규제 기관, 집행 조치 강화를 통해 플랫폼에 경고장 날리다

 

작성자: Joel R. McConvey

보도일자: 2025년 10월 14일

출처: Biometricupdate.com

 

이제 곧 할로윈(Halloween)이 다가온다. 즉, ‘부기맨(boogeyman)’이 당신을 잡으러 오는 때다 – 올해 특히 그렇다. 당신이 온라인 플랫폼(online platform)이라면, 당신이 마주할 괴물은 다름 아닌 글로벌 온라인 안전 규제(global online safety regulation)다. 올해는 EU와 영국의 규제 당국(regulators)이 사냥에 나섰다. 새롭게 제정된 법률을 위반하는 플랫폼들을 찾아내어, 그들에게 징계성 벌금(disciplinary fines)이라는 ‘주문(hex)’을 걸기 위해서다.

 

EU 집행위원회, 거시·미시 단위 집행팀 투입

유럽연합 집행위원회(European Commission, EC)는 디지털서비스법(Digital Services Act, DSA)에 따라 아동과 청소년을 온라인 위험으로부터 보호하기 위한 추가 조치를 시행했다고 발표했다.

 

보도자료에 따르면, “우선, 집행위원회는 Snapchat, YouTube, Apple App Store, Google Play에 정보 요청서(information requests)를 발송해, 이들 기업이 자사 서비스에서 미성년자를 보호하기 위해 어떤 조치를 시행하고 있는지를 파악하려 한다”고 밝혔다. 이는 2025년 7월 ‘미성년자 보호 지침(Guidelines on the Protection of Minors)’ 채택 이후, EC가 취한 첫 공식 조사 단계(first investigatory steps)다.

 

한편, EC가 주요 글로벌 플랫폼들을 조사하는 동안, 유럽 디지털서비스위원회(European Board for Digital Services) 산하의 미성년자 보호 작업반(Working Group for the Protection of Minors)은 “소규모 온라인 플랫폼(small online platforms)이 DSA를 준수하도록 보장하기 위해, 관할 당국(competent authorities)과 협력해 집행 조치를 취하기로 합의했다”고 덧붙였다.

 

이번 투트랙(two-pronged) 접근 방식을 통해, 유럽연합 집행위원회(EC)는 집행(enforcement)을 전담할 특별 부서(special units)를 구성하고 있다. 이를 통해 공동 도구(common tools)를 개발·공유함으로써, EU 전역에서의 일관된 집행(consistency across the EU)을 보장할 수 있게 된다.

 

집행 활동과 병행하여, EC는 EU 통합 연령 검증 솔루션(EU age verification solution)의 두 번째 청사진(second blueprint)도 발표했다. 해당 문서에는 다음과 같은 내용이 포함되어 있다. “여권(passport)과 신분증(identity card)을 사용자 등록(onboarding) 수단으로 활용하고, 디지털 자격 증명 API(Digital Credentials API)에 대한 지원을 추가한다.” 또한 EC는 소셜미디어 서비스에서 미성년자가 안전하게 온라인을 이용할 수 있도록(safe online experience for minors on social media) 가장 적절한 접근 방식을 모색하기 위한 자문위원회(advisory panel)를 설립할 계획이라고 밝혔다.

 

오프콤, 4chan에 2만 파운드 벌금 – 첫 제재의 이빨을 드러내다

영국 통신청(Ofcom)이 발표한 최신 업데이트에 따르면, 해당 기관은 2025년 3월, 온라인 안전 규범(online safety codes)이 처음으로 시행된 이후 여러 집행 조치(enforcement moves)를 적극적으로 추진해왔다. 그 기간 동안 오프콤은

• 5건의 집행 프로그램(enforcement programmes)을 개시하고,
• 69개 웹사이트와 앱의 서비스 제공자를 대상으로 21건의 조사(investigation)를 착수했다.

 

이 가운데 11건의 조사 결과가 이번 10월 업데이트 보고서에 포함되었다. 그 내용에는 다음과 같은 주요 사안이 포함된다.

• 아동 성착취물(CSAM, Child Sexual Abuse Material) 유통 차단,
• 영국 이용자의 접근을 제한하려는 서비스에 대한 모니터링,
• 그리고 법적 구속력이 있는 정보 요청(legally-binding information request)을 무시하는 서비스 제공자 단속(clamping down)

등이다.

 

특히 마지막 조치는 악명 높은 온라인 포럼 ‘4chan’을 겨냥하고 있어, 영국-미국 간 규제 갈등(transatlantic discord)을 더욱 심화시킬 가능성이 있다. 4chan은 이미 오프콤에 미국 수정헌법 제1조(First Amendment) 위반을 주장하며 공식 법적 항의서(inflammatory legal notice)를 발송한 바 있다.

 

4chan은 오프콤과의 협조에 전혀 관심이 없는 것처럼 보인다. 해당 플랫폼은 오프콤이 요청한

• 불법 유해물 위험 평가(illegal harms risk assessment) 보고서 사본
• 전 세계 매출(qualifying worldwide revenue) 관련 정보

를 제출하라는 요구를 공식적으로 거부했다. 이에 대해 오프콤은 4chan에 2만 파운드(약 2만6,645달러)의 벌금을 부과했으며, 10월 14일부터는 “60일간 또는 4chan이 해당 정보를 제출할 때까지, 하루당 100파운드(약 130달러)의 일일 벌금(daily penalty)을 추가 부과하겠다”고 밝혔다.

 

이러한 ‘협조 거부 사례(similar failures)’에는 파일 공유 서비스 Im.ge, 그리고 성인 콘텐츠 서비스 제공업체 AVS Group Ltd.도 포함된다. 특히 AVS Group Ltd.는 “아동이 음란물에 노출되는 것을 방지하기 위해 효과적인 연령 확인(Highly effective age checks)을 시행할 의무를 다하지 않았다”는 이유로 오프콤의 직접적인 조사 대상(crosshairs)에 올랐다.

 

또한 Youngtek Solutions Ltd. 역시 같은 사유로 성인 콘텐츠 서비스 운영과 관련된 조사 범위(scope of investigation)가 확대되면서 다음 제재 대상으로 지목될 가능성이 있다.

 

아동 성착취물(CSAM, Child Sexual Abuse Material) 관련 조사에서, 오프콤이 집중하고 있는 대상은 불법 콘텐츠가 유통되는 파일 공유 서비스(file sharing services) 들이다. 그 예로 Krakenfiles, Nippydrive, Nippyshare, Nippyspace 등이 포함된다. 오프콤은 일부 서비스가 영국 IP 주소를 완전히 차단(geoblocking UK IP addresses outright) 함으로써 비준수 위험(noncompliance risk)을 피하는 방식을 택했다고 밝혔다. “이 조치는 영국 내 이용자들이 불법적이거나 유해한 콘텐츠에 노출될 가능성을 상당히 낮추었다(significantly reduced the likelihood),”라고 오프콤은 설명하며, 이로 인해 일시적으로 제재 압박을 완화할 수 있다(take the pressure off)고 덧붙였다.

 

한편, Nippybox와 Yolobit에 대한 조사는 계속 진행 중(continue)이다. 또한 자살을 조장하는 포럼(a forum promoting suicide) 역시 오프콤의 조치에 대응하여 영국 IP 차단(geoblocking)을 시행했지만, “이 포럼은 여전히 오프콤의 감시 목록(Watchlist)에 남아 있으며, 차단이 유지되고 있는지, 그리고 영국 이용자에게 이를 우회하라고 조장하거나 안내하지 않는지를 확인하기 위해 조사를 계속 진행 중이다.”

 

한편 오프콤은 1Fichier.com과 Gofile.io 등 두 개의 파일 공유 서비스에서 중대한 규정 준수 문제(serious compliance concerns)를 확인했다고 밝혔다. 이에 따라 두 서비스 모두 오프콤의 집행 조치(enforcement activity)에 대응하여 지각적 해시 매칭 기술(perceptual hash-matching technology)을 도입했다. 이 기술은 “불법 아동 성착취물(CSAM)을 탐지하고, 확산되기 전에 신속히 삭제할 수 있는 강력한 자동화 도구(a powerful automated tool)”이라고 오프콤은 설명했다.

 

“이 기술은 오프콤의 불법 유해물 코드(illegal harms Codes)에 명시된 핵심 안전 조치 중 하나이며, 해당 기술의 도입은 온라인에서 이러한 악성 콘텐츠(egregious material)의 확산 가능성을 줄이는 데 있어 중대한 진전(significant step forward)을 의미한다.”

 

메타 내부고발자 “인스타그램의 청소년 계정, 아동 보호 기능 미흡”

파일 공유 서비스나 극단적 자살 포럼(fringe death cults)과 맞서는 일도 쉽지 않지만, 실리콘밸리(Silicon Valley)의 거대 플랫폼에 책임을 묻는 것은 그보다 훨씬 더 큰 과제다. 그럼에도 불구하고, 이에 도전하는 이들이 있다. 메타(Meta)의 내부고발자 아르투로 베하르(Arturo Béjar)와 몰리 로즈 재단(Molly Rose Foundation), 페어플레이(Fairplay), ParentsSOS, 그리고 사이버시큐리티 포 디모크라시(Cybersecurity for Democracy)가 공동으로 진행한 새로운 연구는 메타가 인스타그램(Instagram)의 ‘청소년 계정(Teen Accounts)’ 자동 설정 기능에 대해 거짓말을 하고 있다고 주장했다. 보고서는 해당 기능이 “메타의 홍보(PR) 주장과 달리, 청소년을 안전하게 보호하는 데 완전히 실패하고 있다(abjectly failing to keep young people safe)”고 지적했다.

 

영국의 인터넷 안전 캠페인 단체인 몰리 로즈 재단은 성명을 통해, 인스타그램의 청소년 보호 기능 목록(teen safety features)을 체계적으로 검토한 결과, “5개 중 1개 미만만이 완전하게 작동하고, 전체의 64%(3분의 2 이상)가 사실상 비효율적이거나 이미 삭제된 상태”라고 밝혔다.

 

조사 결과에 따르면, 청소년 계정 사용자들(Teen Accounts users)은 자살(suicide), 자해(self-harm), 섭식장애(eating disorders)를 조장하는 콘텐츠에 접근할 수 있으며, 심지어 그러한 게시물을 찾을 수 있는 자동완성 추천(autocomplete suggestions)까지 제공받고 있었다. 메시징 기능 또한 “극도로 불쾌하고 여성혐오적(grossly offensive and misogynistic)”인 콘텐츠를 제대로 차단하지 못하고 있으며, 무엇보다 심각한 문제는 다음과 같다. “인스타그램의 알고리즘(algorithm)이 13세 미만 아동(children under 13)에게 ‘좋아요(likes)’와 ‘조회수(views)’를 얻기 위해 성적으로 위험한 행동(risky sexualized behaviours)을 하도록 부추기고, 성인 사용자들로부터 성적 댓글(highly sexualized comments)을 유도하는 게시물을 올리게 만든다.”

 

이번 보고서는 인스타그램의 청소년 계정(Teen Accounts) 프로그램에 활용되고 있는 요티(Yoti)의 생체 얼굴 기반 연령 추정 기술(biometric facial age estimation)을 직접적으로 언급하지는 않았다. 대신, 연구팀은 메타(Meta)의 정책에 명시된 47개의 안전 도구(safety tools)를 분석하여 각각을 다음과 같이 평가했다.

• 30개: ‘적색(red)’ – 존재하지 않거나 비효율적(non-existent or ineffective)
• 9개: ‘황색(yellow)’ – 어느 정도 해를 줄이지만 한계가 있음(reduced harm but limited)
• 8개: ‘녹색(green)’ – 완전하게 기능함(fully functional)

 

이 중 연령 확인(age verification) 기능은 “인스타그램에서 연령을 확인하는 새로운 방식들 – 예를 들어, 개인 정보를 보호하는 셀피 영상 기반의 검증 방식(privacy-reserving selfie videos)”이라는 설명과 함께 ‘황색(yellow)’ 등급을 받았다.

 

보고서는 다음과 같이 평가했다. “청소년 계정(Teen Account)에서 나이를 수정하려 하면 연령 검증(Age assurance)이 작동한다.” 그러나 “13세 미만으로 의심되는 사용자를 신고하는 것은 극도로 어렵다. 신고 절차가 복잡하고 길며(complicated and extended), 의도적으로 마찰(friction by design)이 존재하도록 설계되어 있다.”

 

메타, “의지만 있다면 연령 확인 문제 해결 가능” – 보고서

결국 『청소년 계정, 깨진 약속들: 인스타그램은 어떻게 미성년자를 보호하지 못하고 있는가(Teen Accounts, Broken Promises: How Instagram is Failing to Protect Minors)』 보고서의 핵심은 메타의 기술력이 아니라 그 의도(intention)에 있다. 연구 결과에 따르면, “인스타그램 자체의 디자인 요소들이 자사 안전 도구의 효과를 스스로 약화시키고 있다(Instagram’s own design features undermine the effectiveness of their own safety tools).” 즉, 메타의 홍보(PR) 캠페인은 겉모습만 그럴듯할 뿐(style over substance), 실질적 내용(substance)은 거의 없다는 의미다.

 

보고서의 저자이자 메타 내부고발자인 아르투로 베하르(Arturo Béjar)는 이렇게 말했다. “메타는 청소년 계정(Teen Accounts)에 대해 일관되게 공허한 약속을 해왔다. 인스타그램이 청소년을 민감하거나 유해한 콘텐츠로부터 보호하고, 부적절한 접촉이나 해로운 상호작용을 차단하며, 부모가 자녀의 이용을 통제할 수 있도록 돕는다고 주장하며 부모들에게 심리적 안도감(peace of mind)을 ‘의도적으로’ 제공해왔다.”

 

그는 이어서 강조했다. “부모들은 알아야 한다. 청소년 계정(Teen Accounts)이라는 쇼는 깨진 약속(broken promises) 위에 세워져 있다. 13세 미만을 포함한 아이들은 인스타그램에서 안전하지 않다. 이것은 단순히 ‘인터넷상의 유해 콘텐츠 문제’가 아니라 무책임한 제품 설계(careless product design)의 문제다.”

 

보고서는 미국 의회(U.S. Congress)에 아동 온라인 안전법(Kids Online Safety Act, KOSA)의 통과를 촉구하고 있다. 몰리 로즈 재단(Molly Rose Foundation)의 의장이자, 딸 몰리(Molly)의 자살을 계기로 해당 재단을 설립한 이안 러셀(Ian Russell)은 서문에서 이렇게 말했다. “메타는 수차례에 걸쳐 절대로 신뢰할 수 없는 기업임을 스스로 증명했다. 앞으로 더 많은 비극이 반복되지 않도록 하려면, 실질적인 규제(real regulation)가 필요하다. 미국에서는 그것이 바로 ‘아동 온라인 안전법(KOSA)’의 통과를 의미한다. 이 법은 소셜미디어 기업이 자사 플랫폼의 설계로 인해 청소년에게 발생하는 피해를 예방(prevent)하고 완화(mitigate)하도록 요구한다.” 그는 이어 영국의 상황에 대해서도 덧붙였다. “영국의 경우, 이미 존재하는 온라인 안전법(Online Safety Act)을 더욱 강화해, 기업들이 ‘안전한 설계(Safe by Design)’를 의무화하고, 그들의 플랫폼이 초래하는 피해를 체계적으로 줄이도록(compel companies to systematically reduce harm) 해야 한다.”

 

페어플레이(Fairplay)의 전무이사 조시 골린(Josh Golin) 역시 같은 입장을 보였다. “이제는 더 이상 미룰 수 없다. (Enough is enough.) 의회는 초당적 법안인 ‘아동 온라인 안전법(KOSA)’을 즉시 통과시켜야 하며, 연방거래위원회(FTC)는 메타가 부모와 청소년을 기만한 행위에 대해 반드시 책임을 물어야 한다(hold Meta accountable).”