고기가 가장 많이 헤엄치는 바다에서는 그물이 작동하지 않는 거예요. 규제의 실제 무게는 이미 규칙을 지키고 있던 국내 사업자에게 집중되는 구조예요.
더 우려스러운 건, 이 구조가 고착되면 어떤 일이 벌어지느냐는 거예요. 국내 커뮤니티 운영 비용이 올라가면, 이용자는 규제가 없는 해외 플랫폼으로 이동해요. 해외 플랫폼의 이용자가 늘면, 불법 콘텐츠가 유통될 수 있는 접점도 오히려 늘어나요. 규제가 규제의 목적을 스스로 약화시키는 역설이 생기는 거예요.
오스왈드의 시선
솔직히 말씀드리면, 저는 이 사안을 보면서 기술전략을 수립해온 경험에서 수없이 봐왔던 실패 패턴 하나가 떠올랐어요.
"고객이 있는 채널이 아니라, 통제할 수 있는 채널에 자원을 투입하는 실수."
기업이 시장에 진출할 때 가장 흔히 저지르는 오류가 있어요. 실제 고객이 모여 있는 채널은 손대기 어려우니까, 자기가 컨트롤할 수 있는 채널에 자원을 집중하는 거예요. 통제 가능한 곳에 투자하면 보고서는 깔끔하게 나오지만, 실제 성과는 나지 않아요.
이번 규제도 같은 구조예요. 국내 커뮤니티는 정부가 통제할 수 있는 영역이에요. 텔레그램은 통제할 수 없는 영역이고요. 통제 가능한 곳에 의무를 부과하면 "조치를 취했다"는 행정적 실적은 만들어져요. 그런데 문제가 실제로 벌어지는 곳은 여전히 손대지 못하고 있어요.
그리고 한 가지 더 짚고 싶은 게 있어요. 국제 사회의 시선이에요. 지금 Hacker News에서 한국을 어떻게 묘사하고 있는지 아세요? "민주주의 국가 중 전수 이미지 AI 스캐닝을 시행하는 유일한 나라"예요. AI 산업은 글로벌 인재와 투자를 끌어와야 하는 영역인데, "AI로 시민을 감시하는 나라"라는 인식이 기술 커뮤니티에 퍼지면, 그건 쉽게 지워지지 않거든요.
디지털 성범죄는 반드시 근절해야 해요. 규제의 목적에 이견은 없어요. 하지만 효과가 검증되지 않은 채 비용만 민간에 전가되고, 핵심 유통 경로는 건드리지 못하는 규제라면, 그건 정당한 목적을 위한 잘못된 설계예요.
마치며
정리하면 이래요. Apple과 EU가 프라이버시 우려로 멈춘 이미지 자동 스캐닝을 한국은 실행에 옮겼어요. 하지만 규제의 대상(국내 커뮤니티)과 문제의 소재지(해외 플랫폼)가 어긋나 있고, 국제 사회는 한국을 '감시 인프라의 선례'로 주시하고 있어요.
목적의 정당성이 설계의 결함을 면제해 주지는 않아요. 이 주제를 더 파고 싶으신 분은 아래 "Bugs in our Pockets" 논문의 2장부터 읽어보시길 추천해요.
구독자님은 이번 조치, 어떻게 보세요? 불법촬영물 근절이라는 목적과 전수 감시라는 수단 사이에서, 선은 어디에 그어야 할까요? 댓글로 의견 남겨주시면 좋겠어요.
참고자료 & 더 읽기
핵심 출처
- Hal Abelson et al., "Bugs in our Pockets: The Risks of Client-Side Scanning", Journal of Cybersecurity, Oxford Academic, 2024. : 14명의 국제 보안 연구자가 클라이언트 사이드 스캐닝의 기술적 리스크를 분석한 핵심 논문이에요. 2장이 특히 읽기 좋아요.
- 전기통신사업법 시행령 제30조의6, [시행 2026.4.28], 대통령령 제36281호. : 이번 논란의 법적 근거가 되는 시행령 원문이에요.
- Privacy Guides Community, "South Korean Online Communities Will Need to Scan Every Images with AI Censorship Tools", 2026. : 해외 프라이버시 커뮤니티에서 이 사안을 어떻게 보는지 확인할 수 있어요.
- 경향신문, "불법촬영 사진 차단 확대에 “검열 국가” 반발···정부 “이미 확인된 불법물 대상”",김남희 기자, 2026.06.05. : 경향신문에서 방송미디어통신위원회 사업자 설명회에 대해 취재한 기사에요.
배경 지식
- Tuta Blog, "EU Commission is planning what Apple stopped: Automatic CSAM scanning", 2022. : Apple CSAM 스캐닝 철회와 EU Chat Control의 흐름을 잘 정리한 글이에요.
- Chambers & Partners, "Data Protection & Privacy 2026 — South Korea", 2026. : AI 기본법과 한국 데이터 보호 법제를 글로벌 관점에서 정리한 보고서예요.
의견을 남겨주세요
토미
비공개 댓글 입니다. (메일러와 댓글을 남긴이만 볼 수 있어요)
의견을 남겨주세요