유럽 디지털 ID 지갑, 구글·애플에 독점권 제공

원제: European digital ID wallets are a gift to Google and Apple

왜 중요한가

EU의 반독점 정책과 배치되게 공공 디지털 인프라가 민간 기업 독점을 강화하는 구조적 문제를 드러내며, 정부 기술 정책의 독립성과 상호운용성 원칙 재검토를 촉구한다.

유럽 정부들이 시민용 디지털 신원 지갑을 도입하면서 구글의 Play Integrity API와 애플의 Managed Device Attestation 같은 민간 기업 보안 서비스에 의존하고 있다. 이는 공공 인프라에 민간 기업 통제를 내장하는 문제를 야기한다.

유럽 정부들이 시민 신원 확인과 온라인 나이 검증에 사용할 디지털 ID 지갑을 도입 중이다. 그러나 네덜란드와 이탈리아 등 유럽 회원국 지갑 개발자들이 구글의 Play Integrity API를 구현함으로써 심각한 문제가 발생했다.

Play Integrity API는 개발자가 앱이 "정품 인증 안드로이드 기기"에서 실행되는지 확인하도록 설계된 무료 보안 도구다. 봇 악용, 은행 안 사기, 게임 부정행위를 줄이는 데 도움이 된다. 그러나 이 API는 구글 라이선스 버전의 안드로이드 실행 여부를 확인하며, 라이선스를 받지 않은 대체 OS를 보안 위험으로 간주한다.

더 큰 문제는 이 안전 서비스가 구글 플레이 스토어를 검증 기준으로 삼고, 구글 계정 로그인을 요구하며, 라이선스 없는 OS를 제외한다는 점이다. 이는 EU의 디지털 시장법(DMA) 위반이다.

오픈 소스 대안으로 안드로이드의 Hardware Attestation API가 존재하지만 무시당하고 있다. 이는 구글의 생태계 정책을 강제하지 않으면서도 하드웨어 기반 보안을 제공한다.

e/OS와 GrapheneOS 같은 구글 비종속 OS 사용자들은 이들 지갑 서비스에 접근할 수 없게 된다. 결과적으로 정부가 민간 기업 정책의 집행자가 되는 모순이 발생한다. ID 지갑은 공공 서비스 접근의 핵심 수단이므로 공개성, 포용성, 기술 주권 등 공공 가치에 기반해야 한다.

출처

waag.org — 원문 읽기 →