EU 의회, 전 국민 메시지 감시법 '채팅 컨트롤' 연장 부결...4월부터 한시 규정 만료...민간 운동 사이트도 주목

[한국정보기술신문] 유럽의회가 2026년 3월 26일, 민간 메시지 플랫폼의 자발적 채팅 감시를 허용해온 이른바 '채팅 컨트롤 1.0' 규정의 연장안을 부결시켰다. 이로써 해당 규정은 오는 4월 3일을 끝으로 만료되며, 4월 4일부터는 메타, 구글, 마이크로소프트 등 미국 빅테크 기업들이 유럽 시민의 개인 메시지를 무차별적으로 스캐닝하는 행위를 멈춰야 하는 상황이 됐다. 이번 결정은 수년간 지속된 EU의 디지털 프라이버시 논쟁에서 중요한 분기점으로 평가된다.

채팅 컨트롤의 공식 명칭은 '아동 성 착취물 규정'(Child Sexual Abuse Regulation, CSAR)으로, 2022년 5월 11일 유럽연합 집행위원회가 제안한 규정이다. 표면적인 목적은 온라인 아동 성 착취물(CSAM)의 유포를 막는 것이지만, 비판론자들은 이 법이 실질적으로 암호화된 메시지를 포함한 모든 디지털 통신을 감시하는 수단이 될 수 있다고 주장한다.

현재 시행 중인 채팅 컨트롤 1.0은 한시적인 예외 조항으로, 인스타그램·지메일·스카이프 등 서비스 제공업체들이 자발적으로 이용자의 메시지, 사진, 텍스트 등을 무차별 스캐닝하는 것을 허용하고 있다. 오류 가능성이 있는 알고리즘과 인공지능을 활용해 의심 콘텐츠와 텍스트 패턴을 탐지하며, 법원 영장이나 범죄 혐의 없이도 이뤄진다.

이 규정은 원래 2026년 4월을 끝으로 종료될 예정이었으나, EU 집행위원회는 영구적인 채팅 컨트롤 2.0 협상이 지연되자 2년 추가 연장을 제안했다. 유럽의회는 이날 표결에서 이를 거부했다.

2026년 3월 11일, 유럽의회는 현행 채팅 컨트롤 규정을 거부하는 투표를 실시했다. 대신 의회는 무차별적 대량 감시 대신 사법적 판단을 전제로 한 피의자 표적 감시로 대체할 것을 의결했다. 그러나 보수 계열인 유럽국민당(EPP)이 불과 15일 뒤인 3월 26일 재투표를 강행하는 전례 없는 행보를 취했다.

그러나 재투표에서도 유럽의회 의원 다수가 인스타그램, 링크드인 등 온라인 플랫폼의 자발적 채팅 감시 연장을 거부했다. 의원들은 유럽 개인정보보호 규정에 대한 예외 조항 적용에 더 엄격한 조건이 필요하다는 입장을 고수했다.

이번 결정으로 4월 4일부터는 메타, 구글, 마이크로소프트 등 미국 빅테크가 유럽 시민의 개인 채팅과 사진을 무차별 스캐닝하는 행위를 중단해야 한다. 앞으로 아동 성 착취물 탐지는 이미 확인된 CSAM이나 이용자, 신뢰할 수 있는 신고자 또는 관련 기관이 신고한 콘텐츠로만 제한되며, 왓츠앱·시그널·텔레그램 등 종단간 암호화 서비스는 규정 범위 밖에 놓이게 된다.

이 논란이 가열되는 과정에서 시민 차원의 대응도 주목을 받았다. fightchatcontrol.eu는 EU의 채팅 컨트롤 제안에 대한 인식을 높이기 위해 시민들이 만든 캠페인 플랫폼이다. 덴마크의 시니어 소프트웨어 엔지니어 요아킴(Joachim)이 제작했으며, 자신의 정부가 EU 이사회 의장국으로서 채팅 컨트롤 입법을 최우선 과제로 추진한다는 사실을 알고 충격을 받아 사이트를 만들게 됐다고 밝혔다.

이 플랫폼은 어떤 정당과도 무관하며, 이용자 추적을 일절 하지 않는다. 분석 도구나 추적 쿠키를 사용하지 않으며, 대표에게 이메일을 보내는 기능도 이용자의 브라우저에서 직접 처리되어 메시지 내용이 수집·전송되지 않는다. EU 시민들이 담당 의원에게 쉽게 의견을 전달할 수 있도록 설계된 것이 특징이다.

채팅 컨트롤에 반대하는 측은 기술적·법적·인권적 관점에서 다양한 우려를 제기했다.

만약 채팅 컨트롤이 통과된다면 종단간 암호화 메신저인 시그널, 왓츠앱의 프라이버시 약속이 무너진다. 시그널은 채팅 컨트롤이 도입될 경우 EU 시장에서 철수하겠다고 선언했다. 또한 이 법안은 EU 내 이용자뿐 아니라 전 세계적으로 영향을 미치는데, EU 내 누군가와 대화하는 사람이라면 해당 국가 밖에 있어도 프라이버시가 위협받을 수 있다.

전문가들은 AI 기반 스캐닝 기술이 최대 20%의 오류율을 보인다고 지적한다. 해시 매칭 방식도 신뢰성에 의문이 제기된다. 결국 이 법에 가장 크게 영향받는 것은 불법 행위를 하지 않는 일반 이용자들이며, 실제 범죄자들은 자체적으로 메시지를 암호화해 탐지를 손쉽게 우회할 수 있다.

모질라 재단 등은 클라이언트 측 스캐닝 방식이 사실상 기기 내 모든 내용에 접근하는 감시 체계임을 지적하며, 이는 해커와 권위주의 정권에게도 새로운 취약점을 만들어준다고 경고했다.

채팅 컨트롤 1.0 규정이 만료되더라도 이 논쟁은 끝나지 않는다. 채팅 컨트롤 2.0의 최종 합의는 2026년 6월을 목표로 협상이 진행 중이다. 주요 쟁점으로는 앱스토어 제한, 의무적 연령 인증, 표적 감시와 무차별 감시의 충돌이 꼽히고 있다.

EU 이사회 내에서는 헝가리, 아일랜드, 스페인, 덴마크가 대량 스캐닝과 암호화 무력화 조치를 일관되게 지지하는 반면, 룩셈부르크, 오스트리아, 독일, 폴란드는 지속적으로 반대 목소리를 내고 있다. 네덜란드, 슬로베니아, 핀란드, 벨기에, 체코, 에스토니아도 여러 시점에서 반대 또는 기권 입장을 취했다.

EU 의회는 2023년에 이미 무차별 감시를 배제하고 암호화 보호를 보장하는 협상 방침을 거의 만장일치로 채택한 바 있다. 이번 채팅 컨트롤 1.0 연장 부결은 그 방침을 재확인한 것으로 풀이된다. 2026년 중반으로 예정된 최종 삼자 협상(트릴로그)에서 채팅 컨트롤 2.0의 향방이 결정될 예정이며, 전 세계 디지털 프라이버시 정책에도 파장을 미칠 것으로 보인다.