유럽연합 집행위원회가 디지털 감시 인프라를 두 방향에서 동시에 구축하고 있다. 하나는 구글이 보유한 유럽인의 검색 데이터를 경쟁사에 넘기도록 강제하는 안이고, 다른 하나는 온라인 연령 인증을 위한 단일 앱을 회원국 전체에 보급하려는 안이다. 두 계획 모두 경쟁 촉진과 아동 보호라는 명분을 내세우지만, 그 구조를 들여다보면 유럽 시민의 행동 데이터를 집중화하고 새로운 취약 지점을 만드는 방향으로 수렴한다.
집행위는 디지털시장법(DMA) 제6조 11항에 따라 구글에 유럽 이용자의 검색 데이터를 API 형태로 제공하도록 요구하는 예비안을 공개했다. 요구되는 데이터의 범위는 포괄적이다. 이용자가 입력한 검색어와 수정 이력, 검색 시각, 위치, 언어, 기기 종류가 포함되며, 검색이 크롬 주소창을 통해 이루어졌는지, 구글 앱인지, 제미나이인지, 구글 렌즈인지, 음성인지, 사진인지도 기록 대상이다. 검색 결과로 제공된 자연 검색 항목, 광고, 지식 패널, 요약 답변, 그리고 이미지, 동영상, 뉴스 탭의 내용까지 넘겨야 한다. 각 결과물에는 유형, 형식, 페이지 내 위치 식별자가 붙는다.
상호작용 데이터는 더 세밀하다. API가 전달해야 할 항목에는 URL 클릭 및 광고 블록 클릭의 시각, 순서, 지속 시간, 스크롤, 마우스 오버, 스와이프, 결과 펼치기 행위, 링크 방문 후 결과 페이지로 돌아온 시간대별 기록, 각 URL이나 화면에 머문 시간이 포함된다. 유료 검색 URL은 클릭 데이터에서 제외되어 광고주 수익은 보호받지만, 나머지 이용자 행동은 모두 노출된다. 데이터를 수신할 제3자가 누구인지는 아직 확정되지 않았다.
검색어는 사람이 만들어내는 가장 사적인 흔적 중 하나다. 의사나 변호사, 가족에게도 꺼내기 어려운 질문들이 검색창에 들어간다. 증상, 빚, 결혼에 관한 두려움, 고용주에 대한 의심, 찾고 있는 사람의 이름. 여기에 위치, 기기, 클릭 순서와 멈춤의 정확한 조합이 더해지면 다른 누군가와 혼동하기 어려운 행동 지문이 완성된다. 집행위는 익명화로 이 문제를 해결한다고 밝혔다. 식별자 제거, 정밀 타임스탬프 삭제, 희귀하거나 식별 가능한 검색어 필터링이 그 방법이다.
그러나 익명화의 전망은 낙관적이지 않다. 2006년 AOL이 공개한 검색 기록에서 기자들은 공개 전화번호부 하나로 익명의 이용자 번호를 조지아주에 사는 62세 여성으로 특정할 수 있었다. 검색어 자체가 식별 정보가 될 수 있고, 클릭 패턴과 체류 시간 같은 행동 신호는 별도의 재식별 경로를 제공한다. 집행위가 요구하는 실시간에 가까운 스트리밍은 익명화 실패 시 개별 이용자에 대한 즉각적 추론을 가능하게 한다. 현재 구글은 GDPR과 자체 정책, 이용자 기대에 묶여 데이터를 보유한다. API가 동일한 데이터를 제3자에게 흘려보내는 순간 침해 경로와 법집행 요청 대상, 국가 연계 해커의 목표물이 늘어난다.
연령 인증 사안에서도 집행위는 인프라를 직접 설계하는 방향으로 나아가고 있다. 집행위는 수요일 권고안을 채택하며 27개 회원국에 2026년 말까지 ‘EU 연령 인증 앱’을 시민이 사용할 수 있도록 배포할 것을 요구했다. 헨나 비르쿠넨 집행위 기술 주권, 안보, 민주주의 담당 수석부위원장은 이를 미성년자의 온라인 보호를 위한 다음 단계라고 표현했다. 집행위는 앱을 단독 제품으로 출시하거나 유럽 디지털 신원 지갑(EUDI Wallet)에 통합하는 두 가지 경로를 제시했다.
집행위는 이미 이 방향으로 칼을 빼들었다. 4월 29일 집행위는 페이스북과 인스타그램이 만 13세 미만 이용자의 가입을 충분히 차단하지 못했다며 메타에 예비 위반 판정을 내렸다. 전 세계 연 매출의 최대 6퍼센트, 최대 약 170조 원에 달하는 벌금이 부과될 수 있다. 생일을 직접 입력하는 현행 방식으로는 미성년자가 얼마든지 거짓말로 가입할 수 있다는 것이 집행위의 판단이다. 대안은 두 가지뿐이다. 이용자의 행동 패턴에서 나이를 추정하는 시스템이거나, 계정을 정부 발급 신분증과 연결하는 인증이다. 소셜미디어 계정 하나를 만드는 행위가 신원 확인 절차로 바뀌는 것이다.
신원 확인이 의무화되면 익명성이 사라진다. 내부고발자, 반체제 인사, 성범죄 피해자, 취재원을 보호해야 하는 기자, 직장에 정치적 견해를 알리고 싶지 않은 평범한 시민이 온라인에서 목소리를 낼 환경이 함께 없어진다. 감시받고 있다는 사실을 아는 사람은 스스로 말을 줄인다. 신원이 확인된 인터넷은 정의상 감시되는 인터넷이다.
지금 구축되는 인프라가 아동 보호에 그치리라는 보장이 없다. 그리스는 내년부터 만 15세 미만의 주요 플랫폼 접속을 차단할 준비를 하고 있다. 연령 인증 레일이 일단 깔리면, 동일한 구조가 암호화 메시징, 도박, 특정 뉴스 콘텐츠에 대한 접근 기준으로 확장될 수 있다. 연령 제한을 우회하려는 이용자들이 VPN으로 몰리자, 집행위는 VPN까지 겨냥하기 시작했다. 집행위의 ProtectEU 내부 보안 로드맵은 VPN과 익명화 서비스를 ‘해결해야 할 문제’로 명시하고 있다. 2026년 하반기 도입이 예상되는 EU 데이터 보존 프레임워크가 법제화되면, 이용자 활동을 기록하지 않는 것을 원칙으로 하는 무로그 VPN은 유럽에서 사실상 운영이 불가능해질 수 있다.
구글 검색 데이터 공유 계획과 연령 인증 앱 보급은 겉으로 다른 명분을 내세우지만 같은 방향을 향한다. 민감한 데이터 흐름을 집행위가 통제하는 구조 안에 넣는 것이다. 검색 데이터 안건의 공개 의견 수렴은 4월 16일에 시작해 5월 1일에 마감되었다. 최종 결정은 2026년 7월 27일까지 내려질 예정이다. 연령 인증 앱의 회원국 배포 목표 시한은 2026년 말이다. 두 계획 모두 시민이 의견을 낼 창이 좁거나 이미 닫혔다.
🚨🇪🇺 BREAKING: The European Commission just told all 27 member states to hurry up with rolling out online age verification, demanding deployment before the end of 2026.
Asked today how the system stops anyone bypassing it with a VPN from outside the EU, Vice-President Virkkunen… pic.twitter.com/N2upJ3M2m7
— International Cyber Digest (@IntCyberDigest) April 29, 2026
Brüssel greift nach dem Datenschatz der Bürger
Lange hieß es, die Europäische Union wolle Big Tech zügeln und die Privatsphäre der Menschen schützen. Nun zeigt sich ein anderes Bild: Ausgerechnet Brüssel arbeitet daran, dass Google bestimmte Suchdaten seiner Nutzer mit… pic.twitter.com/cSvFkkDChG
— Don (@Donuncutschweiz) April 30, 2026
🇪🇺 EU Vice-President Henna Virkkunen warns VPNs will be addressed under upcoming online age and identity verification rules.
“VPN… must not allow the system to be circumvented,” she said, responding to concerns users could bypass the new EU age and ID system.
Follow: @europa pic.twitter.com/GfQmeQJRwK
— Europa.com (@europa) May 1, 2026
