유럽 디지털 신분증 지갑, 구글·애플 보안 서비스 의존
원제: European digital ID wallets rely on safety services of Google and Apple
왜 중요한가
공공 디지털 인프라가 민간 기술 기업의 플랫폼 정책에 종속되는 문제를 드러내며, 정부의 기술 자립성과 규제 일관성에 관한 핵심 과제를 제시한다.
유럽 정부들이 시민들이 공공 서비스를 이용하고 나이를 온라인으로 인증하는 데 쓸 디지털 신분증 지갑을 배포하고 있으나, 구글의 Play Integrity API와 애플의 Managed Device Attestation 같은 민간 기업의 보안 서비스에 의존하고 있다는 문제가 제기됐다.
유럽연합의 디지털 신분증 지갑 프로젝트가 구글과 애플의 보안 서비스에 의존함으로써 공공 인프라를 민간 기업에 종속시키는 문제를 드러냈다. 구글의 Play Integrity API는 앱 개발자들이 장치 무결성을 검증하도록 지원하지만, 동시에 Google Play Store를 통한 설치를 강제하고 Google 라이선스 Android만을 인정하며 Google 계정 로그인을 요구한다. 이는 디지털 시장법(DMA) 위반에 해당한다. 네덜란드와 이탈리아의 지갑 개발자들이 Play Integrity를 구현하면서 e/OS, GrapheneOS 등 Google 소프트웨어가 없는 운영 체제 사용자들은 공공 서비스에 접근할 수 없게 된다. 대안으로 Android의 Hardware Attestation API가 존재하지만 무시되고 있으며, 이는 하드웨어 기반 보안 검증을 제공하면서 Google의 생태계 정책을 강제하지 않는다. EU가 빅테크 독점 해체를 주장하면서도 정부 디지털 신분증 지갑에 Google Play Integrity API를 내장함으로써 오히려 Google의 독점을 강화하고 있다. 이는 공개성, 포용성, 기술 주권을 기반으로 하는 디지털 공공 인프라 구축이라는 EU의 목표와 상충된다.