EU 연령인증 앱이 디지털 신분증 도입의 트로이 목마
원제: EU Age Control: The trojan horse for digital IDs
왜 중요한가
개인정보 보호를 표방하는 EU 연령인증 시스템의 실제 취약점과 디지털 ID 인프라 구축 의도가 드러나 규제 정책의 진정한 목적에 대한 논의가 필요하다.
EU 연령 인증 시스템의 기술적 분석 결과, 마케팅과 실제 암호화 기술 간 격차, 프로토콜이 막을 수 없는 중계 공격, 개인정보 보호를 표방하지만 실제로는 디지털 신분증 인프라 구축을 위한 트로이 목마 역할을 한다는 우려가 제기됐다.
EU의 연령 인증 참조 앱에 대한 기술적 분석에서 개인정보 보호를 표방하는 시스템의 실제 문제점들이 드러났다. 첫째, DSA 폴백 메커니즘으로 인해 플랫폼이 개인정보 보호 지갑 대신 일반 KYC 제공업체를 사용할 수 있다. 둘째, Google과 Apple이 시스템을 사용할 수 있는 휴대폰에서 실행되는 소프트웨어를 결정하는 증명 잠금 문제가 있다. 셋째, 시스템 자체가 광고된 것보다 취약하다. 참조 앱이 실제로 제공하는 암호화는 마케팅에서 설명하는 것과 다르며, 연결 불가능성은 수학이 아닌 지갑 동작에 의존하고, 프로토콜이 막을 수 없는 중계 공격이 존재한다. 2025년 5월 12일 README에 회원국들이 구축해야 할 '연령 확인 솔루션 툴박스'라는 면책조항이 추가됐고, 7월 31일에는 국가들이 적응할 수 있는 화이트라벨 참조라는 표현이 추가되면서 동시에 초기 프로덕션 비적합 면책조항이 삭제됐다.