브뤼셀 — 유럽연합(EU) 회원국들이 온라인 아동 보호를 위한 초안 법안에 대해 공동 입장을 채택했으나, 알파벳의 구글과 메타 등 글로벌 빅테크에 아동 성착취물(CSAM) 탐지 및 삭제를 강제하는 조항을 포함하지 않기로 했다고 밝혔다. 이로써 플랫폼 사업자에 대한 직접적 의무 부과는 제외됐으며, 각 서비스가 직면한 위험을 평가하고 예방 조치를 취하도록 하는 방향으로 무게 중심이 이동했다.
2025년 11월 26일, 로이터 보도에 따르면, 유럽이사회(European Council)는 수요일 해당 공동 입장을 공식 발표했다. 이 입장은 개인정보 보호를 중시하는 시민단체와 미국 빅테크가 우려해온 전면적 스캐닝 의무화 논쟁에서 기업 자율과 위험 기반 접근을 강화하는 성격을 띤다.
유럽이사회가 밝힌 이번 방향은 알파벳(구글), 메타 등 미국 IT 기업은 물론, 초안 규정이 사생활을 침해할 수 있다고 주장해온 감시 반대 활동가들에게 승리로 평가되고 있다. 이 움직임은 도널드 트럼프 미국 대통령이 주도하는 규제에 대한 광범위한 반발의 일부라는 점에서도 주목된다.
이번 EU 회원국 공동 입장은 2023년 유럽의회가 제시한 더 강경한 입장에 비해 구속력이 약한(less prescriptive) 형태다. 당시 유럽의회는 메신저 서비스, 앱 마켓, 인터넷 접속 제공자에게 기존 및 신규 아동 성착취물 이미지·영상의 신고 및 삭제는 물론, 그루밍(어린이 대상 성범죄 유인을 위한 접근 및 유혹주) 사례까지 보고하도록 요구했다.
해당 법안은 2022년에 초안으로 마련돼, 국경을 넘어 확산되는 온라인 아동학대를 억제하기 위해 EU 27개국 간 대응을 강화하는 것을 목표로 한다. 디지털 환경에서 범죄의 초국경성이 확대되는 현실을 고려해, 정보 공유와 집행의 정합성을 확보하려는 의도다.
이제 EU 회원국들은 법안이 정식 법률로 발효되기 전, EU 입법자(EU lawmakers)와 함께 세부 조항을 추가로 조율해야 한다. 이는 핵심 정의, 사업자 의무의 범위, 감독·제재 체계 등 구체 요건을 둘러싼 정치·법기술적 합의를 필요로 한다.
수요일 이사회 성명에 따르면, 온라인 서비스 제공자들은 자사 서비스가 아동 성학대 자료 전파 또는 아동 대상 성적 유인에 사용될 위험을 평가하고, 그 위험을 줄이기 위한 예방 조치를 시행해야 한다. 다만 집행은 각국 정부에 맡긴다고 명시했다.
“회원국은 이러한 위험평가와 완화조치를 평가할 국가 권한기관을 지정할 것이다. 필요한 경우 제공자에게 완화조치 이행을 의무화할 수 있다. 불이행 시에는 제재금이 부과될 수 있다.”
이로써 EU 차원의 일괄 강제보다는, 국가별 감독과 제재를 통해 이행을 담보하는 구조가 마련된다.
또한 이번 법안은 온라인 프라이버시 규정의 현행 예외가 내년 4월 만료된 이후에도, 기업들이 자발적으로 플랫폼 내 콘텐츠를 점검해 아동 성학대 자료를 탐지할 수 있도록 허용한다. 이는 법적 의무화와는 구분되며, 기업이 스스로 선택하는 옵트인 방식의 점검을 가능하게 한다.
법안은 아울러 EU 아동 성학대 대응센터(EU Centre on Child Sexual Abuse)를 설립해, 각국의 법 준수를 지원하고 피해자에 대한 지원 서비스를 제공하도록 하고 있다. 이는 정보 공유 허브이자, 국가 기관·플랫폼·시민단체 간 협력 촉진 창구로 기능할 전망이다.
“매년 수백만 개의 파일이 아동 성학대를 묘사한 채 공유되고 있다. 그리고 그 모든 이미지와 영상 뒤에는, 끔찍하고도 참혹한 학대를 겪은 아이가 있다. 이는 결코 용납될 수 없다.”
덴마크의 피터 후메울가르드 법무장관은 EU 회원국들이 공동 입장에 합의했다는 사실을 환영하며 이렇게 밝혔다.
한편 같은 수요일, 유럽의회는 청소년 정신건강 악화와 관련한 우려 속에, 아동의 소셜미디어 접근 최소 연령을 EU 차원에서 설정할 것을 촉구했다. 다만 이는 법적 구속력이 없는 권고다.
호주는 만 16세 미만 아동의 소셜미디어 이용을 전면 금지하는, 세계 최초의 조치 시행을 앞두고 있다. 덴마크와 말레이시아 역시 유사한 금지를 계획 중인 것으로 전해졌다.
핵심 개념과 용어 설명
– 아동 성착취물(CSAM): Child Sexual Abuse Material의 약자로, 아동을 대상으로 한 성적 학대·착취를 묘사한 이미지·영상·콘텐츠 전반을 의미한다. 국제적으로 최우선적으로 차단·삭제 대상에 해당한다.
– 그루밍(grooming)온라인 유인: 성인 범죄자가 아동에게 신뢰감을 조성하고 관계를 구축해, 장차 성적 학대나 착취로 이어지도록 유도하는 행위를 말한다. 메신저·SNS·게임 채팅 등 디지털 접점에서 빈발한다.
– 유럽이사회(European Council)와 유럽의회(European Parliament): 전자는 회원국 차원의 공동 입장을 결정하는 정치적 기구이며, 후자는 입법부로서 별도의 입장을 채택한다. 최종 법률 제정에는 회원국과 의회의 합의가 필요하다.
주: 본 기사에 언급된 “그루밍”은 형사적 맥락에서의 아동 대상 온라인 유인을 뜻한다.
분석: 무엇이 바뀌고, 무엇이 남았나
첫째, 의무적 스캐닝의 배제는 플랫폼 전반에 걸친 광범위한 암호화 통신 감시 논란을 피하고, 사생활 보호와의 충돌을 최소화하려는 선택으로 읽힌다. 이는 감시 반대 진영의 핵심 요구와 합치한다.
둘째, 위험 기반 접근(risk-based approach) 강화는 각 서비스의 특성·규모·이용 행태에 맞춘 예방 조치 설계를 가능케 한다. 다만 집행 권한을 회원국에 위임함으로써, 국가별 감독·제재의 강도와 일관성 차이가 발생할 소지가 있다. 이는 기업의 준수 비용 예측 가능성에도 영향을 줄 수 있다.
셋째, 자발적 점검 허용은 기업이 내년 4월 이후에도 기존 온라인 프라이버시 규정 예외 만료에 구애받지 않고, 아동 보호 목적의 탐지·신고를 지속할 여지를 열어둔다. 그러나 이는 의무가 아닌 권한이므로, 실제 적용 범위와 깊이는 각 기업의 위험평가와 사회적 책임 전략에 좌우될 가능성이 크다.
넷째, EU 아동 성학대 대응센터 설립은 범유럽 데이터·노하우 축적과 피해자 지원 체계의 체계화를 기대하게 한다. 동시에 플랫폼·수사기관·사법 당국 간의 표준화된 상호작용을 도모해, 신고·삭제·증거보존의 선순환을 촉진할 수 있다.
다섯째, 소셜미디어 최소 연령을 둘러싼 규범 논의가 EU 차원에서도 부각되고 있다. 이는 아동 보호의 범주가 불법물 유통 차단을 넘어, 과도한 노출로 인한 정신건강 악화 대응으로 확장되고 있음을 시사한다. 호주, 덴마크, 말레이시아 등 연령 제한 도입 움직임은 이러한 흐름을 반영한다.
전망
향후 협상에서는 위험평가의 기준, 완화조치의 최소 요건, 국가 권한기관의 재량 범위, 제재금 수준과 부과 절차 등이 쟁점이 될 가능성이 크다. 또한 강제 탐지 의무를 배제한 채, 실효성 있는 아동 보호를 달성하기 위한 감독·투명성·책임성 메커니즘 설계가 관건이다.
요약하면, EU 회원국의 이번 공동 입장은 빅테크에 대한 일괄적 강제 탐지·삭제 의무에서 물러난 대신, 위험평가·예방조치·국가 집행이라는 분권형 규제로 방향을 잡았다. 이는 사생활 보호와 아동 보호 사이의 균형을 재정립하려는 시도로, 최종 법제화 과정에서 구체적 설계의 정교함이 성패를 가를 것이다.
