보안과 프라이버시 보호에 중점을 둔 안드로이드 운영체제(OS)인 GrapheneOS 사용자가 신원 확인 서비스 Yoti에 의해 당국에 신고되었다는 주장이 제기되어 논란이 되고 있습니다. 한 사용자가 Yoti 고객지원팀으로부터 받은 답변 캡처에 “GrapheneOS 실행 기기를 자동 플래그 처리하고 당국 및 보안팀에 자동 보고한다”는 문구가 포함되면서, 사생활 보호를 위한 OS 사용이 오히려 고위험 신호로 간주될 수 있다는 우려가 커지고 있습니다.
이번 논란은 연령·신원 확인 서비스가 GrapheneOS 사용 자체를 보고 사유로 삼을 경우, 개인정보 보호에 특화된 OS가 범죄와 연관된 것으로 오해받을 수 있다는 점에 초점을 맞춥니다. 앱은 표준 API, 메모리 검사, 하드웨어 증명 API(Hardware Attestation API), 플레이 인테그리티(Play Integrity) 등을 통해 OS와 기기 모델을 식별할 수 있으며, 이를 앱에서 숨길 현실적인 방법은 거의 없습니다. GrapheneOS는 광범위한 익스플로잇 완화 기능을 제공하지만, 이러한 보호 기능 자체가 다른 시스템에는 없는 '지문(fingerprint)'이 되어 GrapheneOS임을 식별하는 단서가 될 수 있다는 지적도 나옵니다. 반론도 만만치 않습니다. 고객지원 담당자의 과장된 발언일 가능성이 높고, Yoti가 GrapheneOS를 특정해 탐지하기보다는 구글 모바일 서비스(Google Mobile Services)를 사용하지 않는 환경을 감지했을 가능성이 더 크다는 분석입니다.
이 사건은 디지털 신원 확인이 필수가 되어가는 시대에 개인의 프라이버시를 지키려는 노력과 기업 및 정부의 규제 사이의 긴장감을 극명하게 보여줍니다. GrapheneOS 같은 보안 OS 사용이 불법이 아님에도 불구하고, 특정 서비스에서 이를 '의심스러운 활동'으로 분류하고 당국에 보고한다면, 프라이버시를 중시하는 사용자들은 잠재적인 감시 대상이 될 수 있습니다. 이는 사용자들이 자신의 디지털 정체성을 어떻게 보호하고 통제할 수 있을지에 대한 근본적인 질문을 던지며, 민감한 데이터를 다루는 서비스 이용 시 더욱 신중한 접근이 필요함을 시사합니다. 한편, 일부에서는 민감한 데이터가 없는 저가형 안드로이드 기기를 본인 확인이나 정부 앱 전용으로 사용하고, GrapheneOS 기기는 일반적인 용도로만 사용하는 '분리 사용' 방식을 제안하기도 합니다.