유럽연합(EU)이 야심 차게 추진하고 있는 디지털 신분증 지갑(Digital ID Wallet)이 구글(Google)과 애플(Apple)의 보안 서비스에 깊이 의존하고 있어 논란이 되고 있습니다. 이 지갑은 시민들이 온라인 서비스에 접근하고 연령을 확인하는 데 사용될 핵심 공공 인프라인데, 구글 플레이 무결성 API(Google Play Integrity API)와 애플의 관리형 기기 증명(Managed Device Attestation) 같은 사설 기업의 ‘원격 증명(remote attestation)’ 기술에 의존하고 있다는 점이 문제로 지적됩니다. 이는 기기가 변조되지 않았음을 확인하는 중요한 보안 기능이지만, 동시에 구글과 애플의 생태계 통제를 강화하는 도구로 작용할 수 있다는 우려가 커지고 있습니다.
구글 플레이 무결성 API는 단순히 보안 기능을 넘어 안드로이드(Android) 생태계에 대한 구글의 통제력을 강화하는 수단으로 활용될 수 있습니다. 이 API는 개발자에게 앱이 ‘정품 인증된 안드로이드 기기’에서 실행되는지 확인하도록 돕지만, 동시에 구글 라이선스가 없는 운영체제를 잠재적 보안 위험으로 간주하여 배제하는 경향이 있습니다. 즉, 앱이 구글 플레이 스토어(Google Play Store)를 통해 설치되었는지, 구글 계정으로 로그인했는지 등을 확인하며 사실상 구글 생태계 밖의 대안적인 운영체제(예: e/OS, GrapheneOS) 사용자를 배제할 수 있습니다. 이는 EU가 추구하는 개방성, 포괄성, 기술 주권이라는 공공 가치와 상충하며, 디지털 시장법(DMA) 위반 소지까지 제기됩니다.
이러한 상황은 EU가 빅테크(Big Tech) 독점을 해소하겠다고 공언하면서도, 실제로는 회원국들이 구글과 애플의 플랫폼 정책을 강화하는 모순을 낳고 있습니다. 네덜란드와 이탈리아 등 일부 회원국은 EU의 권고를 구글 플레이 무결성 API 사용 의무로 해석하여 채택했지만, 스위스 같은 나라는 데이터 보호, 데이터 주권, 선택의 자유를 이유로 구글 서비스를 배제하고 안드로이드의 하드웨어 증명 API(Hardware Attestation API)와 같은 개방형 대안을 선택했습니다. 디지털 신분증 지갑은 정부 문서 접근 및 공공 서비스 로그인에 필수적인 핵심 디지털 공공 인프라이므로, 특정 기업에 종속되지 않고 모든 사용자에게 상호운용 가능하게 제공되어야 한다는 목소리가 높습니다. EU가 진정으로 디지털 자율성을 원한다면, 구글과 애플의 증명 기술을 완전히 배제하고 개방형, 하드웨어 기반의 증명 메커니즘을 의무화해야 할 것입니다.
