아이들을 생각하라: 모든 인터넷 트래픽에 Real ID를 강제하는 방법(2023)

• 성인 인증을 명분으로 한 신분증·문서 업로드 요구가 중앙화 상업 데이터베이스로 이어지면, 성인 사이트를 넘어 인터넷 전반의 실명 추적으로 확장될 수 있음
• 이미 ICRA PICS와 RTA Header 같은 저마찰 대안이 있었고, RTA는 웹페이지나 HTTP 헤더에 한 줄만 추가해 브라우저·검색엔진·크롤러가 성인용 가능성을 감지하게 함
• 글의 시나리오는 주 단위 법제화가 연방법과 해외 확산으로 이어지고, 이후 소셜미디어·금융·상거래·메신저·게임 플랫폼까지 추적 프레임워크가 넓어지는 흐름임
• 전역 집행 수단으로는 Web Environment Integrity(WEI) 서명 없는 페이지 차단, 신용카드·주 신분증·TPM·Secure Boot와의 결합 가능성이 거론됨
• 대안은 사이트 운영자에게 1년 안에 RTA 헤더를 넣게 하고, 기본 브라우저와 웹 클라이언트가 이를 읽어 부모 통제를 활성화하며, 2034년 기준 13세 미만 아동부터 적용하는 방식임

성인 인증 데이터베이스가 만드는 위험

• 일부 주와 한 국가는 성인 웹사이트 로그인 때 성인임을 증명하기 위한 주 신분증과 문서 업로드를 요구하는 중앙화 상업 데이터베이스를 구현하고 있음
• 이 방식이 성인 콘텐츠에 머물지 않고, 인터넷 사용 전반에 실명과 금융 정보를 연결하는 인프라로 커질 수 있다는 점이 핵심 우려임
• 정치권은 자유롭고 열린 인터넷을 허용한 일을 뒤늦게 후회하고, 기술 기업이 자발적으로 통제권을 되돌리도록 설득해야 하는 상황으로 묘사됨
• 결과적으로 정부와 기업 파트너가 이익을 얻는 방식으로 인터넷 통제권을 회수할 수 있다는 경고가 담겨 있음

이미 있던 저마찰 대안: ICRA PICS와 RTA

• 과거 브라우저와 애드온은 오래된 표준을 통해 성인 콘텐츠와 사용자 생성 콘텐츠를 감지할 수 있었음
• 이 방식은 클라이언트 개발자와 웹 서버 운영자에게 비용을 거의 요구하지 않고, 아이가 무엇을 볼 수 있는지 관리하는 책임을 부모에게 두는 구조였음
• yt-dlp의 예시 코드는 RTA 헤더를 찾는 구현 사례로 제시됨

• ICRA PICS Headers

  • ICRA PICS는 아이들에게 더 안전한 웹을 만들기 위한 첫 시도였음
  • 일부 브라우저, 서드파티 도구, 웹 서버가 이를 채택함
  • 사이트에 어떤 유형의 콘텐츠가 있는지 상세히 기술하는 헤더를 웹 폼으로 생성해야 해 마찰이 컸고, 채택은 정체됨

• RTA Header

  • RTA Header는 더 단순한 방식으로 더 널리 쓰인 두 번째 시도였음
  • 사이트 운영자는 웹페이지나 HTTP 헤더에 간단한 헤더 하나를 추가하면 되고, 브라우저·검색엔진·크롤러는 해당 사이트가 아이에게 적합하지 않을 수 있음을 즉시 알 수 있음
  • HTML 지시문 예시는 다음과 같음
  <meta name="rating" content="RTA-5042-1996-1400-1577-RTA">
  • NGinx HTTP 헤더 예시는 다음과 같음
  add_header Rating 'RTA-5042-1996-1400-1577-RTA' always;
  • HAProxy에서는 다음처럼 설정할 수 있음
  http-response set-header Rating "RTA-5042-1996-1400-1577-RTA"
  • 서버, 로드밸런서, 애플리케이션 어디서든 설정하기 단순하고 비용도 거의 들지 않는 접근임
  • 남은 작업은 브라우저에 클라이언트 코드를 다시 넣고, 휴대폰과 태블릿에도 추가하는 것임
  • 대부분의 개발자·기업·조직이 적은 노력과 비용으로 구현할 수 있으며, 빠른 사이드 프로젝트로도 가능하다고 봄

추적 데이터베이스가 확산되는 시나리오

• 글은 다음 흐름을 이론과 최선의 추정으로 구분함
  • 1단계: 보수 정치인에게 로비되고, 가족 가치와 유권자 신념에 맞는 정책으로 받아들여짐
  • 2단계: 충분한 보수 성향 주가 데이터베이스 요구 법을 채택하면 연방법을 정당화하기 쉬워짐
  • 3단계: 수익이 발생함
  • 4단계: 미국 연방법이 추적을 요구하면 다른 국가도 제재나 벌금을 피하기 위해 따르게 됨
  • 5단계: 추적 프레임워크가 생긴 뒤 Facebook, X, Instagram 같은 소셜미디어에도 요구됨
  • 6단계: 은행, 온라인 상점, 암호화폐 거래소, 투표, 온라인 채팅 시스템, Signal, WhatsApp, Slack, Discord, IRC, Hacker News, 사용자 기여 콘텐츠, chan류 사이트, YouTube, Rumble, TikTok, Steam, Battle.net, Minecraft 같은 게임 플랫폼으로 확대될 수 있음
  • 7단계: 더 큰 수익과 대규모 추적이 발생함
• 이런 데이터가 한곳에 모이면 인터넷상의 악의적 행위자를 끌어들일 수 있음
• S3 버킷에서 실수로 유출되거나 데이터가 판매되지 않을 것이라는 보장은 냉소적으로 다뤄짐

전역 집행과 수익화 가능성

• 전역 집행은 이론적으로 모든 웹 브라우저가 Web Environment Integrity(WEI) 서명이 없는 웹페이지를 차단하는 방식으로 가능함
• 이 흐름은 신용카드, 주 신분증, TPM 모듈과 연결될 수 있음
• Tor Browser가 WEI를 구현하면 Tor .onion 사이트에도 잠재적으로 적용될 수 있다고 봄
• 모든 사용자가 모든 웹사이트에 실명 ID와 금융 정보로 로그인하게 되면, 사이트는 판매와 청구를 훨씬 쉽게 만들 수 있음
• ID 검증 웹사이트를 통한 구매 버튼이 추가되고, 해당 검증 사이트가 수수료를 가져가는 구조도 예상됨
• 차지백을 피하기 위해 계좌를 당좌예금 계좌에 직접 매핑하는 편의 기능이 제공될 수도 있음
• 벤더와 OS 업데이트가 Secure Boot를 잠가, 서드파티 연령·ID 검증에 참여하지 않는 OS를 막을 수 있다는 우려도 포함됨

사회적 영향에 대한 우려

• 발언이 문제가 될 때 시민이 벌금이나 신상 공개를 당할 수 있다고 봄
  • PayPal이 잘못된 정보에 대해 사용자에게 2,500달러 벌금을 부과하겠다고 했다가 즉시 철회한 사례가 예로 제시됨
• 사람들이 자신의 신념을 말할 때 물리적·금융적 보복 위험이 커지고, 그 결과 자기검열이 늘어날 수 있음
• 누군가가 생각하는 Utopia가 사회에 강요될 수 있다는 우려도 있음
• 일부 사람들은 모든 것을 무너뜨리려 한다는 표현도 포함됨

RTA 헤더의 남용 가능성과 한계

• 누군가 웹페이지에 RTA 헤더를 삽입할 수 있다면, 이는 사이트 운영자가 넣어야 했던 헤더의 공백을 메우는 일로 간주됨
• 일부 청소년은 제한을 우회할 수 있음
• 이 방식은 완벽하지 않지만, 현재 존재하거나 구현 중인 방식보다 낫다고 평가됨
• 청소년이 헤더를 우회하는 상황이, 중앙화 데이터베이스를 쓰기 위해 신용카드를 훔치거나 ID를 위조하고 범죄 이력으로 삶을 시작하는 상황보다 낫다는 입장임

사용자 생성 콘텐츠에 RTA가 필요한 이유

• 사용자 생성 콘텐츠는 순식간에 아이에게 적합하지 않은 콘텐츠로 바뀔 수 있음
• 성년인 성인만 계약을 체결하고 법적으로 집행 가능한 합의를 수락할 수 있음
• 성인 대상 콘텐츠가 있는 경우 아이는 부모나 법적 보호자와 함께 있어야 하며, 또는 부모가 허용하는 도메인이나 URL을 승인 목록에 넣어야 한다는 입장임
• 법률 조언이 아니며, 변호사도 오류를 낼 수 있으므로 여러 의견을 받고 도전해야 한다는 단서가 붙음

제안된 실행 계획

• 사람들은 주 및 연방 대표에게 연락해, 더 단순하고 프라이버시 침해가 적은 연령 인증 방식을 요구해야 함
• 첫째, 모든 웹사이트 운영자와 소유자가 RTA 헤더를 구현하도록 하고 1년의 시간을 줌
  • 구현에는 몇 분만 걸린다고 봄
• 둘째, 기본 설치된 사용자 에이전트인 브라우저와 웹 클라이언트가 RTA 헤더를 감지하고 부모 통제를 활성화해야 함
  • QA를 제외하면 하루 미만의 개발 작업으로 봄
  • 구현 기간은 1년으로 제안됨
  • 관리자 계정 이후 새로 생성되는 기본 계정은 관리자 암호가 입력되지 않는 한 부모 통제를 사용하는 아이 계정이 되어야 함
• 셋째, CDN과 웹 스크래핑 회사와 계약해 사이트에 RTA 헤더가 있는지 검증함
• 넷째, 2034년 기준 13세 미만 모든 아동에게 부모 통제가 활성화되도록 법제화함
• 다섯째, 현재 청소년은 2034년이면 모두 성인이 되므로 이 방식이 제대로 실행되면 영향을 받지 않음
  • 시간의 슬라이딩 윈도우를 만들고, 미래의 청소년만 영향을 받게 됨
  • 아이의 책임은 정부가 아니라 부모에게 있다는 입장임
• 여섯째, 이 접근에 반대하거나 다른 옵션을 위해 로비하는 회사는 법적으로 자금이 끊기고, 반대 정치인은 견책과 최종 제명 대상이 되어야 한다고 주장함
• 개인식별정보를 업로드해야 한다면, 직접·간접 관련 데이터센터는 PCI DSS와 Fedramp를 합친 것보다 더 엄격한 기술·감사 요구사항을 따라야 함
  • IoT 기기, 개발자 노트북, DEV/QA, 성능, 스테이징, 프로덕션까지 모든 것이 범위에 들어가야 함
  • 이것이 너무 어렵다면 개인식별정보를 건드리지 말고 RTA·성인 헤더를 쓰라는 결론임

CTO와 CSO에게 주는 권고

• 법이 된 뒤 역풍이 불고 실패할 때까지 기다리지 말고, 사이트에 RTA 헤더를 구현해야 함
• 브라우저에는 헤더 검사를 넣어 부모와 아이를 보호할 수 있어야 함
• 기업은 이러한 구현을 통해 다른 곳보다 앞서 있다고 말할 수 있음