아이를 지키겠다는 법이, 인터넷의 문을 바꾸고 있어요

들어가며

구독자님, 지난주 리눅스 커뮤니티에서 작은 소동이 있었어요. 대부분의 리눅스 배포판이 사용하는 핵심 시스템 관리자인 systemd에 birthDate라는 필드가 추가된 거예요. 사용자의 생년월일을 운영체제 수준에서 저장하는 필드인데요.

systemd 창시자 레나르트 포에터링은 "선택적 필드일 뿐, 정책 엔진도 아니고 앱용 API도 아니다"라고 해명했어요. 하지만 이 작은 필드가 추가된 이유를 따라가 보면, 훨씬 큰 그림이 보여요. 캘리포니아, 콜로라도, 브라질 등에서 통과된 연령인증법^[1]​에 대응하기 위해서예요.

그런데 이 법들을 자세히 들여다보면, 단순한 아동 보호 정책이 아니에요. 운영체제가 사용자의 나이를 모든 앱에 실시간으로 알려주는 인프라를 의무화하는 법이에요. 그리고 그 뒤에는, 뜻밖의 수혜자가 있어요.

운영체제가 나이를 검사하는 세상

2025년 10월, 캘리포니아 주지사 개빈 뉴섬이 서명한 AB-1043(디지털 연령 보증법)은 2027년 1월 1일부터 시행돼요. 이 법의 핵심을 정리하면 이래요.

모든 운영체제 제공자는 계정 설정 시 사용자의 생년월일이나 나이를 수집해야 해요. 그리고 이 정보를 기반으로 앱 개발자가 요청하면 실시간 API를 통해 사용자의 연령 구간(13세 미만, 13~15세, 16~17세, 18세 이상)을 전달해야 해요.

여기서 "운영체제 제공자"의 정의가 중요해요. 법 원문에 따르면 "컴퓨터, 모바일 기기, 또는 기타 범용 컴퓨팅 기기의 운영체제 소프트웨어를 개발, 라이선스 또는 통제하는 자"예요. Windows, macOS, iOS, Android는 물론이고 리눅스 배포판과 Valve의 SteamOS까지 해당돼요.

이건 특정 성인 사이트에 접속할 때 나이를 확인하는 것과는 차원이 달라요. 기기를 켜는 순간부터 사용자의 연령 정보가 운영체제에 내장되고, 설치된 모든 앱이 이 정보를 조회할 수 있는 상시 신원확인 인프라가 되는 거예요.

캘리포니아만의 이야기가 아니에요. 유타(SB-142)와 루이지애나(HB-570)에서는 이미 유사한 법이 시행 중이고, 콜로라도(SB26-051)는 상원을 28대 7로 통과해 하원 심의 중이에요. 뉴욕(S8102A)은 한발 더 나아가 자가 신고를 금지하고 생체인식이나 정부 ID 검증을 요구해요. 일리노이, 오하이오, 조지아, 사우스캐롤라이나에서도 유사 법안이 계류 중이고, 연방 차원에서는 KOSA와 ASAA가 진행 중이에요.

이 법들의 공통 템플릿은 ICMEC(국제아동실종착취예방센터)가 만든 "디지털 연령 보증법(Digital Age Assurance Act)"이에요. 그런데 한 가지 눈에 띄는 패턴이 있어요. 이 법들은 앱 스토어와 운영체제에 의무를 부과하면서, 정작 아동에게 직접 콘텐츠를 노출하는 소셜미디어 플랫폼에는 새로운 의무를 부과하지 않아요.

로비: 법을 쓴 손, 돈을 댄 손

2025년 7월, 블룸버그가 보도한 내용에 따르면 Meta는 디지털 아동 연합(Digital Childhood Alliance, DCA)이라는 보수 성향 아동 보호 단체 연합의 자금을 지원하고 있었어요. DCA는 50개 이상의 보수 단체 연합을 자처했지만, 실제로 공개적으로 이름이 확인된 단체는 6개에 불과했어요.

올해 3월, 한 OSINT(오픈소스 인텔리전스)^[2]​ 연구자가 IRS 세금 신고서, 상원 로비 공개 자료, 주(州) 윤리위원회 데이터베이스 등 공개 기록을 추적한 조사 결과를 공개했는데요. 그 내용을 정리하면 이래요.

DCA의 법적 실체 문제: DCA의 EIN(세금 식별 번호)이 최근에야 확인됐는데, 2024년 세금연도 총수입이 2만 5천 달러 미만(990-N 간이 신고)이에요. 20개 이상 주에서 입법 캠페인을 벌이는 조직의 공식 수입이 2만 5천 달러 미만이라는 건, 실제 자금이 이 법인을 거치지 않는다는 뜻이에요.

루이지애나 사례: HB-570을 발의한 킴 카버(Kim Carver) 의원은 Meta 로비스트가 법안 문구를 직접 가져왔다고 공개적으로 인정했어요. 이 단일 법안을 위해 Meta는 9개 로비 회사에 걸쳐 12명의 로비스트를 투입했고, 최소 32만 5천 달러를 지출했어요. 법안은 모든 단계에서 만장일치로 통과됐는데, 12명의 로비스트가 필요했던 이유는 표결이 아니라 법안 문구의 통제였어요.

Meta의 로비 포지션: 콜로라도 주무장관의 SODA API를 통해 확인된 117건의 로비 기록을 분석하면, Meta는 자사를 규제하는 소셜미디어 법안에는 "수정(Amending)" 입장을 취하면서, OS 제공자에게 부담을 지우는 법안에는 "모니터링(Monitoring)" 입장을 취했어요. 자기를 규제하는 법은 싸우고, 경쟁자를 규제하는 법은 지켜보는 거예요.

전례가 있어요: 2022년 3월, 워싱턴포스트는 Meta가 공화당 컨설팅 회사 타겟티드 빅토리(Targeted Victory)를 고용해 틱톡에 대한 전국적 비방 캠페인을 벌인 사실을 보도했어요. 이 캠페인은 지역 언론에 기명 기고를 심고, 실제로는 페이스북에서 시작된 위험한 트렌드를 틱톡 탓으로 돌리는 방식이었어요. 캠페인의 핵심 프레임? "틱톡은 아이들에게 위험하다." 그때와 지금의 플레이북이 놀랍도록 닮아 있어요.

결국, 사용자 데이터 수집으로 수익을 올리는 회사가, 모든 운영체제에서 연령 데이터를 수집해 모든 앱에 방송하도록 의무화하는 법의 문구를 작성하고, 자사 플랫폼은 이 법의 적용을 받지 않도록 설계한 거예요.

같은 문제, 전혀 다른 설계

이 대목에서 EU의 접근법을 보면 대조가 선명해져요.

EU의 디지털 서비스법(DSA)은 연령인증 의무를 월간 사용자 4,500만 명 이상의 초대형 온라인 플랫폼(VLOP)에 부과해요. 운영체제에 부과하는 게 아니에요. 그리고 오픈소스 프로젝트에 대한 면제 조항이 5개나 있어요.

기술적 접근도 달라요. EU는 eIDAS 2.0 규정에 따라 유럽 디지털 신원 지갑(EUDI Wallet)을 개발하고 있는데, 핵심은 영지식 증명(ZKP)^[3]​이에요. 사용자는 생년월일이나 신원 정보를 노출하지 않고 "18세 이상이다"라는 사실만 증명할 수 있어요. 마치 바에 들어갈 때 신분증 전체를 보여주는 게 아니라, "이 사람은 성인입니다"라는 도장만 찍힌 카드를 보여주는 것과 비슷해요.

EU 참조 구현은 Apache 2.0/EUPL 라이선스로 오픈소스 공개되어 있고, 비상업적 프로젝트에는 비용이 0이에요. 2025년 10월에 두 번째 버전이 공개됐고, 5개 회원국(덴마크, 그리스, 스페인, 프랑스, 이탈리아)에서 파일럿 운영 중이에요.

물론 EU 접근법에도 한계는 있어요. 지갑 앱이 구글 플레이 서비스나 iOS에 의존하기 때문에 GrapheneOS 같은 프라이버시 중심 배포판에서는 작동하지 않아요. 그리고 ZKP는 암호학적 메커니즘이지 신뢰 아키텍처가 아니에요. 자격 발급자와 검증자가 공모하면 활동 추적이 가능해요.

그래도 구조적 차이는 분명해요.

같은 "아이를 지키자"는 목표인데, 하나는 증명 아키텍처를, 다른 하나는 감시 인프라를 만들고 있어요.

오스왈드의 시선

솔직히 이야기하면, 저는 이 이슈를 보면서 기술 문제보다 추상화의 오류가 더 걱정돼요.

원문 블로그의 저자가 정확히 짚었는데요. 이 논쟁의 핵심적 실수는 콘텐츠 모더레이션과 보호자 역할(guardianship)을 혼동하는 거예요. 콘텐츠 모더레이션은 "이 콘텐츠를 차단할 것인가"라는 분류 문제예요. 보호자 역할은 "우리 아이에게 이게 적절한가, 언제 예외를 허용할 것인가"라는 맥락적 판단이에요. 전자는 기술로 어느 정도 풀 수 있지만, 후자는 본질적으로 관계적이고 상황적이에요.

GTM 전략을 수립하면서 수없이 봐왔던 패턴이 하나 있어요. 복잡한 사회적 문제를 기술적 솔루션 하나로 포장해서 파는 것. 연령인증법이 정확히 이 패턴이에요. "아이들이 위험하다" → "신원을 확인하면 된다" → "운영체제에 API를 만들어라." 이 논리 체인에서 빠진 건 실제로 피해가 발생하는 지점에 대한 분석이에요. 우리나라에서도 사실 이렇게 시작된게 게임 셧다운제였잖아요. 

아이들에게 해를 끼치는 건 콘텐츠의 존재 자체가 아니에요. 추천 알고리즘, 다크 패턴^[4]​, 중독적 지표, 증폭에 보상하는 비즈니스 모델이에요. 그런데 이 법들은 추천 알고리즘을 규제하지 않아요. 다크 패턴을 금지하지 않아요. 대신 운영체제에 나이 확인 API를 만들라고 해요.

그리고 한 번 구축된 인프라는 원래 목적에만 쓰이는 법이 없어요. 나이를 위해 만들어진 인프라는 위치, 시민권, 법적 지위, 플랫폼 정책 — 다음 공포가 요구하는 무엇이든 — 으로 확장될 수 있어요. 이것이 제한된 확인(check)이 범용적 관문(gate)으로 변하는 방식이에요. 저는 부모이기도 한 원문 저자의 말에 동의해요. 아이들은 보호가 필요해요. 하지만 인터넷에 허가 시스템이 필요한 건 아니에요.

마치며

첫째, 미국의 연령인증법은 아동 보호를 명분으로 하지만, 기술적 실체는 OS 수준의 상시 신원확인 인프라 구축이에요. 한 번 구축되면 용도가 나이에만 머물지 않을 가능성이 높아요.

둘째, 이 법안들의 상당수 뒤에는 Meta의 조직적 로비가 있으며, 법안 설계상 소셜미디어 플랫폼은 규제에서 빠져 있어요. 아동 피해가 실제로 발생하는 지점을 규제하지 않는 아동 보호법은 그 이름값을 하기 어려워요.

셋째, EU는 같은 문제에 대해 프라이버시 보존형 접근(ZKP + 오픈소스 + 플랫폼 중심 규제)을 택했어요. 완벽하지는 않지만, 적어도 "모든 사람의 나이를 운영체제에 새기자"는 접근과는 근본적으로 다른 설계예요.

이 주제가 더 궁금하시다면, 아래 참고자료 중 GitHub의 OSINT 조사 리포지토리를 직접 살펴보시길 추천해요. 모든 주장에 원본 공개 기록이 링크되어 있어요. 다음 뉴스레터에서는 이 구조의 다른 면 — AI 시대에 개인정보 보호와 편의성 사이의 설계 선택에 대해 이야기해 볼게요.

참고자료 & 더 읽기

핵심 출처

배경 지식

필자 안광섭은 세종대학교 경영학과 교수이자 OBF(Oswarld Boutique Consulting Firm) 리드 컨설턴트이다. 대학에서 경영데이터 관리, 비즈니스 애널리틱스 등 데이터 분석을 가르치는 한편, 현장에서는 GTM 전략과 인공지능 전략 컨설팅을 이끌며 기술과 비즈니스의 접점을 설계하고 있다. AI 대화 시스템의 기억 아키텍처(HEMA) 연구로 학술 논문을 발표했으며, 매일 글로벌 AI 논문을 큐레이션하는 Daily Arxiv 프로젝트를 운영하고 있다. 고려대학교 KBMA와 기술경영전문대 석사과정을 졸업했다. 지은 책으로 《생각을 맡기는 사람들: 호모 브레인리스》가 있다.