영국 온라인 안전법을 둘러싼 대립 속에서 이해관계자들이 각자 통계를 내세우며 공방을 벌이고 있다

 

작성자: Joel R. McConvey

보도일자: 2025년 10월 27일

출처: Biometricupdate.com

 

영국의 온라인 안전법(Online Safety Act) 시행 기한을 앞두고, Pornhub 및 여러 대형 성인 콘텐츠 사이트를 보유한 Aylo는 연령 인증 의무화가 트래픽을 급감시키고, 이용자들을 비준수 사이트로 몰아갈 것이라고 경고했다.

 

사람들에게 연령 인증 절차를 요구하면 일부 사용자가 방문을 꺼릴 것이라는 점은 이미 알려진 사실이었지만, 영국 통신규제청(Ofcom)의 새로운 데이터에 따르면, 영국 이용자의 3분의 1이 연령을 증명하는 대신 ‘상상력에 의존하기로 선택했다’고 한다.

 

파이낸셜타임스(Financial Times) 보도에 따르면, 실제 상황은 이보다 훨씬 심각하다. Pornhub의 영국 내 트래픽은 법 시행 이후 77% 급감, 즉 4분의 3 이상 감소한 것으로 나타났다. 현재 Pornhub은 영국 이용자들에게 두 가지 연령 인증 방식을 제공하고 있다.

1. Probiller라는 내부 결제 시스템을 이용한 신용카드 기반 인증 방식
2. Verifymy가 제공하는 이메일 기반 연령 추정 방식

 

신용카드 정보를 제공하기 꺼려하는 이용자가 많다는 점은 이해할 만하지만, Verifymy의 이메일 인증 시스템은 사용자가 입력한 이메일 주소를 금융기관, 공공요금 업체, 공공기록 등에 보유된 기존 데이터와 연계해 연령을 추정하는 방식이다. 이 과정에서 요구되는 정보는 이메일 주소 하나뿐이다.

 

문제는 VPN이 아니라 의심스러운 사이트들이다: Aylo

온라인 안전법(OSA) 시행 이후 VPN(가상사설망) 사용이 급증했다는 보도가 이어지고 있지만, Aylo는 자사 데이터상 영국 외 지역 트래픽이 증가한 흔적은 없다고 밝혔다. 이는 영국 사용자 다수가 VPN을 통해 우회 접속하고 있다는 가설을 뒷받침하지 않는다는 의미다. Aylo의 커뮤니티 및 브랜드 책임자 알렉스 케케시(Alex Kekesi)는 “어딘가 이름도 생소한 섬 지역에서 갑자기 트래픽이 폭증한 현상은 전혀 보이지 않았다”고 말했다.

 

대신 Aylo는 사람들이 단지 규정을 따르지 않는 다른 사이트로 이동하고 있을 뿐이라고 지적했다. 이에 따라 회사는 영국 정부 관계자들과의 논의를 이어가며, 현행 온라인 안전법(OSA)이 본래의 목적을 달성하지 못하고 있음을 주장하고 있다.

 

케케시는 이렇게 덧붙였다. “우리는 트래픽을 잃었지만, 그게 사람들이 하룻밤 새 포르노 시청을 멈췄다는 뜻은 아닙니다. 그들은 단지 다른 사이트로 옮겨간 거죠. 문제는, 우리는 플랫폼 내 콘텐츠가 법적으로 합법적이고, 규정을 준수하며, 동의(consensual)에 기반한 것임을 철저히 관리하지만, 다른 사이트들은 그렇지 않다는 것입니다.”

 

Aylo는 규정을 준수한 기업이 오히려 불이익을 받는 대신, 모든 업체에 동일하게 법을 적용하도록 Ofcom이 공정하게 집행해 달라고 요청했다. 이는 매우 타당한 요구로 보인다. 2025년 8월 워싱턴 포스트(The Washington Post)가 Similarweb 데이터를 기반으로 실시한 조사에 따르면, 영국에서 방문자가 가장 많은 성인 사이트 90곳 중 14곳이 아직 연령 인증 시스템을 도입하지 않았으며, 이들 사이트의 트래픽은 폭발적으로 증가한 것으로 나타났다.

 

하지만 이 논쟁은 규제 당국이 아마도 한 번도 깊이 생각해보지 않았을 흥미로울 질문을 던진다. “대체 Pornhub를 Pornhub답게 만드는 것은 무엇인가?” Pornhub는 처음부터 온라인 포르노의 대명사는 아니었다. 대부분의 기업과 마찬가지로, 효과적인 브랜딩, 사용자 경험(UX), 신뢰성을 조합을 통해 시장 점유율을 키워왔다. 사용자들이 새로운 선택지를 시도해볼 의향은 있겠지만, 무한한 팝업 광고, 끊어진 링크, 조악한 디자인을 감수하려 하지 않는 이들도 많다. 그들 중 일부는 그냥 포기하고 산책을 나갈지도 모른다.

 

Ofcom, 파일 공유 서비스에 대한 조사 현황 업데이트

Aylo가 정책 변화를 위해 압박을 이어가고 있는 가운데, Ofcom은 단속 속도를 늦출 기미를 보이지 않고 있다. 영국 규제 기관 Ofcom은 최근 업데이트를 통해, 아동 성착취물(CSAM) 확산을 막기 위한 파일 공유 서비스의 안전 조치에 대한 조사 결과를 발표했다. 그 결과, 심각한 규정 미준수 우려가 제기된 두 개의 서비스(1Fichier.com과 Gofile.io)가 개선 조치(reform)를 단행한 것으로 확인됐다. Ofcom과의 협의 이후, 두 플랫폼은 지각 해시 매칭(Perceptual Hash-Matching) 기술을 도입해 CSAM의 자동 탐지 및 삭제 시스템을 구현했으며, 이로써 Ofcom의 요구 사항을 충족하게 되었다.

 

한편, 일부 파일 공유 사이트들은 영국의 접근 자체를 차단하는 지리적 차단(Geo-blocking) 조치를 택했다. Krakenfiles, Nippydrive, Nippyshare, Nippyspace 등은 모두 영국 내 IP 접속을 차단했으며, 이에 따라 Ofcom은 해당 플랫폼들에 대한 조사를 종결했다. 같은 이유로, Ofcom은 가장 최초로 착수했던 온라인 자살 포럼 조사 또한 종료했다고 밝혔다.

 

4chan, 벌금에도 아랑곳하지 않는 공격적 태도 유지

Ofcom은 여전히 가장 다루기 까다로운 대상 중 하나인 4chan을 상대로 고삐를 늦추지 않고 있다. Ofcom은 미국에 기반을 둔 온라인 포럼(혹은 ‘인터넷 하수구’로 불리기도 하는) 4chan에 대해 불법 유해물 관련 위험 평가 보고서와 전 세계 매출 자료를 제출하라고 요구했다. 그러나 지금까지 4chan 측은 이에 사실상 조롱에 가까운 무응답으로 대응하고 있다.

 

결국 침묵을 이어간 4chan 운영사는 2만 파운드(약 2만 6,700달러)의 벌금과 함께, 10월 14일부터 60일간 하루 100파운드(약 133달러)의 추가 일일 벌금을 부과받게 됐다.

 

이와 함께 정보 제출 의무를 이행하지 않은 다른 서비스들도 제재 대상이 되었다. 그중에는 파일 공유 서비스 Im.ge와, 성인 콘텐츠 플랫폼 AVS Group Ltd.가 포함되어 있는데, 이들은 바로 Aylo가 “그늘진 경쟁사들(shadier competitors)”이라 지칭하며 트래픽 증가를 지적했던 비준수 사이트 유형에 해당한다.

 

Ofcom 집행국장 수전 케이터(Suzanne Cater)는 다음과 같이 밝혔다. “Ofcom 및 온라인 안전법(Online Safety Act)상 의무를 노골적으로 무시하고 협조하지 않는 모든 서비스는 강력한 집행 조치를 받게 될 것이라는 명확한 메시지를 이번 조치를 통해 전하고자 합니다.”

 

이 모든 상황은 Ofcom이 규모를 불문하고 법 위반 플랫폼에 대해 실제로 법을 집행할 의지를 가지고 있음을 보여준다. 다만, 그 ‘리스트’를 하나씩 처리하는 데에는 시간이 조금 걸릴 뿐이다.

 

OSA, 아동의 유해 콘텐츠 우발적 노출 방지에는 효과적

최근 OneID가 개최한 웨비나에서는, 연령 인증 시대의 첫 60일을 되돌아보는 시간이 마련되었다. 이번 토론에는 Ofcom 출신으로 컨설팅사 Illuminate Tech를 설립한 조지 빌링(George Billinge), 아동학대방지협회(NSPCC)의 정책 및 공공업무 전문가 엘라 브래드쇼(Ella Bradshaw), TechUK의 디지털 규제 책임자 사미아 앤더슨(Samiah Anderson), 연령인증제공자협회(AVPA)의 이안 코비(Iain Corby), 그리고 OneID 창립자 롭 코틀라즈(Rob Kotlarz)가 참여했다.

 

이번 웨비나는 요약적 성격을 띠며, 지난 2~3개월간 활발히 논의되어온 주요 쟁점들을 다시 짚었다. 온라인 안전법(Online Safety Act)과 연령 인증(연령 보장, Age Assurance) 제도의 핵심 목적은 어린이들이 유해 콘텐츠를 보지 않고 인터넷을 안전하게 이용할 수 있도록 하는 것이다. 또한, 해당 법은 온라인 성착취(Grooming)과 아동 성착취물(CSAM)의 확산을 방지하는 역할도 한다.

 

연령 인증에는 일률적인 방식이 존재하지 않기 때문에, Ofcom은 원칙 기반 접근(Principles-based approach)을 채택했다. 이는 서비스 제공자들에게 다양한 선택권을 부여하면서도, 연령 확인 절차의 결정 과정이 명호가하고 검증 가능해야 함을 의미한다. 빌링은 “Ofcom은 여러분이 어떤 결론에 도달했는가보다, 그 결론에 이르는 사고 과정 자체를 이해하는 데 더 관심이 있다”고 설명했다.

 

토론 중 제시된 몇 가지 수치는 Ofcom이 실제로 해결하고자 하는 핵심 문제, 즉 아동이 의도치 않게 포르노그래피를 접하는 문제를 분명히 보여준다. 브래드쇼는 NSPCC의 데이터를 인용하며 “아동의 59%가 의도하지 않았는데도 온라인 포르노를 접한 경험이 있다”고 밝혔다. 그녀는 “VPN과 같은 우회 수단이 존재하더라도, 프라이버시를 충분히 보호하면서 제대로 된 연령 인증이 이루어진다면 매우 큰 효과를 거둘 수 있다”고 강조했다.

 

영국 세이프티테크 산업, 2025~25년 매출 10억 파운드 돌파 전망

앤더슨(Samiah Anderson)은 기술 산업의 관점에서 볼 때, 온라인 안전법(OSA)이 “이미 새로운 기술 혁신과 투자 흐름을 촉진하고 있다”고 평가했다. 그녀는 “영국 과학·혁신·기술부(Department for Science, Innovation and Technology)의 최근 보고서에 따르면, 영국의 세이프티테크(Safety Tech) 산업 매출이 2025~202 회계연도에 10억 파운드를 돌파할 것으로 전망된다”며, “이는 엄청난 성과이며, 이러한 성장은 연령 인증 시스템, 얼굴 기반 연령 추정 도구, AI 탐지 및 라벨링, 팩트체크 솔루션 등 최첨단 기술 수요 증가가 핵심 동력이 되고 있다”고 덧붙였다.

 

이에 연령인증제공자협회(AVPA)도 동의했다. 이안 코비(Iain Corby)는 “OSA가 시행된 첫 주말 동안만 570만 건의 연령 인증이 이루어졌다”는 수치를 제시하며, 연령 확인 기술의 급속한 확산을 강조했다. 그는 또한 VPN 다운로드 통계가 과장되어 있다고 지적하며 이렇게 설명했다. “설령 VPN 다운로드가 200만~300만 건 늘었다 해도, 그게 대부분 8살짜리들이 설치한 게 아니라면 문제될 게 없습니다. 성인들이 단지 연령 인증 절차가 귀찮아서 그랬다면, 이는 정책 시행을 방해하는 요소가 아닙니다.”

 

AVPA는 또한 성인 콘텐츠 업계가 주장하는 트래픽 급감 수치에 대해 회의적인 입장을 보였다. 협회는 VPN 사용이 일부 영향을 미친 것은 사실이지만, 동시에 ‘정책이 제 역할을 한 결과’, 즉 아동들이 성인 사이트 접근을 차단당한 효과도 분명히 존재한다고 지적했다.

 

이안 코비(Iain Corby)는 서비스 제공자 측 관점에서 얻은 몇 가지 교훈도 공유했다. 그중 하나는 재인증(Reverification) 주기에 대한 새로운 논의와, 더 넓게는 재사용성과 상호운용성(Reusability & Interoperability) 문제다. 그는 “이것이 새로운 ‘쿠키 동의 팝업’처럼 되어서는 안 된다. 그렇게 되면 대중의 강한 반발을 불러올 것”이라고 경고했다. 이에 따라, 디지털 신분증(Digital ID)이 지갑(Wallet) 형태로 더 널리 활용됨에 따라, 재사용 가능한 인증 기술에 대한 혁신이 더욱 중요해질 것으로 전망했다.

 

또 다른 교훈은, 사람들이 아직 익숙하지 않은 제3자 연령 인증 업체들에 대해 신뢰하지 않고 있다는 점이다. 이들 업체는 이용자들이 잘 아는 기존 웹사이트를 대신해 연령 인증을 요청하지만, 소비자 입장에서는 여전히 “누가 왜 내 나이를 확인하려는가?”에 대한 의구심이 남아 있다. 이에 대한 가장 직접적인 해결책은 대중을 대상으로 한 홍보와 교육 투자이며, 이는 OneID의 롭 코틀라즈(Rob Kotlarz)가 고객 혼란 사례를 언급하며 특히 강조한 부분이기도 하다.

 

OneID, “Sky News가 연령 인증 우회 시도하다 50번 실패한 듯”

롭 코틀라즈(Rob Kotlarz)는 “VPN이 세상을 장악하고 있다는 이야기는 허위 정보(misinformation)이며, 실제로는 그런 일은 일어나지 않았다”고 단언했다. 그가 설명한 실제 상황은, OSA 시행 후 몇 주 동안 약 700만 명이 OneID의 모바일·은행 기반 연령 인증 서비스를 적극적으로 이용했다는 것이었다.

 

코틀라즈는 또한 흥미로운 사례들을 소개했다.

 

“한 사용자가 50번이나 연령 인증을 시도했지만 실패했습니다. 우리는 이 인물이 실제로 Sky(영국 방송사) 소속의 윤리적 해커(Ethical Hacker)였을 가능성이 높다고 보고 있습니다. 아마 흥미로운 보도를 만들기 위해 우리 같은 시스템을 시험하려 한 것 같지만, 결국 우회에 실패했습니다. 시스템이 올바르게 구현되어 있다면 그만큼 견고하게 작동한다는 것을 보여주는 사례입니다.”

 

그는 또 다른 흥미로운 관찰 결과도 공유했다. “우리는 이런 이메일을 받았습니다. ‘당신들의 제품을 사용했고, 웹사이트도 살펴봤습니다. 전에 어떤 회사인지 몰랐는데 이제 알게 됐어요. 제 개인 데이터를 삭제해 주시겠습니까?’ 그런데 우리는 이렇게 답할 수밖에 없었습니다. ‘저희는 고객 데이터를 보유하지 않습니다’.” 코틀라즈는 이 사레가 시장 내 ‘프라이버시 보호형 솔루션’에 대한 인식 부족을 보여준다고 지적했다. 그는 “정부와의 협약 및 규제 체계 하에서, 우리는 개인 데이터를 저장하거나 활용하지 않도록 의무화되어 있으며, 규제된 기업으로서 그 약속을 철저히 지킨다”고 강조했다.

 

라이브 스트리밍 연령 인증, Ofcom의 최우선 과제: Verifymy

앤더슨(Samiah Anderson)과 TechUK은 다음 단계로 Ofcom이 기능 중심(Functionality-based) 접근에서 벗어나, 위험 중심(Risk-based) 접근으로 정교하게 전환해야 한다고 제안했다. 그녀는 “현재 Ofcom이 라이브 스트리밍 및 그 내부의 다양한 기능들을 ‘유해’로 규정하고 있지만, 보다 발전된 방식으로 안전 조치를 혁신할 필요가 있다”며, “특정 연령대가 특정 기술 자체를 사용할 수 없게 만드는 ‘둔한 도구(blunt tool)’식 규제는 지양해야 한다”고 강조했다.

 

그러나 Verifymy의 최고운영책임자(COO) 앤디 롤햄(Andy Lulham)에 따르면, Ofcom은 이미 라이브 스트리밍을 주요 정책 우선순위로 두고 있으며, 그럴 만한 충분한 이유가 있다.

 

그는 이렇게 말했다. “라이브 스트리밍은 사람들이 온라인에서 소통하는 방식을 완전히 바꿔놓았습니다. 게임 커뮤니티에서부터 시민 저널리즘, 전 세계 신예 아티스트 발굴까지 그 영향력이 막대합니다. 특히 스트리머와 시청자 간의 경계가 거의 없는 ‘밀착형 실시간 소통’이 매력 요소이지만, 동시에 성인 범죄자가 아동 채널에 침투하는 등 악용될 소지도 큽니다.”

 

그는 이어서, “라이브 스트리밍 산업이 급성장하는 가운데, 규제기관과 기술 플랫폼이 협력하여 ‘기본적으로 아동을 보호하는(Default-Protective)’ 통합 전략을 구축해야 한다”고 강조했다. “또한 정기적인 정책 검토를 통해, 수십억 파운드 규모로 성장 중인 이 산업에서 적절한 보호 조치를 유연하고 신속하게 적용할 수 있어야 한다”고 덧붙였다.