EU가 만든 나이 인증 앱, 해커에게 2분 만에 뚫렸다

유럽연합이 야심차게 내놓은 나이 인증 앱이 공개되자마자 망신을 당했습니다. 해커들이 2분 만에 우회에 성공했다는 영상이 4월 중순부터 유튜브와 테크 커뮤니티에 퍼지고 있는데요. 청소년 보호를 명분으로 설계된 이 앱이 왜 이렇게 허망하게 뚫렸는지, 그리고 이게 단순한 버그가 아니라 왜 더 큰 문제인지 짚어보겠습니다.

2분, 그 짧은 시간의 의미

사건의 개요는 단순합니다. EU가 공식 배포한 나이 인증 앱이 출시 직후 보안 연구자들에 의해 빠르게 우회됐습니다. 유튜브 채널 MatthewNapier가 4월 19일 올린 “EU’s Age Verification App Got Hacked In 2 Minutes lol” 영상이 대표적이고, Tech, Privacy, News 채널이 4월 17일 올린 심층 분석 영상은 이미 1만 5천 회 이상 조회되며 593개의 좋아요를 받았습니다.

2분이라는 숫자가 중요한 이유는 단순히 “빨랐다"는 사실 때문이 아닙니다. 이건 공격자에게 진입 장벽이 사실상 없다는 뜻입니다. 정부가 수백만 유로의 예산과 정책적 권위를 들여 만든 시스템이, 일반 개발자 수준의 공격에 무력하다는 거죠.

왜 이렇게 쉽게 뚫렸을까

나이 인증 앱의 기본 구조는 대개 이렇습니다. 사용자가 여권이나 신분증으로 나이를 증명하면, 앱이 “이 사람은 18세 이상” 같은 토큰을 발급합니다. 그 토큰을 웹사이트에 제시하면 접근이 허용되는 방식인데요.

문제는 이 토큰을 검증하는 로직입니다. 보안 연구자들이 지적한 우회 방법은 대체로 두 가지 패턴에 해당합니다. 첫째, 토큰 재사용입니다. 한 번 발급된 유효한 토큰을 복사해서 다른 기기나 다른 사용자가 그대로 쓸 수 있다는 거죠. 둘째, 클라이언트 측 검증 우회입니다. 실제 서버 검증 없이 앱 내부에서만 확인하는 구조라면, 디버거로 간단히 조작할 수 있습니다.

쉽게 말하면 놀이공원 입장 팔찌인데, 팔찌를 복사할 수 있고 직원이 팔찌 색깔만 눈으로 확인하는 수준이라는 겁니다.

진짜 문제는 “감시 인프라"라는 본질

기술적 실패보다 더 근본적인 문제가 있습니다. 이 앱은 단순히 나이를 확인하는 도구가 아니라, EU 시민의 신분증을 디지털로 연결하는 인프라의 첫 단추입니다. 테크 프라이버시 진영에서 오래전부터 경고해온 지점이기도 한데요.

영상 댓글과 테크 커뮤니티에서 반복되는 지적은 이렇습니다. 정부가 “청소년 보호"를 명분으로 내세우지만, 실제로 만들어지는 건 모든 성인의 온라인 활동을 신분증과 연결하는 시스템이라는 겁니다. 나이 인증은 본질적으로 “누가 어느 사이트에 접속했는지” 추적할 수 있는 구조를 필요로 하니까요.

더 아이러니한 지점은 이겁니다. 보안이 허술해서 우회가 쉽다면, 보호하려던 청소년들은 여전히 우회할 수 있습니다. 반면 정직하게 앱을 쓰는 일반 성인들만 자기 신원을 정부에 노출하게 됩니다. 보호 대상은 보호되지 않고, 감시 대상만 정확히 포착되는 역설이 생기는 거죠.

영국, 호주 사례와 맞물리는 흐름

EU의 이번 시도는 고립된 사건이 아닙니다. 영국은 이미 온라인 안전법(Online Safety Act)을 통해 유사한 나이 인증을 강제하고 있고, 호주는 16세 미만 SNS 금지법을 추진 중입니다. 글로벌하게 “디지털 신분 확인"을 공적 인프라로 끌어올리려는 흐름이 동시에 진행되고 있는데요.

이 흐름의 공통된 위험은 두 가지입니다. 하나는 이번 사례처럼 기술적 미숙함입니다. 국가 주도 IT 프로젝트는 속도와 정치적 타이밍에 쫓겨 보안 검증이 충분하지 않은 채 배포되는 경우가 많습니다. 다른 하나는 한 번 깔린 인프라는 확장되기 쉽다는 점입니다. 나이 확인용으로 시작했다가 접속 기록, 콘텐츠 필터링, 세금 신고까지 얹히는 건 시간문제입니다.

그래서 우리가 주목해야 할 것

이번 사건이 남긴 교훈은 명확합니다. “좋은 의도"만으로는 안전한 시스템이 만들어지지 않습니다. 특히 전 국민이 쓸 공공 IT 인프라라면, 출시 전 공개 보안 감사와 독립적 검증이 필수인데요. 2분 만에 뚫렸다는 사실은 그 과정이 얼마나 허술했는지를 보여주는 증거입니다.

한국도 주민등록번호 기반 본인 인증이라는 독특한 시스템을 오래 운영해왔고, 최근 모바일 신분증 확대도 속도를 내고 있습니다. EU의 실패가 남 일이 아닌 이유입니다. 여러분은 청소년 보호를 위해 모든 성인이 온라인에서 신원을 드러내는 게 정당한 거래라고 보시나요? 아니면 다른 설계가 가능하다고 생각하시나요?