전화번호 없으면 계정도 없다: Google의 QR 장벽과 GDPR
Google은 이제 새 계정 생성을 전화 기반 QR 인증 뒤에 가둬 둔다. 스마트폰이 없으면 계정도 없다. 이것이 GDPR의 데이터 최소화 원칙과 충돌하는 이유를 살펴본다.

오늘 Google 계정을 만들어 보려고 하면 이름 한 글자를 입력하기도 전에 장벽에 부딪힐 수 있다. 화면에는 "계정을 만들기 전에 정보를 확인하세요"라고 적혀 있고, QR 코드가 표시되며, 휴대폰 카메라로 스캔하라고 한다. 클릭할 링크도, 이메일 대체 수단도, "건너뛰기" 경로도 없다. 카메라가 작동하는 스마트폰이 없으면 계정도 없다. 이게 상호작용의 전부이며, 한 번쯤 멈춰서 들여다볼 가치가 있다. 이 화면이 조용히 전화기를 웹 사용의 전제 조건으로 바꿔 놓고 있기 때문이다.
나는 EU 안쪽인 네덜란드에서 살고 있는데, 그 화면의 문구("Google은 귀하의 기기 또는 전화번호에 관한 정보를 확인해야 합니다")는 보안 기능이라기보다 악용 방지로 포장한 의무적 신원 수집처럼 읽힌다. 이 글은 그 구분이 왜 중요한지, 그리고 그것이 어디에서 GDPR과 부딪히는지에 관한 것이다.
화면이 실제로 요구하는 것
문구를 글자 그대로 읽어 보자. 계정을 만들려면 다음이 요구된다:
- QR 코드를 스캔할 수 있는 카메라가 달린 스마트폰을 소유할 것.
- 그 전화기로 흐름을 넘길 것. 처음 시작한 기기를 떠나, Google이 미리 보여 주지 않는 단계를 완료해야 한다.
- 새 계정을 전화번호에 묶을 것. EU 대부분의 지역에서 전화번호는 SIM 단계에서 검증된 정부 신원과 그 자체로 연결되어 있다.
- 같은 가입 흐름의 뒷부분에서 생년월일과 기타 개인 정보를 제공할 것.
이 가운데 어느 것도 이메일 계정이 작동하는 데 필요한 기술적 요건이 아니다. 받은편지함은 당신의 생일도, 단말기 모델도, 통신사도 알 필요가 없다. 이것들은 엔지니어링 제약이 아니라 수집에 관한 결정이며, 수집에 관한 결정으로서 평가받아 마땅하다.
"악용 방지"가 너무 많은 일을 떠맡고 있다
명분은 봇 방지다. "컴퓨터 프로그램이나 봇에 의한 악용을 방지하기 위해서"라는 것이다. 이것은 실제로 존재하는 문제이고, 계정 생성에 속도 제한을 거는 것은 정당하다. 하지만 이 통제의 형태를 보라. 그것은 사람은 풀 수 있고 스크립트는 풀 수 없는 퍼즐을 풀라고 요구하지 않는다. 전화기를 제시하라고 요구한다. 검증되는 대상은 "당신이 사람인가"가 아니라 "지문화하고 상호 연관시킬 수 있는 기기와 번호를 내놓을 수 있는가"이다.
이것들은 서로 다른 목표다. 첫 번째는 악용에 맞서는 데 비례하는 수준이다. 두 번째는 신원 연결이며, 가입 시점에 전화번호가 붙고 나면 그것이 수집된 본래 목적 안에만 머무는 경우는 드물다. "보안을 위해" 추가된 번호가 광고 타기팅, 계정 복구용 소셜 그래프, 서비스 간 상호 연관으로 흘러 들어간 역사는 길다. 보안 팀은 이것을 기능 표류(function creep)라고 부른다. GDPR은 이것을 목적 제한 문제라고 부른다.
이것이 GDPR과 충돌하는 지점
나는 어떤 법원이 이 특정 흐름을 위법하다고 판결했다고 주장하는 것이 아니다. 개인정보 감독기관(DPA)이 실제로 따져 볼 원칙들을 가리키고 있는 것이다. 그 원칙들이 "스캔하거나 떠나라"와는 영 맞지 않기 때문이다.
데이터 최소화, 제5조(1)(c)
개인 데이터는 그 목적에 비추어 "적절하고, 관련성이 있으며, 필요한 범위로 한정"되어야 한다. 여기서의 목적은 이메일 계정을 만드는 것이다. 전화번호와 생년월일은 메일함을 운영하는 데 필요하지 않으며, 따라서 그것들을 애초에 왜 수집하는지 입증할 책임은 컨트롤러에게 있지, 거부를 정당화할 책임이 사용자에게 있지 않다.
자유롭게 제공된 동의, 제4조(11) 및 제7조(4)
동의는 자유롭게 제공되었을 때에만 유효하며, 규정은 해당 서비스에 필요하지 않은 처리에 대한 동의를 그 서비스의 조건으로 삼는지 여부를 반드시 고려해야 한다고 명시적으로 말한다. "전화번호 없으면 계정도 없다"는 조건부의 교과서적 정의 그 자체다. 데이터를 공유하는 것에 대한 유일한 대안이 서비스에서 완전히 배제되는 것이라면, 그 "선택"이라는 것은 거의 아무 의미가 없다.
비례성과 필요성
동의가 아니라 정당한 이익을 근거로 삼는 경우에도, 그 처리는 필요성과 형량 심사를 통과해야 한다. 가입자의 일부에 불과한 봇을 막으려고, 소유하지 않았을 수도 있는 하드웨어를 모든 잠재 사용자에게 강요하는 것은, CAPTCHA와 이메일 확인과 행동 신호가 이미 존재하고 카메라를 요구하지도 않는 상황에서 가장 덜 침해적인 선택지라고 부르기 어렵다.
아무도 설계하지 않는 배제
프라이버시 문제 아래에는 더 조용한 문제가 있다. QR과 카메라로 된 관문은 특정한 사용자를 전제한다. 최신 스마트폰을 소유하고, 코드를 물리적으로 보고 스캔할 수 있으며, 계정 생성 흐름을 단말기로 옮기는 것을 불편해하지 않는 사람 말이다. 그 전제는 데스크톱만 쓰는 사람, 시각 장애가 있는 사람, 피처폰을 쓰는 사람, 의도적으로 기기를 최소한으로만 두는 사람, 그리고 그저 개인 전화기를 모든 로그인에 연결하고 싶지 않은 사람을 배제한다.
"그냥 전화기를 쓰세요"는 중립적인 기본값이 아니다. 그것은 Google의 악용 문제 비용을 사용자에게, 스마트폰을 당연히 가지고 있다고 볼 수 없는 사용자까지 포함해 떠넘기는 설계 결정이다. 여기서 접근성과 데이터 보호는 같은 방향을 가리키고 있다. 이만큼 핵심적인 서비스라면 특정 하드웨어 소유를 요구하지 않는 경로가 있어야 한다.
EU가 실제로 할 수 있는 것
이에 맞설 GDPR 장치는 이미 존재한다. 새 법이 필요한 것이 아니라, 위에서 말한 원칙들을 집행하기만 하면 된다:
- 가입 시점의 전화번호와 생년월일을 기본적으로 불필요한 것으로 취급하고, 컨트롤러가 필요성을 주장하는 데 그치지 않고 입증하도록 요구할 것.
- 제7조(4)의 조건부 논리에 따라, 스마트폰이나 번호를 요구하지 않는 진정한 대체 경로를 계정 생성에 의무화할 것.
- 목적을 면밀히 살필 것: 악용 방지를 위해 수집한 번호가 나중에 광고나 상호 연관에 쓰인다면, 가입 화면의 문구가 어떻게 적혀 있었든 그것은 목적 제한 위반이다.
EDPB의 공조된 입장 표명, 혹은 단호한 DPA 하나만으로도 재설계를 강제하기에 충분하다. 우리는 쿠키 월에서 정확히 그 패턴을 보았다. 규제 당국은 결국 "동의하거나 떠나라"는 진정한 동의가 아니라고 판단했다. 하드웨어 월은 카메라가 붙은 같은 논리일 뿐이다.
오늘 당신이 할 수 있는 것
위의 어떤 것도 당장 계정이 필요한 5분 동안에는 도움이 되지 않으니, 실용적으로 보면:
- 당신이 통제하는 계정에는 전화번호를 요구하지 않는 제공업체를 쓸 것. 여러 EU 기반 메일 제공업체는 번호를 필수가 아니라 선택으로 취급한다.
- 신원과 편의를 분리할 것. 어딘가에 번호를 붙여야 한다면, 당신의 은행 및 정부 신원을 묶고 있는 번호를 재사용하지 말 것.
- 당신의 권리를 행사할 것. Subject Access Request, 그리고 적절한 경우 자국 DPA에 대한 민원 제기는 상징적인 것이 아니다. 그것은 위의 원칙들을 압력으로 바꾸는 메커니즘이다.
핵심 요약
계정 생성 단계의 QR과 전화기 장벽은 보안으로 팔리지만, 그것이 실제로 확보하는 데이터는 당신의 것이며, 입장료로 넘겨진다. EU에서 그 가격에는 법적 틀이 있다. 데이터는 최소화되어야 하고, 동의는 자유로워야 하며, 서비스는 작동하는 데 필요하지 않은 정보를 내놓는 것을 조건으로 자기 자신을 조용히 만들 수 없다. "스캔하지 않으면 계정을 가질 수 없다"는 이 세 가지 모두에 정면으로 어긋난다. 규제 당국이 이를 소리 내어 말할지 여부는, 이 시점에서 법의 문제라기보다 의지의 문제다.
다음으로 읽을 글
- AWS Multi-party Approval for Organizations, 신원과 승인 통제가 권력을 수집하기 위해서가 아니라 제약하기 위해 설계될 때 어떤 모습인지에 관해.
- Why Your SSH Is Yelling About Quantum Computers, 보안 경고를 액면 그대로 받아들이는 것과 그것이 실제로 무엇을 보호하는지 읽어 내는 것에 관해.
AI 어시스턴트가 넘겨받은 신원과 동의 데이터를 어떻게 다루는지 고민하고 있는가? ercan.ai의 현장 노트가 그 주제를 다룬다. 클라우드, 보안, 컴플라이언스 형태의 플랫폼 작업에 관한 컨설팅은 ercanermis.com에서 시작하면 된다.
Ercan의 다른 글
같은 저자, 다른 영역의 사이트 두 개.