최근 온라인 아동 성학대가 큰 문제가 되고 있지만 어떻게 아동 성착취물을 검출할 것인지에 대한 점에선 논의가 계속되고 있다. 2022년 5월 EU 정책집행기관인 유럽위원회가 제안한 서비스 제공자는 공개적 요구에 따라 사용자 비공개 메시지를 스캔할 의무를 진다는 새로운 규제에 대해 프라이버시 전문가로부터 부끄러워하는 일반 시민 감시법, 지금까지 본 것 중 가장 무서운 엔드투엔드 암호화에 해한 선전포고 등 비난하는 목소리가 나오고 있다.
유럽위원회는 온라인 아동 성적 학대를 방지하기 위해 새로운 EU 법을 제안했다. 새로운 규제에선 SNS나 메시징 앱 등 서비스 제공자에게 공공기관 요구에 따라 서비스상 아동 성적 학대 콘텐츠 검출, 보고, 삭제를 의무화하고 있으며 공급자는 콘텐츠를 검출하는 기술을 구축해야 한다.
유럽위원회는 성명에서 2021년에만 8,500만 장에 이르는 아동 성적 학대 사진과 영상이 보고되고 있으며 피해는 코로나19 유행으로 더 증가했다고 지적했다. 지금까지 이뤄진 기업 자율 규제로는 불충분하며 엄격한 조건과 보호 조치를 갖춘 명확한 규칙이 필요하다는 주장이다.
물론 아동 성적 학대를 막는 건 중요한 과제지만 EU가 도입을 목표로 하는 새로운 규칙에 대해선 프라이버시 전문가 사이에서 강한 비난이 터지고 있다. 유럽위원회가 공개한 법안 Q&A에선 아동 성적 학대 콘텐츠 교환이나 그루밍은 암호화된 통신에서도 이뤄지고 있어 서비스 공급자는 암호화 기술을 이용한 통신에 대해서도 탐지 의무가 있다. 이런 점에서 이 법안이 필수적인 기술 수단으로 엔드투엔드 암호화를 깨기 위해 기업에 명령할 수 있어 유럽위원회가 엔드투엔드 암호화를 무효화할 걸 요구하고 있다고 지적했다.
페이스북 메신저에서 엔드투엔드 암호화를 이끌었던 알렉 머펫(Alec Muffett)은 EU 법안을 엔드투엔드 암호화에 대한 선전포고로 표현하며 아이를 보호한다는 명목 하에 모든 플랫폼에서 모든 비공개 메시지에 대한 액세스를 요청할 수 있다고 비난했다.
보도에 따르면 이 규제 하에서 왓츠앱, 시그널, 페이스북 메신저 등 통신 서비스가 EU 국가에서 검출 명령을 받으면 일부 사용자 메시지와 사진을 모두 스캔하고 알려진 또는 새로운 아동 성적 학대 콘텐츠와 그루밍 증거를 찾아야 한다고 설명하고 이를 실현하려면 스캔용 AI 시스템이 필요하다고 말한다. 지난해 애플은 아이폰 내 아동 성착취물 검출 시스템을 발표하고 프라이버시를 해친다는 비난을 받았지만 애플 시스템에선 어디까지나 알려진 아동 성 학대 콘텐츠 검출에 초점을 맞추고 있다. 따라서 미지의 콘텐츠나 그루밍을 포함한 유럽위원회 법안은 더 광범위한 영향을 미칠 수 있다.
한 전문가는 자신이 지금까지 본 가장 무서운 것이라면서 CSAM을 탐지하는 대신 그루밍을 탐지하기 위해 개인 텍스트 메시지를 읽는 새로운 다량 감시 시스템을 제안하고 있다며 이는 중국과 소련 외에도 전개되는 가장 고도화된 집단 감시 장치라고 지적했다. EDRi(European Digital Rights) 관계자 역시 모든 개인 채팅에 침입하는 법이라며 민주주의 국가에는 전혀 어울리지 않는 부끄러운 일반 시민 감시법이라고 지적했다.
엄격한 비판이 쏟아지는 배경에는 모든 비공개 메시지 중 아동 성적 학대 콘텐츠를 검출하는 시스템이 존재하면 같은 시스템을 아동 성적 학대 콘텐츠와는 전혀 다른 것에도 적용할 수 있는 문제가 있을 수 있다.
엔드투엔드 암호화 이메일 서비스인 투타노타(Tutanota) 공동 창업자인 마티아스 포(Matthias Pfau)는 법률에 따라 통신 공급자에게 클라이언트 측 스캔 구현이 강제되면 이를 수행하는 도구는 이론적으로 모든 걸 검출할 수 있다고 지적한다. 다시 말해 처음에는 아동 성적 학대 콘텐츠나 그루밍을 검출하기 위해 도입된 툴을 통해 테러리스트, 인신매매업자, 마약 밀매 등을 검출하는 것도 용이하다는 것이다. 일부 강권 국가에선 더 많은 감시 범위를 넓히고 야당 정치가, 반체제 기자 등이 대상이 될 위험성이 있다는 경고다.
그는 또 유럽위원회가 완전히 무시하는 중요한 문제로 지적하는 게 훌륭한 목적으로 만들어진 백도어라도 악의적 공격자가 악용한다는 것이다. 누군가 공급자 스캔 시스템을 해킹하고 신용을 실추시키고 싶은 인물 기기에 아동 성 학대 콘텐츠나 그루밍 관련 문장을 삽입하거나 스캔 데이터를 훔쳐 사이버 공격에 악용할 가능성도 있다는 지적. 결국 선량한 사람만의 백도어는 불가능하다는 얘기다.
또 아동 성 학대 콘텐츠 정의가 넓고 모호하며 스캔 시스템이 적절한 맥락을 고려할 수 없다는 것도 우려다. 예를 들어 한 사용자가 자신의 아이 사진에 알몸이 비치고 있다면 물론 부모는 아동 성 학대 콘텐츠로 이를 소지하는 게 아니지만 AI 시스템이 이런 판단을 내리는 건 어렵고 일률적으로 아동 성 학대 콘텐츠로 검출, 보고할 가능성도 지적한다. 관련 내용은 이곳에서 확인할 수 있다.