토큰인가 패스키인가, 정부 주도인가 민간인가 – 연령 증명은 여전히 복잡한 과제로 남아 있다

 

작성자: Joel R. McConvey

보도일자: 2025년 12월 26일

출처: Biometricupdate.com

 

처음에는 재사용 가능한 신원(reusable identity)이라는 개념이 다소 중복적으로 들릴 수도 있다. 애초에 신원이란, 자신이 누구인지를 증명하기 위해 필요할 때마다 참조할 수 있는 안정적인 특성의 집합이 아니겠는가? 그러나 디지털 신원을 구현하려는 과정에서 ‘재사용성’은 보다 구체적이고 기술적인 의미를 갖는다. 이는 특히 연령 인증(age assurance) 영역에서 더욱 그렇다.

 

모델은 다양하지만, 재사용 가능한 연령 확인의 핵심 개념은 한 번만 연령을 검증하면, 그 단일한 검증 결과를 여러 플랫폼과 서비스에 걸쳐 적용할 수 있다는 점이다. 이러한 개념은 상호운용성과 밀접하게 연관되어 있지만, 미묘한 차이도 존재한다. 재사용(re-use)은 사용자가 한 서비스 제공자와 수행한 연령 확인을 다른 웹사이트에서도 신뢰해 사용할 수 있도록 하는 것을 의미한다. 반면, 상호운용성(interoperability)은 서로 독립적으로 운영되는 여러 제공자와의 확인 결과를 다양한 웹사이트에서 활용할 수 있게 하는 것을 뜻한다. 일부 시스템은 사용자의 기기에 저장되는 디지털 토큰을 활용하며, 다른 시스템들은 패스키(passkey) 기반의 디지털 암호화 모델에 기반하고 있다. 기술은 아직 초기 단계에 있고 시장도 열려 있지만, 동시에 표준화와 시험 절차가 점차 그 경계를 형성해 가고 있다.

 

이미 여러 가지 선택지가 등장했으며, 일부 지역에서는 관련 법제가 성숙 단계로 접어들고, 다른 지역에서는 새롭게 뿌리를 내리면서 이 분야는 분명 더 확대될 것이다. 이 시장을 형성하는 요인들은 법률을 넘어, 제공자의 수익 모델, 포르노그래피와 중앙집중적 정부에 대한 사회·문화적 인식, 개인정보 보호와 감시 우려, 청소년 정신 건강 문제 등 다양한 요소를 포괄한다. 단기에서 중기적 관점에서 볼 때, 한 번 연령을 증명하고 그 증명을 반복적으로 사용할 수 있는 능력은 앞으로 매우 유용한 도구가 될 것이다.

 

두 개의 주요 재사용형 연령 확인 프로젝트, 서로를 중심으로 움직이다

현재 재사용 가능한 연령 확인 기술을 제시하고 있는 주체들로는 몇몇 생체인증 기업들과, 제공자 네트워크와 연계된 몇 가지 이니셔티브들이 있다. 리투아니아에 본사를 둔 Ondato는 2024년부터 OnAge라는 제품을 제공해 왔다. 영국 기업 Yoti는 브라우저에 저장되는 연령 증명 토큰인 Yoti Keys를 제공하고 있다. 포르투갈 기업 AgeVerif는 연령 확인 인증 제도(ACCS, Age Check Certification Scheme)를 통해 IEEE 2089.1-2024 표준에 따라 인증된 재사용형 연령 확인을 제공한다고 주장한다. 프랑스 기업 Needemand는 제스처 생체인증과 PIN 코드를 결합한 재사용 모델 BorderAge를 선보였다.

 

Biometric Update에 보낸 이메일에서 Needemand의 최고사업책임자(CBO) 장 미셸 폴리트(Jean Michel Polit)는 BorderAge가 “손 동작을 통한 초기 연령 검증 결과를 재사용 할 수 있게 해주는, 독자적이고 고유한 영지식증명(ZKP) 기반 PIN 코드 기술을 특징으로 하며, 어떠한 개인정보도 사용하지 않고 사생활 보호(프라이빗) 브라우징 환경에서도 ‘지속된다’”고 설명했다.

 

그는 이어 “이는 사용자가 초기 연령 검증 결과를 재사용하기 위해 우리 서비스에 계정을 만들거나 앱을 다운로드할 필요가 없다는 것을 의미한다. 계정 생성이나 앱 설치를 강제 하는 것은 사용자에게 마찰을 추가해 이탈을 초래할 수 있기 때문에, 이는 매우 큰 이점”이라고 덧붙였다.

 

2025년 마지막 분기에는 기존 주체들과 네트워크형 모델에 기반한 두 가지 새로운 이니셔티브가 출범했다. 또 다른 프랑스 기업 Opale.io는 AgeKey라 불리는 시스템을 개발했는데, 이는 패스키(passkey) 기술을 기반으로 하며, 인증 과정에서 기기 내(on-device) 생체인증을 활용한다. 이 회사는 이후 자동화된 규정 준수 및 연령 통제 서비스를 제공하는 싱가포르 본사의 기업 k-ID에 인수되었다. 그 결과 양사는 AgeKey 모델을 기반으로 한 재사용형 연령 증명 시스템인 OpenAge를 출시했으며, 사용자는 단순히 화면 잠금을 해제하는 것만으로 자신의 연령을 증명할 수 있게 되었다.

 

OpenAge가 출시된 지 하루 정도 뒤에는, euCONSENT ASBL 컨소시엄에서 준비해 온 또 다른 프로젝트도 재사용형 연령 확인 서비스를 제공하며 공식 출범했다. AgeAware는 “표준 기반의, 익명화되고 상호운용 가능한 연령 확인 네트워크”로 소개되며, “euCONSENT의 거버넌스 하에서 전 세계 연령 인증 기술 제공자들이 서로의 연령 확인 결과를 인정할 수 있도록 한다”고 설명된다. euCONSENT 프로젝트는 형식상 비영리 조직이지만, 그 구성원에는 Yoti, AgeChecked, VerifyMy와 같은 제공자들과 Age Verification Providers Association이 포함되어 있다.

 

출범 당시에는 두 진영 사이에 영역 침범에 대한 우려로 일정 수준의 긴장감이 존재했다. 그러나 최근 Meta가 OpenAge에 참여했다고 발표한 것은, OpenAge가 사실상의 표준 솔루션으로 자리 잡을 수 있는 충분한 추진력을 확보했음을 시사한다.

 

그러나 출범 발표 이후 추가적인 설명과 조율이 이어졌고, 그 결과는 모든 이해관계자를 고려하는 방향의 해법으로 움직이는 모습이다. 여기에는 지배적인 시스템에 의해 배제되기를 원하지 않는 독립적인 연령 확인 및 연령 추정 제공자들, k-ID와 그 AgeKey 모델, 제공된 서비스에 대해 공정한 보상이 이루어지길 바라는 옹호 단체들, 그리고 애초에 이러한 흐름을 촉발한 규제 당국까지 모두 포함된다.

 

민간 연령 확인·연령 추정·연령 추론 제공자를 대표하는 업계 단체인 연령 인증 제공자 협회(AVPA, Age Verification Providers Association)는, 상호운용성을 연령 확인의 핵심 과제로 규정해 왔다.

 

AVPA의 사무총장 이언 코비(Iain Corby)는 Biometric Update와의 인터뷰에서 다음과 같이 밝혔다. “우리는 정부 발행 디지털 ID와 빅테크(BigTech)에 맞서 경쟁하려면, 최소한 그들만큼은 편리해야 한다는 점을 일찍부터 인식했습니다. 현재 상호운용성을 위한 새로운 선택지를 제시하는 혁신을 환영하며, 앞으로도 이를 적극적으로 옹호할 것입니다.”

 

다만 코비는, 다양한 사이트에 연령 인증 규칙을 신속히 도입하려는 입법 경쟁 속에서 사용자 경험을 우선시해야 한다는 점을 업계가 잊지 말아야 한다고 경고했다. “더 많은 플랫폼이 규제 대상에 포함되거나 기존 법을 준수하기 시작하면서, 연령 확인이 ‘속도만 빠른 쿠키 팝업’ 같은 존재가 되어서는 안 됩니다. 그렇게 되면 결국 대중의 반발을 불러올 것입니다.” 그는 이어 “이를 사전에 막아야 할 책임은 연령 인증 산업에 있으며, 우리는 그 방향에서 매우 의미 있는 진전을 이루고 있다”고 덧붙였다.

 

국가 디지털 신원 체계, 민간 부문 위로 드리우는 그림자

정부가 등장해 이렇게 말하는 듯하다. “우리가 도와주겠다.” 각국이 국가 디지털 신원(ID) 시스템 도입 계획을 추진하고, 인도의 Aadhaar처럼 일부 제도가 핵심 인프라로 자리 잡으면서, 정부 지갑(government wallet)이 연령 인증(age assurance)의 수단이 될 수 있는지에 대한 질문이 제기되고 있다. 동시에 민간 기업들은 자신들이 무력화되거나 주변화 될 수 있다는 우려를 품고 있다.

 

이 문제는 특히 영국에서 민감하게 전개되고 있다. 디지털 신원 및 속성 신뢰 프레임워크(DIATF) 하에서 인증을 받은 기업들이, 끊임없이 바뀌는 정책 결정자들을 상대로 자신들의 입지를 호소해 왔기 때문이다. 최근 Biometric Update Podcast 한 에피소드에서는 영국의 디지털 ID 논쟁이 중심 의제로 다뤄졌는데, 연령 인증 제공자들을 회원으로 둔 디지털 검증 전문가 협회(ADVP)는 DIATF 인증 기업들을 지지하는 입장을 펼쳤고, 반면 토니 블레어 연구소(Tony Blair Institute)는 정부 주도의 디지털 신원을 옹호했다.

 

일각에서는 미성년자의 포르노 사이트 및 소셜미디어 접근을 차단하는 비용을 정부가 부담해야 하는지를 묻는다. 또 다른 이들은 ‘빅 브라더’가 개인의 은밀한 온라인 활동을 추적할 수 있다는 점을 우려한다. 한편 데이터 프라이버시 측면에서 보면, 디지털 플랫폼에 대한 신뢰 역시 크게 높지 않으며, 업계가 프랑스식 이중 블라인드 모델이나 연령 인증 시스템을 규율하기 위한 글로벌 표준의 발전을 아무리 명확히 설명하더라도 의심은 쉽게 사라지지 않고 있다.

 

회원 공유로 얽힌 복잡한 관계

이 전장은 세 개의 진영이 맞서는 구도로 보인다. 정부, 민간 디지털 연령 인증 산업, 그리고 그저 끝없는 스크롤을 하거나 노출 있는 콘텐츠를 보고 싶어 하면서도, 동시에 여섯 살 아이들이 신체 부위의 온갖 활용법(?)을 너무 쉽게 알게 되어서는 안 된다는 점에는 동의하는 일부 인터넷 이용자들이다. 그러나 방법, 구성원, 프레임워크, 목표가 서로 겹쳐 있는 부분이 워낙 많아, 명확한 경계선을 긋기는 어렵다.

 

분명해 보이는 한 가지는, 사람들은 자신이 원하는 콘텐츠에 접근하기 위해 추가적인 절차를 거쳐야 하는 것, 즉 흔히 말하는 ‘마찰(friction)’을 좋아하지 않는다는 점이다. 쿠키 팝업을 눌러야 하는 상황을 즐기는 사람은 단 한 명도 없다. 소셜미디어나 Pornhub에 접속할 때마다 반복되는 연령 확인은, 분위기를 깨뜨리고 트래픽을 위축시키며, 이용자들을 대체 플랫폼으로 떠나게 만들 가능성이 사실상 확실하다.

 

신뢰할 수 있고 재사용 가능한 연령 증명으로 세상이 어떻게 나아갈지는 아직 결정 중이다. 하지만 기반은 점차 안정되고 있다. 이달에는 연령 인증 기술을 처음으로 포괄하는 글로벌 표준인 ISO/IEC 27566-1:2025 – 연령 인증 시스템(Age assurance systems)이 발표되었다. 2026년 말이 되면, 연령 인증 생태계의 어떤 요소들이 지속 가능한 해법으로 남을지, 그리고 어떤 것들이 수명을 다한 접근 방식으로 판가름 날지가 보다 분명해질 것이다.

 

한 가지는 분명하다. “아이들을 보호하자”는 논의가 멈출 일은 없다는 점이다.

 

Needemand의 장 미셸 폴리트는 이렇게 말한다. “아동 보호는 2026년에도 계속해서 동력을 얻을 사회적 이슈입니다. 연령 인증은 점점 더 많은 국가와 활용 사례에서 현실이 될 것입니다. 동시에 주요 플랫폼들과 관련된 빈번한 개인정보 유출에 대한 언론 보도는, 개인정보에 의존하지 않는 연령 인증 솔루션으로 웹 이용자들은 점점 더 이끌게 될 것입니다.” 그의 회사는 2026년에 BorderAge의 손 제스처 방식에 대한 대안을 제시하는 또 다른 제품을 출시할 준비를 하고 있다.

 

다른 솔루션들 역시 추가적인 혁신을 예고하고 있다. 다시 말해, 재사용 가능하고 상호운용 가능한 연령 확인은 연령 인증 산업이 달성한 첫 번째 주요 이정표에 불과하다. 앞으로 더 많은 진전이 이어질 것이다.