보고서, ‘13세 이상’ 기준 문제 지적… 기술은 빠르게 발전 중

 

작성자: Joel R. McConvey

보도일자: 2025년 9월 3일

출처: Biometricupdate.com

 

호주의 연령 보장 기술 시험(Age Assurance Technology Trial)이 최종 보고서를 공개했다. 주최 측은 이번 결과를 특정 연령 인증 기술에 대한 권고라기보다는, 무엇이 가능한지를 검토한 과정으로 신중히 설명하고 있지만, 보고서 속에는 뚜렷한 ‘승자들’이 존재한다.

 

보고서는 연령 보장 기술을 제공하는 방식에 따라 기업들을 평가했다. 연령 보장 기술은 크게 두 가지 생체인식 방식으로 나뉘는데, 하나는 연령 검증(age verification), 다른 하나는 연령 추정(age estimation)이다. 이 중 연령 검증 기술이 상대적으로 더 오래된 방식이다. 일부 기업들은 이 두 방식을 동시에 제공하기도 한다.

 

연령 검증 기술 업체들, ‘프라이버시 보호에 강한 의지’ 보여줘

연령 검증 부문에는 총 29개으 업체가 시험에 참여했으며, 이 중 21개 업체는 기술성숙도(Technology Readiness Level) 기준 8~9단계에 해당하는 것으로 평가되었다. 참여 기업에는 Australian Payments Plus와 같은 연합체, 정부 기관인 Austroads, 그리고 VerifyMy, AgeChecked, IDVerse, GBG, iProov, Yoti, Persona, Trust Stamp, Luciditi, Private ID 등 익숙한 주요 업체들이 다수 포함되어 있다. 이 중 DigiCheck와 Australian Payments Plus가 운영하는 ConnectID는, 자사 정책과 실제 운영 기준 간의 일관된 프라이버시 보호 조치로 긍정적인 평가를 받았다. 또한 Yoti는 “가장 프라이버시 중심적인 플랫폼 중 하나”로 꼽혔다.

 

(참고로, 구글(Google)은 상위권에 포함되지 않았다. 초기부터 구글은 주요 변수로 작용하지 않을 것이라는 예상이 있었던 점도 주목할 만하다.)

 

보고서에서는 다음과 같이 평가하고 있다: “독립적인 연령 검증 서비스 제공업체들은 프라이버시 중심 설계, 데이터 최소화, 그리고 안전한 데이터 처리 방식 등에서 강력하고 일관된 의지를 보여주었다.”

 

이러한 프라이버시 보호 관행은 기술 아키텍처 수준에서부터 제공업체의 내부 정책에 이르기까지 전반적으로 적용되어 있으며, 이는 연령 보장 시스템에 대한 국제 표준으로 부상 중인 ISO/IEC FDIS 27566-1의 원칙과 요건과도 긴밀히 부합한다.

 

하지만 모든 것이 순탄한 것만은 아니다. 보고서는 다음과 같은 점을 분명히 인정하고 있다: “호주 내 많은 퍼스트 네이션(First Nations) 커뮤니티들이 지속적으로 겪고 있는 디지털 신원 및 인프라 격차 문제를 고려할 때, 모두가 평등하게 연령 검증 서비스를 이용할 수 있도록 하는 데에는 특별한 주의가 필요하다.” 또한 개선의 여지는 존재한다. 보다 정확히 말하면, “기술적 발전의 가능성과 함께, 신뢰할 수 있는 데이터 접근성과 관련된 위험 관리 방식 개선을 위한 여지도 있다”고 보고서는 언급한다.

 

“효과적인 연령 검증은 단순히 기술적 처리에만 의존하는 것이 아니라, 생년월일을 검증하는 데 사용되는 데이터의 진위성, 정확성, 그리고 시의성에 달려 있다.”

 

이에 따라, 보고서에서는 다음과 같은 요청도 함께 제기된다: 데이터 보관, 금지된 관행, 그리고 수사기관이나 검시 당국이 합법적으로 데이터 접근을 요청할 수 있는 조건 등 주요 이슈에 대해 명확한 규제 또는 법적 지침이 필요하다는 것이다.

 

빠르게 진화하는 기술, 더 정교한 연령 추정 이끈다

연령 추정(age estimation) 시험에는 총 13개의 기업이 참여했다. 이 중 기술성숙도 수준(TRL) 9으로 평가된 업체는 다음과 같다:

• Yoti: “완전히 배포되었고, 실제 환경에서 테스트 완료됨”
• Unissey: “다양한 기기에서 완전히 통합 및 테스트 완료, 배포 준비 완료”
• Privatley: “완전한 온디바이스 시스템, 테스트 및 인증 완료, 데이터 전송 없음”
• VerifyMy: “인증 완료된 유연한 아키텍처, 실제 서비스 배포 사례 보유”
• Luciditi: “상용 배포 확인, 잘 통합된 예외 처리(fallback) 방식 포함”

 

TRL 8 수준으로 평가된 업체에는 Reddit의 얼굴 기반 연령 추정을 제공하는 Persona, 손동작 기반 연령 추정 기술을 보유한 스타트업 Needemand 등이 포함되어 있다. 단, 기술성숙도는 실제 서비스 배포 여부가 중요한 평가 요소이기도 하며, 이 두 업체는 최근 발효된 영국 온라인 안전법(UK Online Safety Act) 시행 이후 고객사 확보에 성공한 상태다.

 

더불어, 연령 추정 기술은 대규모 데이터에 기반한 머신러닝 모델에 크게 의존하고 있기 때문에, 알고리즘 기술의 급속한 발전은 도구의 성능 향상 속도에도 그대로 반영되고 있다. 훈련 데이터는 점점 더 정교하고 다양해지고 있으며, 이로 인해 연령, 성별, 인종 간 형평성을 높인 기능 개선이 이뤄지고 있다. 신경망 모델은 점점 더 작고 빠르게 진화하고 있다.

 

보고서에 따르면, “기술 제공업체들은 피드백과 모델 업데이트를 통해 정기적으로 알고리즘을 개선하고 있으며, 특히 정책상 중요한 기준 연령(예: 만 13세 또는 18세)에서의 정확도 향상 및 오류 감소에 집중하고 있다”고 밝혔다.

 

보고서, 연령 추정에 있어 ‘완충 기준값’의 중요성 강조

연령 추정 기술에 대해 자주 제기되는 비판 중 하나는, 추정값이 특정 연령이 아닌 ‘범위’로 나타나는 경우가 많아, 실제로는 허용되어야 할 사용자까지도 차단할 수 있다는 점이다. 예를 들어, 어떤 연령 추정 도구가 사용자 나이를 13세에서 17세 사이로 추정한다면, 16세 이상만 허용하는 플랫폼에서는 이를 정확히 판단하기 어렵다. 『The Conversation』의 한 논평에 따르면, 이는 곧 “13세 또는 14세 사용자가 16세로 잘못 추정되어 플랫폼에 접근하게 될 수 있고, 반대로 16세나 17세 청소년이 미성년으로 분류되어 차단당할 수도 있다”는 문제를 의미한다.

 

이번 보고서에서도 이러한 연령 추정 기술의 한계를 회피하지 않고 인정하며, “연령 추정에는 본질적인 불확실성이 존재하기 때문에 ‘완충 기준값(buffer threshold)’ 설정이 중요하다”고 명시했다. 결국, 연령 추정은 어디까지나 ‘추정’이기 때문이다.

 

보고서는 다음과 같이 설명한다: “연령 기준선(age gate)을 기준으로 양쪽으로 약 2~3년 이내의 범위는 ‘회색 지대(grey zone)’에 해당하며, 이 구간에서는 시스템의 불확실성이 가장 크다.” 다만, 모델은 “보통 기준선 주변(예: 17.8세와 18.2세를 구분하는 경우)에 가장 큰 불확실성을 보이지만, 기준선에서 멀어질수록 정확도는 점점 향상된다”고 덧붙였다. 따라서, 보고서는 다음과 같은 결론을 내린다: “합리적인 범위의 완충값을 설정하면, 그 바깥에서는 오판 가능성이 사실상 0에 수렴한다.”

 

즉, 사용자가 만 18세 이상임을 확실히 보장하고 싶다면, 완충 기준값(buffer threshold)을 만 21세로 설정해야 할 가능성이 높다는 뜻이다.

 

이번 시험 역시 ‘13세 이상(13+)’ 연령 기준선에서의 기존 문제를 인정하고 있다. 보고서는 다음과 같이 밝히고 있다: “13+ 기준에서 시스템은 13세, 14세, 15세 사용자에 대해 일관되게 낮은 성능을 보였다. 이 연령대에서의 오탐률(False Negative Rate, FNR)은 13세가 22%, 15세가 6%로, 상당수의 적격 사용자가 차단되었다.”

 

또한, “13+ 기준을 적용한 모든 시스템에서, 16세 이상 사용자에 대해서만 총합 기준 TPR(정탐률)이 95%를 넘겼다. 이는 곧, 95% 정확도를 인증 기준으로 삼는다면, 이용 플랫폼(검증 요청자)은 보수적인 완충값을 설정해야 하며, 시스템이 사용자를 최소 16세 이상으로 추정할 경우에만 접근을 허용해야 한다는 것을 의미한다.

 

마지막으로 보고서는 인구통계학적 특성에 따른 성능 격차 문제도 여전히 존재한다고 지적한다. 즉,

• 피부색이 더 짙은 사용자나
• 16세에서 20세 사이 연령대에 대해 오탐률(Fake Positive)이 높았으며,
• 성별 표현(gender presentation)이나 조명 조건(lighting conditions)에 따른 모델 출력의 변동성도 관찰되었다.
• 또한, 형평성(fairness) 기준이나 편향 완화 전략의 적용이 여전히 제한적이라는 점도 함께 언급되었다.

 

보고서, 연령 확인 기술의 다음 단계 논의·개발 위한 기반 마련

이번 시험을 통해 얻은 가장 중요한 메시지는, 두 기술 모두 구현이 가능하다는 점이다. 다만, 현 시점에서의 핵심적인 교훈은 ‘위험 수준’을 반드시 고려해야 한다는 것이다. 위험도가 높은 사용 사례의 경우, 연령 검증(age verification) 기술이 보다 적합한 도구이며, 한편 연령 추정(age estimation)은 비교적 위험도가 낮은 상황에서 효과적으로 활용될 수 있다. 비록 아직 완벽하진 않지만, 이를 뒷받침하는 핵심 기술은 날이 갈수록 더 강력하고 정밀해지고 있다.

 

이번 AATT(호주 연령 보장 기술 시험)은 연령 인증 기술에 대한 방대한 정보와 데이터를 축적해냈다. 여러 측면에서, 이는 특히 연령 추정 기술을 중심으로 한 후속 논의, 피드백, 기술 개선의 출발점이 될 수 있다. 그동안의 시험을 통해 우수 기술 제공업체들은 연령 인증 시장에서 실질적 대안으로서의 입지를 더욱 공고히 했다. 이 시장은 앞으로도 계속 성장할 것으로 보인다.