- 들어가며 — 서로 모순되는 두 가지를 말하는 표결
- '챗 컨트롤'이 실제로 가리키는 것
- 7월 9일 표결이 실제로 한 일
- 기술적 긴장: 클라이언트 사이드 스캐닝 대 종단간 암호화
- 마치며 — 메시징·프라이버시 기술을 만든다면
- 참고 자료
들어가며 — 서로 모순되는 두 가지를 말하는 표결
2026년 7월 9일, 유럽의회는 표결장에 있던 의원 중 반대가 찬성보다 많았음에도 메시지 스캐닝 규정을 통과시켰습니다. 문장 자체가 고장 난 것처럼 들리고, 온라인 반응도 뜨거웠습니다. 하지만 '챗 컨트롤'은 헤드라인과 실제 메커니즘이 어긋나는 대표적인 주제이며, 사람들이 두려워하는 것(종단간 암호화가 깨지는 것)과 실제로 통과된 것(자발적 스캐닝의 예외 조항)이 서로 다른 사안입니다.
이 글은 그 둘을 조심스럽게 분리하려는 시도입니다. 규정이 강제하는 것, 비판자가 우려하는 것, 지지자가 내세우는 것은 서로 다른 층위이므로 끝까지 구분해서 다루겠습니다.
'챗 컨트롤'이 실제로 가리키는 것
'챗 컨트롤'은 법의 이름이 아닙니다. 아동 성착취물(CSAM)을 찾겠다며 사적 통신을 스캔하려는 일련의 EU 제안에, 비판 진영이 붙인 별명입니다. 대표적으로 전직 유럽의회 의원 파트릭 브라이어(Patrick Breyer)와 디지털 권리 네트워크 EDRi가 써 왔습니다. 이 별명 하나에 성격이 전혀 다른 두 문서가 숨어 있습니다.
- 챗 컨트롤 1.0 —
Regulation (EU) 2021/1232, ePrivacy 지침에 대한 한시적 예외 조항입니다. 웹메일과 메신저 사업자가 CSAM을 자발적으로 스캔하는 것을 허용할 뿐, 누구에게도 무엇을 강제하지 않으며, 조문상 종단간 암호화된 콘텐츠에는 미치지 않습니다. 7월 9일에 통과된 것이 바로 이것입니다. - 챗 컨트롤 2.0 — 아동 성착취 규정(CSAR) 제안,
COM(2022) 209 final. 의무적 탐지 명령과 새로운 EU 센터를 도입합니다. 아직 3자 협의(trilogue)에 묶여 있고 채택되지 않았습니다.
이 주제에 관한 오해의 상당수는 1.0과 2.0을 한 이야기로 뭉개는 데서 옵니다. 의무적이고 암호화를 위협하는 쪽은 2.0이며, 2.0은 아직 법이 아닙니다.
7월 9일 표결이 실제로 한 일
절차 자체가 이 사건의 핵심이므로 순서대로 봅니다.
- 2026년 3월 말, 의회는 2021년 예외 조항의 연장을 근소한 차이로 부결했고, 한시 규정은 4월 초에 만료됐습니다.
- 이후 이사회(Council)가 이 안건을 되살려 7월 2일 자신들의 입장을 채택하고 2차 독회로 되돌려 보냈습니다.
- 일반 입법 절차(TFEU 제294조)상, 2차 독회에서 의회가 이사회 문안을 부결하려면 재적 의원의 절대다수, 즉 720석 중 361표가 필요합니다.
- 7월 9일, 부결 동의안은 찬성(부결하자) 314표, 반대 276표, 기권 17표를 얻었습니다. 다수가 폐기를 원했지만 314표는 361표에서 47표가 모자랐습니다. 동의안은 부결됐고, 규정은 채택되어 자발적 스캐닝 예외는 2028년 4월 3일까지 이어집니다.
그래서 널리 회자된 "다수가 반대했는데도 통과됐다"는 말은 절차적으로 정확합니다. 2차 독회에서는 침묵과 결석이 찬성으로 계산됩니다. 브라이어를 비롯한 비판자들은 이를 최대 교섭단체(EPP)의 우회 전술이라 부르고, 지지자들은 규칙의 정상적 작동이라 부릅니다. 같은 사실에 두 서술이 모두 들어맞습니다.
의회는 종단간 암호화 서비스에 대한 명시적 예외를 포함한 수정안들도 채택했습니다. 브라이어는 사업자들이 어차피 암호화된 콘텐츠를 스캔하지 않았다는 점을 들어 이 예외를 '상징적'이라고 부릅니다. 기술적으로 맞는 말이고, 이것이 사안의 핵심이기도 합니다.
기술적 긴장: 클라이언트 사이드 스캐닝 대 종단간 암호화
이런 체계의 탐지는 크게 세 가지 기법을 쓰며, 신뢰도는 서로 다릅니다.
- 지각 해시 매칭 — 알려진 CSAM 데이터베이스와 대조합니다(PhotoDNA, 그리고 애플의 실패한 NeuralHash). 성숙하고 비교적 정확하지만 해시는 공격 대상이 됩니다. 연구자들은 NeuralHash를 역공학해 의도적 충돌을 만들어냈습니다.
- AI 분류기 — 알려지지 않은 이미지를 판별합니다. 유럽의회 자체 연구 기관은 현재 기술로는 신종 CSAM을 용인 불가능한 오류율 없이 신뢰성 있게 탐지할 수 없다고 결론지었습니다.
- 텍스트/자연어 그루밍 탐지 — 셋 중 가장 신뢰도가 낮습니다.
정확도가 높게 들려도 문제인 이유는 기저율(base rate) 때문입니다. 한 유럽의회 연구는 아일랜드의 어느 데이터셋에서 경찰에 넘겨진 CSAM 신고 중 실제 불법물로 확인된 것은 약 20%뿐이었다고 보고했습니다. 어떤 분류기든 하루 수십억 건의 메시지에 돌리면, 아주 작은 오탐률이라도 무고한 사람이 표시되고 그들의 사적 메시지가 검토에 노출되는 절대 건수는 막대해집니다.
이제 암호화 쪽입니다. 종단간 암호화는 발신자와 수신자만 키를 갖는다는 뜻입니다. 서버는 평문을 읽을 수 없으므로 서버 측 스캔은 구조적으로 불가능합니다. 암호화된 콘텐츠를 스캔하는 유일한 길은 암호화되기 전에 기기 위에서 검사하는 것, 즉 클라이언트 사이드 스캐닝입니다.
서버 측 스캔(비 E2EE): 평문 ── 스캔 ──▶ 저장/전달
클라이언트 측 스캔(E2EE 도달): 평문 ── 스캔 ──▶ 암호화 ──▶ 전송
두 번째 줄이 논란의 전부입니다. 애블슨, 앤더슨, 리베스트, 슈나이어, 트론코소 등 14명의 중견 암호학자는 "Bugs in Our Pockets"(2021)에서, 엔드포인트에 심긴 스캐닝 훅은 범용 감시 능력이라고 주장했습니다. 일단 존재하면 새로운 대상으로 용도를 바꿀 수 있고, 그 자체가 공격 표면이 된다는 것입니다. 애플은 이 주장을 몸으로 겪었습니다. 2021년 8월 기기 내 CSAM 스캐닝을 발표했다가, 반발과 충돌 공격 이후 2022년 12월 이를 철회했습니다. 2024년 2월 유럽인권재판소는 암호화 약화가 "민주 사회에서 필요한 것으로 볼 수 없다"고 판시했습니다.
마치며 — 메시징·프라이버시 기술을 만든다면
정직한 요약은 극적이지 않습니다. 7월 9일 통과된 것은 비암호화 서비스 사업자가 스캐닝을 이어갈 수 있는 자발적 법적 근거이며, 2028년까지 연장됐습니다. 누구도 강제하지 않고 종단간 암호화를 건드리지 않습니다. 수정안이 그 점을 명문화하기까지 했습니다. E2EE 앱을 운영한다면, 1.0의 어떤 조항도 여러분의 빌드에 클라이언트 사이드 스캐너를 강제하지 않습니다.
그 아키텍처를 실제로 위협하는 싸움은 의무적 탐지 명령을 담은 2.0, 즉 CSAR입니다. 그리고 그것은 여전히 3자 협의에서 미결입니다. '탐지 명령 + 종단간 암호화'에는 암호화 보장을 지키는 기술적 해법이 없기 때문입니다. 지켜봐야 할 문서는 이쪽입니다.
두 가지를 동시에 붙잡을 필요가 있습니다. 지지자들이 나쁜 뜻으로 말하는 것은 아닙니다. 사업자의 자발적 신고는 실제 수사 의뢰로 이어지고, 법적 근거가 사라지면 수사기관이 쓰던 도구가 없어집니다. 비판자들도 옳습니다. 모두를 대상으로 한 무혐의 스캐닝은 EDRi의 표현으로 "교과서적 대량 감시"이며, 클라이언트 사이드 스캐닝은 종단간 암호화라는 말의 정의를 바꾸지 않고서는 그 위에 덧붙일 수 없습니다. 이번만큼은 양측이 같은 벽을 서로 다른 쪽에서 묘사하고 있습니다. 이 분야에서 무언가를 만든다면 설계의 경계선은 그대로입니다. 엔드포인트에서의 콘텐츠 검사와 종단간 암호화는 양립하지 않으며, 어떤 표결도 그 계산을 바꾸지 못합니다.
참고 자료
- Patrick Breyer, "EU Parliament greenlights Chat Control 1.0" — https://www.patrick-breyer.de/en/eu-parliament-greenlights-chat-control-1-0-breyer-our-children-lose-out/
- Euronews, "European Parliament aims to exclude end-to-end chats from message-scanning regime" (2026-07-09) — https://www.euronews.com/my-europe/2026/07/09/european-parliament-aims-to-exclude-end-to-end-chats-from-message-scanning-regime
- EDRi, "Chat Control is in the final stretch" — https://edri.org/our-work/chat-control-is-in-the-final-stretch-but-it-could-be-a-marathon-not-a-sprint/
- Wikipedia, "Chat Control" — https://en.wikipedia.org/wiki/Chat_Control
- H. Abelson, R. Anderson, et al., "Bugs in Our Pockets: The Risks of Client-Side Scanning" (2021) — https://arxiv.org/abs/2110.07450
- CNN, "Apple abandons controversial plan to check iOS devices for child abuse imagery" (2022) — https://www.cnn.com/2022/12/08/tech/apple-csam-tool
현재 단락 (1/31)
2026년 7월 9일, 유럽의회는 표결장에 있던 의원 중 반대가 찬성보다 많았음에도 메시지 스캐닝 규정을 통과시켰습니다. 문장 자체가 고장 난 것처럼 들리고, 온라인 반응도 뜨거웠...