EU 의회, 4월 만료된 '사적 메시지 검사법' 되살릴지 9일 표결...한 시민단체 정보 페이지가 정리...이례적 '긴급 절차'로 부활 시도에 반발, 상시 규제 '2.0'은 암호화 놓고 교착
EU 의회가 사적 메시지 검사법의 부활 여부를 9일 표결한다.
[한국정보기술신문] 유럽연합(EU)에서 통신 사업자가 이용자의 사적 메시지를 검사할 수 있게 한 이른바 '채팅 컨트롤(Chat Control)' 법을 두고 논란이 이어지고 있다. 시민단체가 운영하는 정보 페이지 '파이트 채팅 컨트롤(Fight Chat Control)'에 따르면, 지난 4월 초 효력을 잃은 한시적인 검사 제도가 이례적인 절차를 거쳐 되살아날 상황에 놓였다. 유럽의회는 이 제도를 부활시킬지 여부를 오는 7월 9일(현지시간) 표결할 예정이다. 채팅 컨트롤이란 아동 성 착취물을 찾아내기 위해 통신 서비스 사업자가 이용자의 사적인 메시지를 들여다볼 수 있게 하는 규제를 비판하는 쪽에서 붙인 이름이다.
이 사안이 복잡하게 얽혀 보이는 까닭은 서로 다른 두 개의 법이 동시에 진행되고 있기 때문이다. 하나는 지난 4월 만료된 한시법 '채팅 컨트롤 1.0'이고, 다른 하나는 이를 대체할 상시적인 법 '채팅 컨트롤 2.0'이다. 지금 표결을 앞둔 것은 만료된 1.0을 되살리려는 시도다.

만료된 '1.0'...자율적 검사 허용한 한시법
채팅 컨트롤 1.0은 2021년 도입된 한시적 예외 규정이다. 원래 EU에는 통신의 비밀을 보호하는 '이프라이버시(ePrivacy) 지침'이 있어 사업자가 함부로 통신 내용을 들여다볼 수 없다. 이 법은 그 예외를 두어, 지메일·페이스북 메신저·스카이프 같은 서비스가 아동 성 착취물을 찾기 위해 이용자 메시지를 검사하는 것을 '허용'했다. 다만 이는 의무가 아니라 사업자의 자율에 맡긴 것이었고, 종단간 암호화된 대화는 검사 대상이 아니었다. 종단간 암호화란 주고받는 두 사람만 내용을 볼 수 있고 중간의 사업자조차 열어 볼 수 없게 하는 기술을 말한다.
이 한시법은 지난 4월 초 효력을 잃었다. 유럽의회가 지난 3월 연장안을 부결시켰기 때문이다. 당시 의회는 검사를 범죄 혐의자로 좁히고, 알려지지 않은 사진·대화를 자동으로 걸러내는 방식과 암호화된 통신 검사는 빼자는 조건을 달았으나, 회원국 정부와의 협상이 결렬되자 연장안 자체를 찬성 228 대 반대 311로 물리쳤다. 법적 근거가 사라지면서 사업자들은 원칙적으로 사적 메시지를 자율적으로 검사할 수 없게 됐다. 다만 구글·메타·마이크로소프트 등 일부 사업자는 근거가 없어진 뒤에도 검사를 이어 가겠다고 밝힌 것으로 전해져, 법적 공백 상태를 둘러싼 논란도 함께 불거졌다.
이례적 절차로 부활 시도...9일 표결이 분수령
문제는 한 번 부결된 이 법이 다시 표결대에 올랐다는 점이다. 파이트 채팅 컨트롤은 EU 이사회와 의회 최대 정파인 유럽국민당(EPP)이 만료된 규정을 되살리기 위해 '긴급 절차'를 밀어붙였다고 설명했다. 만료된 규정은 그대로 연장할 수 없어, 내용이 사실상 같은 안을 빠른 절차로 통과시키는 방식이다. 유럽의회는 지난 7월 7일 이 사안을 긴급 절차로 다루기로 찬성 331 대 반대 303(기권 11)으로 의결했고, 실제 통과 여부를 가르는 표결은 여름 휴회를 앞둔 9일 본회의에서 이뤄진다.
이번 표결이 특히 주목받는 것은 통과 문턱을 정하는 방식 때문이다. 이번 단계는 이른바 '2차 독회'로, 이사회가 내놓은 안을 막거나 고치려면 재적 의원의 절대다수인 361명의 반대가 필요하다. 이 문턱을 넘지 못하면 법은 자동으로 채택된 것으로 간주된다. 즉 의원 다수가 적극적으로 반대표를 던지지 않으면, 만료됐던 규정이 유럽의회의 명시적 동의 없이도 되살아나는 셈이다. 휴회 직전이라 출석 의원이 줄어들 수 있다는 점도 변수로 꼽힌다.
부활을 밀어붙이는 쪽은 아동 성 착취물을 찾아내던 법적 근거가 4월 이후 사라진 만큼, 새 법을 놓고 협상이 이어지는 동안 그 공백을 서둘러 메워야 한다고 본다. 반면 반대하는 쪽은 통상적인 입법에서는 의회가 안건을 부결하면 논의가 멈추는 경우가 많은데, 같은 사안을 세 번째로 다시 표결하는 것은 이미 부결한 안을 절차를 우회해 되돌리는 것이라며 반발하고 있다. 이는 프라이버시를 넘어 의회 민주주의의 문제라는 것이 이들의 주장이다.
상시법 '2.0'은 암호화 놓고 교착
또 다른 법인 채팅 컨트롤 2.0은 2022년 EU 집행위원회가 제안한 상시 규제다. 1.0이 검사를 사업자 자율에 맡긴 것과 달리, 2.0은 아동 성 착취물의 탐지와 신고를 사업자의 법적 의무로 만들려 한다는 점에서 파장이 더 크다. 핵심 쟁점은 종단간 암호화된 메시지까지 검사 대상에 넣을지 여부다. 의회는 암호화를 약화해서는 안 된다는 입장인 반면, 이사회 쪽은 혐의와 무관한 이용자에 대한 검사를 사실상 열어 두려 해 좀처럼 견해차가 좁혀지지 않고 있다.
2.0을 둘러싼 EU 3자 협상(트릴로그)은 여러 차례 열렸으나 아직 합의에 이르지 못했다. 트릴로그란 EU의 법을 만들 때 유럽의회·이사회·집행위원회 세 기관이 벌이는 협상을 말한다. 마지막이 될 것으로 예상됐던 지난 6월 29일 협상도 혐의 없는 대상에 대한 검사 문제로 결렬됐고, 논의는 새로 의장국을 맡은 아일랜드 주도로 이어지고 있다. 암호화 검사 문제가 특히 민감한 까닭은, 종단간 암호화된 메시지를 검사하려면 기기에서 내용을 미리 들여다보는 등 암호화 자체를 우회하는 기술이 필요해 결국 모든 이용자의 통신 보안이 약해질 수 있다는 우려 때문이다.
'아동 보호'와 '통신 감시' 사이
이 사안은 아동 보호와 통신 프라이버시라는 두 가치가 정면으로 부딪치는 지점에 놓여 있다. 법을 지지하는 쪽은 온라인에서 벌어지는 아동 성범죄에 대응하려면 사업자가 착취물을 찾아내 신고할 법적 근거가 반드시 필요하다고 본다. 1.0이 만료된 뒤로는 그 근거가 사라진 상태다. 3월 연장안을 이끌었던 비르기트 지펠 의원은 모두의 기본권을 지키면서도 끔찍한 아동 성범죄에 대응할 책임이 있다는 취지로 절충안의 필요성을 설명한 바 있다.
반면 반대하는 쪽은 이 방식이 혐의가 없는 시민 모두의 사적 대화를 들여다보는 '대규모 감시'로 이어질 수 있다고 우려한다. 보안 전문가들 사이에서도 신중론이 나온다. 검사 기술의 오류율이 여전히 높아 무고한 이용자가 잘못 걸러질 수 있고, 표적을 좁힌 수단이 이미 있는데도 무차별 검사를 하는 것은 필요한 만큼만 규제해야 한다는 비례 원칙에 어긋난다는 지적이다. 카르멜라 트론코소(막스플랑크연구소)와 바르트 프레닐(뢰번대) 등 유럽의 저명한 사이버보안 연구자들은 표결을 앞두고 긴급 서한을 보내 이런 우려를 전달한 것으로 전해졌다. 절차 면에서도 의회가 스스로 정한 전문위원회 심사를 건너뛴다는 비판이 제기됐다.
한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org











