EU 디지털 신원 지갑은 왜 구글과 애플에 기대는가: 디지털 주권의 역설
EU 디지털 신원 지갑은 왜 구글과 애플에 기대는가: 디지털 주권의 역설
유럽은 빅테크의 독점에 맞선다는 명분으로 자국 시민의 신원 인프라를 스스로 지으려 한다. 그런데 그 인프라가 작동하려면 구글과 애플의 검증 서비스를 통과해야 한다. 주권을 선언한 프로젝트가 왜 그 주권의 대상에 의존하게 되는가.
도입 — 주권 프로젝트의 심장에서 발견된 모순
2026 년 6 월 30 일 (KST), 네덜란드의 기술·사회 연구기관 Waag Futurelab 이 올린 한 편의 분석이 Hacker News 첫 페이지에 올라 694 점을 받고 댓글 299 개가 달렸다. 제목은 직설적이다. “유럽의 디지털 신원 지갑은 구글과 애플에 주는 선물이다 (European digital ID wallets are a gift to Google and Apple).” 유럽연합이 eIDAS 2.0 규정 아래 배포하는 EUDI (European Digital Identity) 지갑에 관한 글이다.
EUDI 지갑은 작은 앱이 아니다. 시민이 정부 서비스에 접속하고, 온라인에서 나이를 증명하고, 로그인과 공문서를 관리하는 통로다. 유럽이 자국 시민의 디지털 신원을 스스로 관리하겠다고 선언한 핵심 공공 인프라다. 그 선언의 밑에는 “빅테크의 게이트키핑에서 벗어나겠다”는 정치적 의지가 깔려 있다. GDPR, 디지털 시장법 (DMA), 디지털 주권 담론이 모두 같은 방향을 가리킨다.
그런데 Waag 의 분석이 짚은 것은 그 심장부의 모순이다. 지갑 앱이 안전한 기기에서 실행되는지 검증하기 위해, 네덜란드와 이탈리아의 구현체는 구글의 Play Integrity API 와 애플의 Managed Device Attestation 을 채택했다. 주권을 선언한 프로젝트가, 바로 그 주권의 대상인 미국 빅테크의 독점적 검증 시스템에 의존하는 구조가 그 심장에 심겨 있었다. 이 글은 그 모순의 기술적 구조와 정치적 함의를 차례로 들여다본다.
원격 증명이라는 보이지 않는 관문
먼저 기술을 이해해야 한다. 문제의 중심에는 원격 증명 (remote attestation) 이라는 개념이 있다. 원격 증명은 어떤 기기가 “신뢰할 수 있는 상태”인지를 원격의 서버가 확인하는 절차다. 신원 지갑처럼 높은 가치를 지닌 자격 증명을 다루는 앱은 정당한 이유를 가진다. 지갑 앱이 변조된 하드웨어나 조작된 운영체제 위에서 돌고 있다면, 그 위에 저장된 신원 정보는 탈취되거나 위조될 수 있다. 그래서 서버는 앱을 실행하는 기기가 변조되지 않았음을 증명받고 싶어 한다. 여기까지는 정당한 보안 요구다.
문제는 그 증명을 누가, 어떤 방식으로 수행하느냐다. 구글의 Play Integrity API 와 애플의 Managed Device Attestation 은 각 회사가 독점적으로 통제하는 원격 증명 방식이다. 앱은 구글이나 애플의 서버에 “이 기기가 정품 맞느냐”고 물어보고, 그 회사가 발급한 서명된 판정을 받아 자신의 백엔드에 전달한다. 판정의 기준과 로직은 전적으로 그 회사의 손에 있다.
Waag 가 핵심적으로 지적하는 대목이 여기다. “구글의 Play Integrity API 는 단순한 보안 기능이 아니다. 그것은 안드로이드 생태계에 대한 구글의 통제를 강화하는 장치다.” Play Integrity 는 기기가 구글이 라이선스한 안드로이드를 실행하는지 확인하고, 그렇지 않은 대안들을 위험으로 취급한다. 판정의 권위 있는 출처로 구글 플레이 스토어를 사용하며, 많은 경우 구글 계정 인증을 요구한다. 즉 이 API 를 통과하려면 사실상 구글의 생태계 안에 있어야 한다. 보안 검증이라는 외피 아래에서 실제로 강화되는 것은 생태계 락인이다.
이 구조의 가장 날카로운 귀결은 배제다. 프라이버시를 중시해 구글 서비스를 걷어낸 운영체제 — /e/OS, GrapheneOS 같은 de-Googled 안드로이드 — 를 쓰는 시민은 Play Integrity 를 통과할 수 없다. 이 운영체제들은 대개 원래의 안드로이드보다 보안이 더 강한 방향으로 설계되었음에도, 구글이 정의한 “정품 안드로이드”의 기준을 충족하지 못한다는 이유로 위험으로 분류된다. 그 결과 이들은 정부의 신원 지갑에 접근하지 못한다.
이것은 낯선 메커니즘이 아니다. 루팅한 안드로이드폰에서 은행 앱이나 넷플릭스가 작동을 거부하는 바로 그 현상이 Play Integrity 다. 지금까지는 민간 앱의 개별 정책 문제였다. 그러나 그 동일한 관문이 정부 신원 인프라의 입구에 놓이는 순간, 문제의 성격이 달라진다. 사기업의 앱을 못 쓰는 것과, 시민이 정부 서비스에 접근하지 못하는 것은 전혀 다른 차원의 배제다. 원격 증명은 눈에 보이지 않는 곳에서 작동하는 병목이다. 그 병목의 스위치를 쥔 것이 유럽 정부가 아니라 캘리포니아의 두 회사라는 사실이, 이 사안의 무게 중심이다.
주권의 역설 — 정부가 플랫폼 정책의 집행자가 될 때
기술 구조가 만들어내는 정치적 귀결은 하나의 역설로 요약된다. 빅테크의 독점에 맞선다고 선언한 유럽 정부들이, 바로 그 빅테크의 독점적 시스템을 자국의 공공 인프라 안에 심고 있다는 것이다.
이 역설의 무게는 유럽이 스스로 내건 목표와 대조할 때 드러난다. EUDI 프로젝트의 공식 언어는 “개방성, 포용성, 기술 주권 같은 공공 가치에 기반한 디지털 공공 인프라”를 지향한다. 그런데 그 인프라의 접근 통제를 구글과 애플의 판정에 위임하는 순간, 세 가치가 모두 훼손된다. 개방성은 폐쇄적 판정 로직에 종속되고, 포용성은 de-Googled OS 사용자를 배제하며, 기술 주권은 외국 사기업의 인프라에 의존하게 된다. 선언된 가치와 구현된 구조가 정면으로 충돌한다.
더 깊은 문제는 정부의 역할 자체가 뒤바뀐다는 데 있다. 신원 지갑이 Play Integrity 를 요구하도록 설계되면, 시민이 정부 서비스에 접근할 수 있는지 여부를 구글의 정책이 결정한다. 구글이 어떤 기기를 “위험”으로 분류할지, 어떤 조건에서 판정을 내줄지를 바꾸면, 유럽 정부의 서비스 접근 정책이 그에 따라 자동으로 바뀐다. 이 구조에서 정부는 사실상 기업 플랫폼 정책의 집행자가 된다. 시민과 정부 사이에 사기업의 판정 계층이 끼어들고, 정부는 그 판정을 자기 이름으로 강제하는 역할을 맡는다. 공권력의 정당성이 민간 게이트키퍼의 판단에 종속되는 것이다.
이 역설이 왜 막히지 않았는가를 물으면 거버넌스의 실패에 닿는다. EU 의 아키텍처 참조 프레임워크 (Architecture Reference Framework) 는 구글·애플의 증명 방식을 권고 (recommend) 할 뿐, 의무화 (mandate) 하지 않는다. 여기서 결정적 어휘의 문제가 발생한다. “권고”는 여러 방식으로 읽힐 수 있는 말이다. 스위스는 이 권고를 데이터 보호의 관점에서 검토한 끝에 독점적 증명 방식을 거부했다. 반면 다른 나라들은 같은 권고를 사실상의 요구 사항으로 취급했다. 프레임워크가 명확한 기준 대신 느슨한 권고를 내놓은 결과, 각국의 구현이 제각각으로 갈라졌고, 가장 손쉬운 경로 — 구글과 애플이 이미 제공하는 기성 API 를 그대로 채택하는 경로 — 로 다수가 흘러갔다.
이것은 기술 결정이 정치 결정의 공백을 메운 사례다. 상위 정책이 “무엇을 지켜야 하는가”를 명확히 규정하지 않으면, 현장의 개발자는 “무엇이 가장 빨리 작동하는가”를 기준으로 선택한다. 그리고 가장 빨리 작동하는 것은 언제나 빅테크가 이미 깔아 놓은 인프라다. 주권은 이렇게 구현 계층에서 조용히 새어 나간다. 담론의 층위에서 아무리 주권을 외쳐도, 어느 API 를 호출할지를 정하는 코드 한 줄에서 그 주권이 결정된다.
스위스라는 반례 — 그것은 필연이 아니라 선택이었다
구글의 방식이 기술적으로 불가피한 것이었다면, 이 모든 논의는 트레이드오프의 문제로 끝났을 것이다. 안전한 신원 인프라를 위해 어쩔 수 없이 감수하는 대가라고. 그러나 반례가 존재한다. 그리고 반례의 존재는 이것이 필연이 아니라 선택이었음을 증명한다.
안드로이드에는 Hardware Attestation API 라는 별도의 방식이 있다. 이 방식은 기기의 하드웨어 보안 요소 (secure element) 에 뿌리를 둔 암호학적 증명을 제공한다. 즉 기기가 변조되지 않은 하드웨어 위에서 돌고 있음을 하드웨어 수준에서 증명하되, 구글의 생태계 정책 — 구글 플레이 서비스의 존재, 구글 계정 인증, “정품 안드로이드” 여부 — 은 강제하지 않는다. 보안이라는 목적을 달성하면서도 생태계 락인은 만들지 않는 길이다. 스위스는 자국의 전자 신원 프로젝트에서 이 접근을 채택했다. 데이터 보호를 근거로 독점적 증명을 거부하고, 하드웨어 기반 증명으로 방향을 틀었다.
스위스의 선택이 갖는 논증적 무게는 크다. 그것은 구글의 Play Integrity 가 신원 지갑의 보안을 위한 유일한 해법이 아님을, 실제 구현으로 입증한다. 같은 보안 요구를 만족시키는 개방적 대안이 이미 존재하며, 한 나라가 그것을 실제로 골랐다. 그렇다면 네덜란드와 이탈리아의 선택은 기술의 한계가 아니라 정책의 태만에서 나온 것이 된다.
여기서 de jure 와 de facto 의 간극이 선명해진다. 법과 담론의 층위 (de jure) 에서 유럽은 GDPR, DMA, 디지털 주권을 내걸고 빅테크의 통제에 맞선다. 그러나 실제 구현의 층위 (de facto) 에서는 그 빅테크의 인프라에 의존한다. 이 간극은 유럽의 디지털 정책 전반에서 반복되는 패턴이며, EUDI 지갑은 그 패턴이 가장 날카롭게 드러난 사례다. 진짜 주권은 성명서가 아니라 구현의 선택에서 결정된다.
물론 긴장은 실재한다. 높은 가치의 신원 자격 증명은 기기 무결성을 진지하게 검증해야 하고, 그 요구를 폄하할 수는 없다. 문제는 보안이냐 개방성이냐의 양자택일이 아니다. 스위스가 보여 주었듯 둘을 동시에 만족시키는 길이 있는데도, 손쉬운 폐쇄적 경로를 택한 것이 문제다. Waag 의 결론은 그래서 분명하다. 의미 있는 디지털 주권은 개방적 하드웨어 기반 증명을 의무화하고, 참조 프레임워크에서 독점적 대안을 제거할 것을 요구한다. 권고를 의무로 바꾸는 한 줄의 정책이, 주권을 담론에서 구현으로 끌어내리는 열쇠다.
결론 — 주권은 구현 계층에서 결정된다
EUDI 지갑의 사례가 가리키는 것은 단순한 API 선택의 실수가 아니다. 그것은 주권이라는 개념이 어디에서 실제로 성립하고 어디에서 무너지는가에 관한 구체적 교훈이다. 유럽은 담론의 층위에서 가장 강력한 디지털 주권 프로그램을 가졌다. 그러나 그 프로그램의 심장에 해당하는 신원 인프라의 입구를, 자신이 맞서겠다고 선언한 두 회사의 판정에 내주었다.
이 사례가 무거운 이유는 그것이 예외가 아니라 구조이기 때문이다. 상위 정책이 느슨한 권고로 남는 한, 구현 계층은 언제나 가장 저항이 적은 경로 — 빅테크가 이미 깔아 놓은 관문 — 로 흘러간다. 원격 증명은 그 관문이 눈에 보이지 않게 작동하는 대표적 지점이며, 은행 앱을 막던 그 스위치가 이제 정부 서비스의 입구에 놓였다. 스위스의 반례가 증명하듯 다른 길은 있었다. 남은 질문은 유럽이 그 다른 길을 의무로 만들 정치적 의지를 가졌는가다. 주권은 성명서가 아니라, 어느 API 를 호출할지 정하는 코드 한 줄에서 결정된다. 그 한 줄을 누가 쓰는가가, 다음 시대의 디지털 주권의 실체다.
출처: