브뤼셀(Reuters) — 유럽연합(EU) 회원국들이 온라인 아동 보호 입법과 관련해, 글로벌 기술 기업들에게 온라인 아동 성학대물(CSAM) 식별 및 삭제를 의무화하지 않는 공통 입장(Common Position)을 채택했다고 유럽이사회(European Council)가 밝혔다. 이번 입장은 초안 단계의 법률 방향을 가늠하게 하는 정책 신호로, 빅테크 규제의 강도와 범위를 둘러싼 논쟁의 한 가운데 놓여 있다.
2025년 11월 26일, 로이터 보도에 따르면, 유럽이사회가 이날 발표한 입장은 알파벳(구글), 메타 등 미국계 빅테크와, 사생활 침해를 우려해 감시 확대에 반대해온 시민단체·디지털 권리 활동가들에게 상당한 승리로 받아들여지고 있다. 유럽이사회의 결정은 도널드 트럼프 미국 대통령이 주도하는 광범위한 ‘규제 반발’ 흐름과도 궤를 같이하는 것으로 해석된다.
이번 EU 회원국의 공통 입장은 2023년 유럽의회(European Parliament)가 제시했던 강경한 입장보다 훨씬 덜 규정적(less prescriptive)이다. 당시 의회는 메신저 서비스, 앱 마켓, 인터넷 접속 사업자에게 기존·신규 이미지와 동영상을 포함한 아동 성학대물의 신고 및 삭제를 의무화하고, 그루밍(grooming)—온라인에서 아동을 성적으로 유인·협박·착취하기 위한 접촉—사례에 대해서도 조치를 요구하는 방안을 지지했었다.
이번 입법은 2022년 마련된 초안으로, 국경을 넘나드는 온라인 아동 학대를 억제하고자 EU 27개국 간 정책 공조를 강화하는 데 목적이 있다. 다만 유럽이사회의 이번 합의로 곧바로 법제화되는 것은 아니며, 법안이 효력을 갖기까지는 회원국과 EU 입법자(유럽의회) 간에 세부 조항을 놓고 추가 협의가 필요하다.
유럽이사회는 성명에서 온라인 서비스 제공자들에게 그들의 서비스가 아동 성학대물 유포 또는 아동 대상 성적 유인에 악용될 위험을 평가(리스크 평가)하고, 이를 예방하기 위한 완화 조치를 취할 것을 요구했다. 다만 집행과 제재는 각국 정부의 권한으로 남긴다고 못박았다.
“회원국들은 국가 당국을 지정해 이러한 리스크 평가와 완화 조치를 심사하도록 하며, 필요시 제공자에게 완화 조치 이행을 의무화할 수 있다. 불이행 시 제공자는 벌금성 납부의 대상이 될 수 있다.”
라고 성명은 밝혔다.
또한 이번 법은 내년 4월 이후, 현재의 온라인 프라이버시 규정상 예외가 만료되더라도 기업들이 자사 플랫폼에서 공유되는 콘텐츠를 자발적으로(임의로) 점검해 아동 성학대 관련 자료를 찾아낼 수 있도록 허용한다. 아울러 EU 아동 성학대 대응센터(EU Centre on Child Sexual Abuse)를 설립해 회원국의 컴플라이언스 지원과 피해자 지원을 제공하도록 했다.
피터 훔멜고르(Peter Hummelgaard) 덴마크 법무장관은 EU 회원국들이 공통 입장을 마련한 사실을 환영하며 다음과 같이 말했다.
“매년 수백만 건의 파일이 아동에 대한 성적 학대를 묘사하고 공유되고 있다. 그 각각의 이미지와 영상 뒤에는 상상하기 어려운 극심한 학대를 당한 한 명의 아동이 있다. 이는 절대 용납될 수 없다.”
한편 같은 날 유럽의회는 청소년의 과도한 노출로 인한 정신건강 문제 증가에 대응하기 위해, 아동의 소셜미디어 접근 최소 연령을 EU 차원에서 설정할 것을 촉구했다. 해당 촉구는 법적 구속력이 없는(비구속적) 결의다.
국제 동향 측면에서, 호주는 만 16세 미만 아동의 소셜미디어 이용을 금지하는 세계 최초의 조치를 도입할 태세이며, 덴마크와 말레이시아도 유사한 금지 방안을 추진 중인 것으로 전해졌다.
핵심 포인트: ‘의무’에서 ‘위험기반 자율·국가집행’으로
이번 EU 회원국 합의는 ‘일괄적 강제 스캐닝’ 의무화에서 한발 물러나, 서비스별 위험성 평가와 예방 조치 마련이라는 위험기반 접근을 중심축으로 삼았다. 집행 및 제재 권한을 개별 회원국에 위임함으로써, 국가별 집행 편차가 발생할 여지는 남는다. 그러나 이는 동시에 각국의 법제·환경에 적합한 맞춤형 규제가 가능하다는 뜻이기도 하다.
특히 현재 온라인 프라이버시 규정의 예외 만료 이후에도 ‘자발적 탐지’를 허용한 대목은, 플랫폼 사업자가 아동 보호 활동을 지속하려는 경우 법적 불확실성을 완화하는 장치로 기능할 수 있다. 다만 자발성에 기댈 경우 기업 간 대응 편차가 커질 수 있다는 점에서, 감독기관의 심사·권고와 명확한 리스크 프레임워크가 실무적으로 중요해진다.
배경과 맥락: 2022년 초안, 2023년 의회안, 그리고 2025년 이사회안
— 2022년 EU는 국경을 넘는 온라인 아동 학대의 확산에 대응하기 위해 포괄적 입법 초안을 마련했다.
— 2023년 유럽의회는 메신저·앱스토어·접속사업자 등 핵심 게이트웨이 사업자에게 신고·삭제 의무와 그루밍 대응까지 포함한 강행 규정을 지지했다.
— 2025년 유럽이사회는 강제 탐지·삭제 의무를 명시적으로 부과하지 않는 완화된 공통 입장을 채택해, 리스크 평가·완화 조치 중심으로 방향을 조정했다.
용어 설명정책 이해를 위한 기초
— 유럽이사회(European Council): EU 회원국 정부를 대표하는 기구로, 회원국 간 정치적 합의를 조율한다. 여기서의 ‘공통 입장’은 회원국들이 법안의 기본 방향에 대해 공유하는 정치적 합의다.
— 유럽의회(European Parliament): EU 차원의 입법기관으로 시민을 대표한다. 최종 법률 제정에는 의회와 회원국(이사회) 간 합의가 필요하다.
— 그루밍(grooming): 온라인에서 아동에게 접근해 신뢰를 쌓은 뒤, 성적 착취를 목적으로 유인·협박하는 행위다.
— 리스크 평가·완화 조치: 서비스가 악용될 위험을 식별·평가하고, 이를 줄이기 위한 기술적·운영적 조치를 수립·이행하는 것을 뜻한다.
— 벌금성 납부(penalty payments): 규정 불이행 시 부과될 수 있는 경제적 제재를 가리킨다.
정책적 함의와 전망
— 사생활 보호 대 아동 보호: 이번 합의는 사생활 보호와 아동 보호 간 균형점을 강제 스캐닝이 아닌 리스크 기반 관리에서 찾으려는 시도다. 프라이버시 침해 우려를 제기해온 감시 반대 운동의 문제의식을 일정 부분 반영했다는 점에서 의미가 있다.
— 집행의 분권화: 국별 집행은 제도의 현지 적합성을 높일 수 있으나, 규제의 파편화와 사업자의 준수 비용 변동성으로 이어질 수 있다. 향후 EU 차원의 가이드라인과 EU 센터의 지원 역량이 실효성을 좌우할 전망이다.
— 법제화 절차: 법으로 확정되기까지는 회원국과 EU 입법자 간 추가 협의가 남아 있다. 공통 입장은 출발점일 뿐, 최종 문자(text)에는 변동 가능성이 상존한다.
— 국제 비교: 호주의 만 16세 미만 소셜미디어 금지 추진과 덴마크·말레이시아의 유사 계획은, 연령 기반 제한을 통해 청소년 정신건강 리스크를 줄이려는 접근이다. EU 의회의 최소 연령 설정 촉구는 비구속적이나, 정책 논의를 촉발하는 신호 역할을 할 수 있다.
결론
EU 회원국들은 강제 탐지·삭제 의무 대신 리스크 평가와 예방 조치를 축으로 하는 완화된 규제 프레임을 선택했다. 이는 빅테크와 프라이버시 옹호 단체에 우호적 신호인 동시에, 아동 보호의 실효성을 국가 집행력과 기업의 자발적 노력에 크게 의존하게 만드는 변화다. 향후 법률 문안 협상과 EU 센터의 지원 체계 구성이, 아동 보호와 개인정보 보호 사이의 균형을 실제로 어떻게 구현할지 가늠할 분수령이 될 것이다.
