미국 의회가 추진 중인 ‘KIDS 법안’이 아동 보호를 명분으로 내세운 가운데, 오히려 대규모 개인정보 수집과 해킹 위험을 키울 수 있다는 우려가 커지고 있다.
2024년 신원 인증 업체 AU10TIX는 틱톡과 우버 등에 서비스를 제공하는 과정에서 운전면허증 정보를 1년 넘게 해커에 노출한 사실이 드러났다. 2025년에는 디스코드의 연령 인증 시스템 공급업체가 해킹을 당해 약 7만 명의 정부 신분증 정보가 유출됐다. 이미 반복된 사례는 하나의 흐름을 보여준다. ‘연령 확인’이 외부 업체와 데이터 저장에 의존하는 순간, 보안 시스템 자체가 공격 지점이 된다는 점이다.
여기에 인공지능(AI)의 발전은 상황을 더욱 악화시키고 있다. 해킹 속도는 빨라지고, 공격으로 인한 피해 확산도 훨씬 쉬워졌다.
이 같은 흐름 속에서 미국 하원은 지난 6월 29일 ‘아동 인터넷 및 디지털 안전(KIDS) 법안’을 찬성 267대 반대 117로 통과시켰다. 법안의 핵심은 ‘아동 온라인 안전법(KOSA)’을 기반으로 하며, 현재 상원 심사를 앞두고 있다. 다만 KOSA 공동 발의자인 리처드 블루멘탈 의원과 마샤 블랙번 의원은 하원안을 강하게 비판하며 더 강력한 규제를 요구하고 있다. 상원 상무위원회 논의 결과에 따라 향후 온라인 신원 인증 체계의 방향이 결정될 것으로 보인다.
‘연령 확인’ 의무 없지만 사실상 강제 구조
KIDS 법안은 표면적으로 연령 확인을 의무화하지 않는다. 그러나 플랫폼이 미성년자 피해에 대해 법적 책임을 지도록 설계하면서, 기업 입장에서는 선택지가 제한된다. 이용자 연령을 확인하거나, 아니면 책임 위험을 감수해야 한다.
결국 법적 책임 구조 자체가 연령 인증을 ‘사실상 강제’하는 메커니즘으로 작동한다. 법안에 명시적 조항이 없다는 주장만으로는 현실적 영향을 설명하기 어렵다는 지적이 나오는 이유다.
문제는 여기서 시작된다. 접근 권한을 위해 정보 제공이 필수가 되면 데이터 수집 범위는 점점 확대된다. 단순히 나이를 확인하는 도구가 ‘누구인지’를 식별하는 시스템으로 변하고, 기업은 방대한 신원 데이터 저장소를 구축하게 된다. 그러나 이러한 저장소는 또 하나의 ‘위험 자산’일 뿐이다. AU10TIX 사례처럼 언제든 대규모 유출 사고로 이어질 수 있다.
프라이버시 중심 대안 이미 등장
전문가들은 기술적으로 더 나은 선택지가 이미 존재한다고 강조한다. 특정 서비스가 필요한 것은 ‘정확한 나이’가 아니라 ‘연령 조건 충족 여부’일 뿐이라는 것이다.
미국 유타주에서는 ‘주 인증 디지털 신원(SEDI)’ 법을 통해 보다 진화된 모델을 도입했다. 카르다노 재단이 구축한 ‘베리디안(Veridian)’ 시스템은 사용자가 특정 연령 기준을 만족하는지만 증명하고, 그 외 개인정보는 공개하지 않도록 설계됐다. 개인정보를 최소화하면서도 신뢰를 확보할 수 있는 구조다.
이 사례는 중요한 메시지를 던진다. 신뢰는 반드시 데이터 공개를 전제로 하지 않아도 된다는 점이다. 설계 단계부터 ‘프라이버시 보호’를 포함할 수 있다.
아동 보호 vs 데이터 감시, 균형이 핵심
KIDS 법안의 목표는 명확하다. 아동 보호다. 그러나 현재 구조는 플랫폼 전반에 더 많은 데이터 수집과 저장을 유도하며, 결과적으로 ‘디지털 감시 인프라’를 확대할 가능성이 있다.
전문가들은 해법 역시 분명하다고 본다. 데이터 최소 수집, 저장 기간 제한, 그리고 필요한 경우에만 프라이버시 보호형 인증을 도입하는 것이다. 기술적으로 가능한 방식이 존재하는 만큼, 정책 역시 이를 반영해야 한다는 주장이다.
결국 핵심 기준은 단순하다. 아동을 보호하되, 불필요한 정보 공개 없이 신뢰를 구축하는 것. 인터넷을 ‘신원 확인 관문’으로 만드는 대신, 최소한의 데이터로 안전을 확보하는 방향이 요구된다.
KIDS 법안의 향방은 향후 디지털 신원 체계의 기준을 결정짓는 시험대가 될 전망이다. ‘보호’와 ‘감시’ 사이에서 어떤 선택을 할지에 따라 인터넷 환경의 성격 자체가 달라질 수 있다.
🔎 시장 해석
미국 KIDS 법안은 아동 보호를 명분으로 하지만, 실제로는 플랫폼에 연령 확인 책임을 떠넘기며 대규모 신원 데이터 수집을 유도하는 구조를 형성함
연령 인증 시장 확대와 함께 인증·보안 산업 수요는 증가하겠지만, 동시에 해킹 리스크도 구조적으로 커지는 환경
AI 기반 공격 고도화로 개인정보 유출 피해 규모와 속도가 더욱 증폭되는 흐름
💡 전략 포인트
단순 신원 수집형 인증 모델은 리스크가 커 장기적으로 규제·신뢰 문제에 직면할 가능성 존재
‘연령 충족 여부만 증명’하는 프라이버시 보호형 인증 기술이 차세대 표준으로 부상할 가능성
데이터 최소 수집, 저장 기간 제한, 탈중앙형 인증 구조가 정책과 산업의 핵심 경쟁 포인트로 부각
플랫폼 기업은 법적 리스크 회피와 사용자 신뢰 확보를 동시에 고려한 인증 전략 필요
📘 용어정리
KIDS 법안: 아동 온라인 안전 강화를 목표로 한 미국 법안 패키지
KOSA: 플랫폼의 미성년자 보호 책임을 강화하는 핵심 법안
연령 인증: 사용자의 나이를 확인하기 위한 기술 및 절차
프라이버시 보호형 신원: 필요한 정보만 선택적으로 증명하는 디지털 신원 방식
SEDI: 정부 인증 디지털 신원 체계로, 개인정보 최소 공개를 목표로 함


