EU는 역내 미성년자 보호 조치 시행에 앞서 공식 연령 확인 앱을 배포할 예정으로 EUPL-1.2 라이선스 아래 오픈소스로 개발하고 있다. 하지만 이 연령 확인 앱을 둘러싸고 공개 직후부터 보안 전문가 다수가 단말기 내 민감 데이터 보호 미비와 생체 인증 우회 가능성 등을 지적하고 나섰다.
문제가 된 앱은 SNS와 성인 사이트 등에서 미성년자 보호를 강화하려는 EU 내부 흐름 속에서 공표된 것. 유럽위원회(European Commission)는 2024년 이 연령 확인 앱을 위해 400만 유로 입찰을 실시했으며 스웨덴 기업이 수주했다. 깃허브에 공개된 구현물은 연령 확인 솔루션 툴박스(Age Verification Solution Toolbox) 일부로 회원국이 자국 맞춤 솔루션을 구축할 때 기반이 되는 참조 구현으로 자리매김하고 있다.
이 연령 확인 앱은 사용자가 여권이나 국민 신분증, 또는 은행과 같은 신뢰할 수 있는 사업자를 통해 연령을 확인하고 온라인 서비스 측에는 일정 연령 이상인지 여부만을 전달하며 그 이상 개인정보는 넘기지 않는 이른바 영지식 증명(zero-knowledge proof) 방식을 채택하고 있다.
유럽위원회 폰 데어 라이엔(von der Leyen) 위원장은 발표 당시 완전한 오픈소스로 누구든 코드를 확인할 수 있다며 각국이 아동에 대한 SNS 이용 규제를 추진하는 가운데 머지않아 이용 가능해질 것이라고 설명했다.
하지만 공개 후 수 시간 만에 보안 컨설턴트 폴 무어(Paul Moore)가 앱이 이용자 단말기에 민감 데이터를 저장하면서도 충분히 보호하지 않고 있다며 2분도 채 되지 않아 뚫을 수 있다고 주장했다.
프랑스 화이트햇 해커 바티스트 로베르(Baptiste Robert)도 앱 생체 인증 기능을 우회할 수 있는 가능성이 있다고 설명했다. 암호화 연구자 올리비아 브레이지(Olivia Blazy)도 18세 이상이라는 걸 증명한 본인 단말기를 다른 사람이 사용해도 그대로 18세 이상으로 표시될 수 있다는 취지로 문제를 지적했다.
유럽위원회는 이에 대해 해커가 검증한 건 테스트 및 개발용으로 공개된 이전 데모 버전이며, 취약점은 이미 수정됐다고 해명했다. 하지만 전문가는 검증 대상은 EU가 온라인에 공개한 최신 버전 코드였다고 반박하며 엇갈린 주장이 이어지고 있다.
실제로 깃허브 공개 리포지터리에는 데모 버전은 업데이트 중이며 커뮤니티 테스트를 위한 업데이트를 지속한다고 명시되어 있다. 또 이 앱은 공개 전 각국 맞춤으로 최적화되어야 할 화이트 레이블 참조 구현이며 현재 버전은 기능이 미완성 상태로 본격 배포 전 추가 통합 작업이 필요하고 각국 고유 등록 절차도 회원국 또는 공개 주체가 구현해야 한다고도 설명되어 있다. 핀 번호(PIN)에 대해서도 추측하기 쉬운 조합을 허용하지 않도록 강화하는 게 권고되어 있으며 리포지터리 기술 내용 자체가 여전히 개발 중인 소프트웨어라는 걸 나타낸다는 지적도 나온다.
Hacking the #EU #AgeVerification app in under 2 minutes.
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn’t be encrypted at all – that’s a really poor design.
2. It’s not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ— Paul Moore – Security Consultant (@Paul_Reviews) April 16, 2026
하지만 유럽위원회 대변인은 출시 준비가 됐다는 입장을 고수하는 한편 디지털 분야 대변인은 최종 버전이라도 아직 데모 버전이라고 언급하며 시민을 위한 최종 제품은 아직 이용 가능하지 않다고 인정해 유럽위원회 내부에서도 엇박자가 나오는 모습이다.
이런 경위를 두고 전문가와 정치인 사이에서는 성급한 공개가 아니냐는 비판이 잇따르고 있다. 업계에선 전문가가 검증할 수 있도록 오픈소스화한 점은 평가하면서도 공개된 코드는 이 중요성에 걸맞은 사이버 보안 기준을 충족하지 못하고 있다며 서둘러 투입할 경우 향후 디지털 신원 지갑(digital ID wallet) 전체에 대한 신뢰를 훼손할 우려가 있다고 경고했다.
보도에 따르면 지난 3월에는 400명이 넘는 프라이버시·보안 전문가가 연령 보증 기술에 대한 이점과 폐해, 기술적 실현 가능성에 관한 과학적 합의가 이뤄질 때까지 배포 중단을 요구하는 공개 서한을 보냈으며 유럽의회 내에서도 정치적 압력으로 서두르고 있다, EU 자체 기준을 충족하지 못하는 반쪽짜리 해결책이라는 비판이 나오고 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.
![[AI서머리] 제2서울핀테크랩, ‘창업의 점을 찍다’ 네트워킹 성료‧모두의 창업, 청년 의견 직접 듣는다](https://startuprecipe.co.kr/wp-content/uploads/2026/04/260424_webcash.co_.kr_5003523-75x75.jpg)
