EU ChatControl(채팅 통제): 메신저, SNS, 클라우드, VPN 대규모 검열

ChatControl이란

‘챗컨트롤(ChatControl)‘ 법안은 유럽연합(EU)이 아동 성 착취물(CSAM) 근절을 명분으로 추진 되는 것으로 알려져 있습니다. 논란은 뜨거워진지 오래됐는데 절차가 진행되면서 주기적으로 사람들입에 오르내리고 있습니다. 이번에는 2025년 가을, 핵심적인 표결을 앞두고 다시 격화되고 있습니다.

ChatControl 법안은 모든 개인의 디지털 메시지를 강제로 스캔하는 내용을 담고 있어, 전례 없는 대규모 감시와 프라이버시 침해라는 비판에 직면해 있습니다. 좀 더 와닿게 이야기하면 내 네이버 이메일과 카카오톡 메세지를 모두 스캔할 수 있는 문제라 난리날 수 밖에없죠.

현재까지 주요 타임라인

• 2022년 5월: EU 집행위원회, 챗컨트롤 법안 최초 제안.
• 2023년: 유럽의회, 대규모 감시와 암호화 훼손을 제외하는 방향으로 수정안 채택.
• 2024년: 많은 국가들이 반대 입장을 표명하며 논의 교착.
• 2025년 7월 이후: 덴마크가 EU 의장국을 맡으며 법안 통과를 강력히 재추진.
• 2025년 10월 13-14일
  • EU 이사회에서 법안 통과 여부를 결정할 핵심 표결이 예정
  • 현재로서는 법안 통과에 필요한 가중 다수결 요건(인구 65% 이상)을 채우지 못할 가능성이 높음
  • 하지만 독일 등 입장을 정하지 않은 국가들의 결정의 변수가 남아있음

챗컨트롤의 작동 원리와 핵심 문제

CSAR(아동 성적 착취 방지 및 근절 규정) 법안에서 가장 크게 논란이 되는 부분은 클라이언트 측 스캐닝(Client-side Scanning) 기술을 의무화 입니다. 최대한 심플하고 이해하기 쉽게 설명할게요.

여기서 클라이언트는 내 컴퓨터, 스마트폰을 의미합니다. 우리가 카톡에 이미지, 동영상을 업로드 한 뒤에 검열되는 것은 서버측에서 이루어지는거예요.

그런데 클라이언트 측에서 검열이 이루어진다? 그건 내 폰이나 컴퓨터에 내장된 것으로 즉시 검열이 이루어진 뒤에 문제가 있다고 판단되면 즉시 보고되는거예요.

5eyes 이런건 피부로 느껴지지 않아서 크게 신경쓰이지 않는데, 챗컨트롤은 검열 시스템 속으로 들어가는 느낌이라 숨 막힙니다.

ChatControl = SpyWare

매번 큰 반대에 부딪히면서 이렇게 계속 시도하는 것이 나중에 언젠가는 꼭 통과시키겠다는 의지가 느껴집니다. 생각하기도 싫지만 만약 법안이 통과된다면 큰 혼란이 생길거라 생각해요.

• 데이터: 모든 개인 메시지, 사진, 파일 등이 자동으로 검사, 보고, 삭제까지 될 수 있습니다.
• 피해자: 과거 구글 포토 사건처럼 엉뚱한 사람들이 가해자로 지목되어 오히려 대량 피해자가 발생할 수 있습니다.
• 영향력: EU 내부에서 끝나지 않습니다. 비슷한 문제로 머리 아픈 국가들에게 EU의 ChatControl은 좋은 명분이 될거예요.
• 간접 검열: EU 국가에 거주하는 사람들을 실시간 검열한다면, 우리가 EU에 거주자와 대화를 주고 받을 때 우리도 간접 검열 당하게 됩니다.
• 표현의 자유 위축: 내가 하는 말 하나하나 신경쓰면서 살아야하니 자기 검열이 더 심해지고, 표현에 대한 강박으로 이어질 수도 있다고 생각해요.
• Privacy 산업 타격: 만약 통과된다면 메신저, SNS 사업은 크게 타격을 받습니다. 그리고 그 다음 목표는 VPN이 될 가능성이 매우 큽니다. 이미 VPN을 가장 큰 장애물 중 하나로 보고 있거든요.

업계 반응

보안 메신저 Signal 재단의 회장인 Meredith Whittaker 또한 강력하게 우려를 표했습니다.

“Signal은 유럽의 최신 #ChatControl 제안에 강력히 반대합니다. 의심할 바 없이, 우리는 개인정보 보호 보장을 훼손하기보다는 EU 시장을 떠날 것입니다.” – https://mastodon.world/@Mer__edith/112535616774247450

시그널이 이렇게 말할 정도니 영향권에 드는 모든 서비스들은 긴장할 수 밖에 없습니다. 생각나는 것만 적어봐도 WhatsApp, Telegram, Facebook, Instagram, X(Twitter), Threads, Bluesky, Gmail, ProtonMail, Tuta 이 뿐만 아니라 iCloud, Dropbox, Google Drive 같은 클라우드 공간도 마음 놓을 수 없게 됩니다. NextCloud도 목소리를 냈고, EFF 등 비영리 단체에서도 강력 비난하고 있어요.

반성/반대 국가

2025년 10월 02일 현재 찬성/반대 EU 회원국 상태를 보면

암호화 해독

특히 종단간 암호화 무력화 된다고 말이 많습니다.

위 문서에서는 아래와 같이 나와있습니다.

높은 수준의 사이버보안을 유지하고 암호화된 통신에 대한 침입 가능성을 배제하기 위해, 종단간 암호화를 사용하는 대인 간 통신 서비스에서의 감지는 콘텐츠 전송 전 단계에서만 가능하며 사용자의 동의를 요구합니다(단방향 클라이언트 측 스캐닝). 해당 기술은 반드시 효과성, 기본권에 미치는 영향 및 사이버 보안 위험 측면에서 검토되어야 하며, 위원회와 EU 센터가 공동으로 참여하는 시행 법령을 통해 승인되어야 한다. 특히 종단간 암호화 서비스를 활용한 감지 기술에는 특정 안전장치가 적용된다.

말은 종단간 암호화는 보호되는 것처럼 이야기하지만 업계에서는 사용자의 기기에서 암호화가 이루어지기 전에 먼저 검열이 이루어질 것이라는 의견이 적지 않습니다.

그래서 저는 정부가 만든 스파이웨어나 다름없다고 생각합니다. 적어도 제 눈에는 그렇게 보여요.

EU야.. 이러는 EU가 있을거 아니야

요즘 유럽 분위기가 너무 좋지 않네요. 한 때 ‘유럽’하면 떠오르는 단어 중 하나가 ‘사생활 존중’, ‘자유로움’이었는데 굉장히 빠른 속도로 경직되는 느낌입니다. EU의 ChatControl(채팅 통제) 법안에 관한 이야기는 작년부터 지켜봐왔는데 어쩌다 이렇게까지 검열을 강화하기로 마음 먹은걸까요? 감시와 검열이 강화되어도 이상하지 않은 일부 국가도 아니고 EU 국가들에 전체적으로 적용된다면 파급효과는 전 세계적으로 영향을 미칠거라 생각합니다.

주요 국가들이 변화하면 다른 국가들도 명분을 얻게 되는데 이게 우리나라까지 불씨가 번질까봐 강건너 불구경처럼 즐길수가 없습니다. 유럽에서 중국스러운 것은 프랑스 하나로 충분했는데 바이러스가 퍼지는 것 같네요.

주도권과 견제

일부 시각으로는 EU가 매우 큰 시장을 무기로 글로벌 기업들에 영향력을 미치려는 의도도 있을거라고 말합니다. 냉정하게 생각해보면 EU는 시장 규모에 비해 글로벌 플랫폼 기업을 가진게 거의 없습니다.

Google, Microsoft, Apple Youtube, Netflix, Meta(Facebook, WhatsApp, Instagram), X(Twitter), Tiktok 등 소프트웨어, 하드웨어, 인터넷 플랫폼 거기다 인프라까지 모두 미국이 장악하고 있지 유럽 기업 중에 생각나는 것은 스웨덴에 본사가 있는 Spotify 밖에 없네요.

EU가 할 수 있는 것은 강력하게 규제하고, 최대한 벌금 먹이는 것 말고는 사실상 없다고 봐야죠. 물론 이는 장점도 매우 큽니다. 시장 지배력 남용을 억제하고 개인정보 보호 견제가 가능하니까요. (아이폰 USB-C도 ㅋㅋ)

만약 ChatControl 법안이 통과된다면 크게 피해보는 것은 대부분 미국 기업 아닐까요? EU로서는 피해 입어봤자 중소기업들이고 국제적으로도 “야이 그래서 EU랑 안 놀거야?”가 가능하기 때문에 밑지는 장사는 아니라고 보이네요. (저의 짧은 식견입니다.)

실효성과 명분

범죄자들은 자신의 욕망이나 목표를 위해서 부단히 노력합니다. 이런 사전 검열 시스템이 자리잡는다 하더라도 회피 방법이 없을까요? 결국 우회 수단은 얼마든지 나올텐데 제2의 VPN 사태나 다름없게 될 것으로 보입니다. VPN 시장을 이렇게 키우게 된 것이 결국 정부아니던가요.

결국 소수의 사람만 우회해서 피해갈 것이고, 대다수의 시민들만 검열 상자로 들어가게 되는 결과로 끝날 것이라 생각합니다. 아동 보호라는 거부하기 힘든 명분을 내세워 합법적인 감시/검열 시스템을 구축하려는 의도가 아닌지 의심하지 않을 수 없습니다. 그게 아니더라도 EU가 시작하면 다른 나라들도 따라하게 됩니다.

주요 비판점

• 기본권 침해: ‘무죄 추정의 원칙’ 위배이며 ‘표현의 자유’를 위축시킨다.
• 기술 무결성: 오탐지로 인한 행정력 낭비와 무고한 피해자 발생
• 실효성 부재: 결국 감시 당하는 것은 우회 지식, 정보가 부족한 일반 시민 뿐
• 보안 약화: 많은 Privacy 관련 기업들이 EU를 떠나고, EU를 대상으로 서비스하기 어려워질 것
• 악용 가능성: 올바르지 않은 정치인이 권력을 잡았을 때 생기는 부작용. 권력 유지, 강화를 위해 사용될 가능성

ChatControl와 같은 대규모 검열 시스템이 자리잡게 된 후에 도람뿌같은 정치인이 권력을 잡으면? ㅋㅋ

온라인 의견

• “법안이 진정으로 겨냥하는 건 CSAM이 아니라 표현의 자유와 시민 소통 통제다.”
• “범죄자는 암호화 채널 때문에 범죄를 저지르는 게 아니라, 실제 문제는 피해 아동 접근아닌가?”
• “이 법안이 통과되면 가장 큰 이익은 EU 외의 국가들”
• “암호화된 ZIP 파일도 막을거냐?”
• “중국의 절대적 통제가 범죄를 막았는지 생각해봐야 한다.”
• “정책 설계자는 암호화도 프라이버시도 이해하지 못하는 것 같다.”

ChatControl and VPN

Encryption at Risk – VPN Trust Initiative 입장문에서는

• 강력한 암호화는 디지털 보안의 핵심이며, 이를 약화시키는 것은 모든 사람을 위험에 빠뜨린다.
• VPN 보안도 암호화에 의존하는데 암호화가 약화되면 VPN 핵심 가치가 상실되며 신리와 안전이 근본적으로 훼손된다.
• 일반 시민부터 내부 고발자, 사회활동가, 언론인, 정보원 등이 암호화된 VPN을 사용하는데 이들이 보호받지 못할 수 있다.
• No Log 정책 유지가 불가능할 수 있다.

라고 이야기 합니다. 저 또한 이 말에 동의합니다. Control Chat 뿐 아니라 다른 국가도 마찬가지 입니다.

미국은 EARN IT Act 등으로 암호화 약화 간접 압박, 영국 정부는 국가 안보를 이유로 영국 사용자들의 iCloud의 암호화 된 데이터에 대한 접근 권한을 제공하라고 명령하기도 했습니다. 그래서 Apple은 영국에서 고급 데이터 보호(Advanced Data Protection)를 비활성화 했습니다.

현재로서 제가 선택할 수 있는 가장 믿음직한 방패이자 은신처인 VPN 회사도 영향을 받지 않을까 걱정입니다. 개인정보보호법은 다른 국가에 비해서 안전하다고 그렇게 떠들던 스위스도 변화하고 있습니다. 그로인해 Proton이 스위스를 떠날 수 있다며 일부 서비스를 독일로 이전하기도 했죠.

스위스 개인정보보호법 개정안과 ChatControl은 다르지만 유럽 전반적으로 개인정보보호와 디지털 감시의 선과 명분에 대한 접근이 확연하게 달라지는 것을 느낄 수 있습니다.

이런 변화의 물결 속에서 가장 큰 장애물이자 주요 타겟인 VPN 서비스 또한 장기적으로 위기를 겪을 수 밖에 없을 것입니다.