유럽연합(EU)이 시민들의 공공 서비스 접근과 온라인 연령 확인을 위해 도입하는 디지털 신분증(ID) 지갑이 구글(Google)과 애플(Apple) 같은 빅테크 기업의 보안 서비스에 의존하고 있어 논란이 일고 있습니다. 이 지갑들은 앱이 변조되지 않은 기기에서 실행되는지 확인하는 '원격 증명(remote attestation)' 기능을 구글의 '플레이 인테그리티(Play Integrity) API'나 애플의 '매니지드 디바이스 어테스테이션(Managed Device Attestation)' 같은 민간 플랫폼에 맡기고 있습니다. 이는 공공 인프라가 특정 사기업의 정책과 이해관계에 종속될 수 있다는 비판을 받고 있습니다.
특히 구글 플레이 인테그리티 API는 앱이 '정품 인증된 안드로이드(Android) 기기'에서 실행되는지 확인하는데, 이때 구글 라이선스 안드로이드와 플레이 스토어(Play Store) 설치 여부를 기준으로 삼습니다. 이로 인해 '탈구글(de-Googled)' 운영체제(OS)를 사용하는 사용자들은 디지털 ID 지갑 서비스에서 배제될 수 있습니다. 네덜란드와 이탈리아는 이 API를 구현한 반면, 스위스는 데이터 보호와 기술 주권 우려로 이를 제외하고 안드로이드의 하드웨어 증명 API 같은 개방형 대안을 사용하고 있습니다. EU의 '아키텍처 참조 프레임워크(Architecture Reference Framework)'는 구글 증명을 필수로 요구하지 않지만 권장하고 있어 국가별 해석이 엇갈리는 상황입니다.
이러한 의존성은 EU가 빅테크 독점을 견제하려는 '디지털 시장법(DMA)'의 목표와도 충돌합니다. 디지털 ID 지갑은 단순한 앱이 아닌 공공 인프라로서, 모든 시민에게 개방적이고 포용적으로 제공되어야 합니다. 민간 기업의 보안 서비스에 의존할 경우, 정부가 사실상 특정 기업의 플랫폼 정책을 집행하는 역할을 하게 되며, 이는 기술 주권과 사용자 선택의 자유를 침해할 수 있습니다. 전문가들은 EU가 디지털 자율성을 진지하게 추구한다면, 구글과 애플 증명을 완전히 배제하고 개방형 하드웨어 기반 증명 메커니즘을 의무화해야 한다고 강조합니다. 시민과 개발자들은 각국 정부에 이러한 문제 제기를 통해 디지털 ID 지갑이 진정한 공공 인프라로 기능할 수 있도록 요구해야 할 것입니다.