TBOTE 프로젝트가 연령 인증법에 대해 제기하는 주요 우려 사항은 무엇인가?

TBOTE 프로젝트는 연령 인증법을 준수하기 위해 구축된 인프라가 단순히 미성년자를 보호하는 도구가 아니라 국경을 초월한 생체 인식 감시 시스템으로 기능하고 있다고 주장한다. 코드에 내장된 비공개 데이터 처리업체, 무통보 전화 인증, 그리고 정부 보고 모듈을 문서화하고 있다.

조사에서 설명된 데이터 수집과 피터 틸의 연관성은 무엇인가?

피터 틸은 정부에 감시 분석 솔루션을 판매하는 팔란티어를 공동 창업했으며, 그의 벤처캐피털 회사인 파운더스 펀드는 생체 인식 데이터를 수집하는 신원 인증 회사 퍼소나의 주요 투자자다. 조사는 이를 동일한 금융 이해관계자가 데이터 파이프라인의 양쪽 모두에서 이익을 얻는 '수집 및 분석' 넥서스로 설명한다.

퍼소나 SDK에서 발견된 보안 취약점은 무엇인가?

조사팀은 퍼소나 SDK에서 하드코딩된 AES 암호화 키를 발견했으며, 이 키는 해당 발견이 공개된 후 버전 1.15.3에서 교체되었다. 또한 SDK에는 전송 중인 데이터의 중간자 가로채기를 방지하는 표준 보안 조치인 인증서 피닝이 적용되어 있지 않았다.

퍼소나 인증 세션 중에 발생하는 전화 인증에 대해 사용자에게 통보가 이루어졌는가?

아니다. 조사에 따르면 텔레사인은 사용자에게 통보 없이 조용히 네트워크 인증을 수행했으며, 이동통신사 수준의 전화 인증은 사용자에게 명시적으로 알리지 않은 채 보나지를 통해 실행되었다.

퍼소나의 유출된 소스 코드에서 발견된 정부 보고 기능은 무엇인가?

퍼소나의 유출 소스 코드에는 각각 미국과 캐나다의 금융정보분석원인 핀센(FinCEN)과 핀트랙(FINTRAC)을 위해 특별히 구축된 정부 보고 모듈이 포함된 것으로 알려졌다.

연령 인증법이 글로벌 감시 네트워크를 구축하고 있다

연령 인증법이 미국, 영국, 브라질 전역에 확산되고 있으며, 표면적으로는 온라인에서 미성년자를 보호한다는 목표를 내세우고 있다. 그러나 TBOTE 프로젝트의 심층 기술 조사에 따르면, 이러한 법률을 준수하기 위해 구축되고 있는 인프라는 그보다 훨씬 광범위한 기능을 수행한다고 주장한다. 즉, 비공개 데이터 처리업체, 무통보 전화 인증, 그리고 코드에 직접 내장된 정부 보고 모듈을 갖춘 국경을 초월한 생체 인식 감시 시스템이라는 것이다.

2026년 4월에 업데이트된 이 조사는 DNS 분석, SDK 디컴파일, 인증서 투명성 로그, 기업 등록 기록, SEC EDGAR 공시 자료를 기반으로 한다. 인용된 모든 출처는 공개 자료다.

틸 넥서스: 데이터 파이프라인의 양쪽을 장악한 한 명의 투자자

조사의 핵심 구조적 발견 중 하나는 피터 틸(Peter Thiel)과 관련이 있다. 틸은 전 세계 정부 및 기업에 감시 분석 솔루션을 판매하는 팔란티어 테크놀로지스(Palantir Technologies)의 공동 창업자다. 그의 벤처캐피털 펀드인 파운더스 펀드(Founders Fund)는 또한 로블록스(Roblox)부터 로빈후드(Robinhood)에 이르기까지 다양한 플랫폼에 SDK가 내장된 신원 인증 회사 퍼소나(Persona)의 주요 투자자이기도 하다.

TBOTE 프로젝트는 이를 '수집 및 분석' 넥서스로 규정한다. 동일한 금융 이해관계자가 생체 인식 신원 데이터의 수집과 그 데이터에 대한 하위 분석 모두에서 이익을 얻는 구조라는 것이다. 조사는 퍼소나와 팔란티어 간의 제품 차원의 협력을 주장하지는 않지만, 퍼소나의 인증 절차를 이용하는 사용자에게 공개되지 않는 공유 소유 구조를 중요한 사실로 문서화하고 있다.

조사의 일환으로 검토된 퍼소나의 유출 소스 코드에는 269개의 인증 확인 항목, 43개의 인증 유형, 그리고 각각 미국과 캐나다의 금융정보분석원인 핀센(FinCEN)과 핀트랙(FINTRAC)을 위해 구축된 정부 보고 모듈이 포함된 것으로 알려졌다.

기술 분석이 발견한 것들

SDK 디컴파일 부분의 조사에서는 일반적인 개인정보 우려를 넘어서는 여러 구체적인 발견이 나왔다.

퍼소나 SDK에서 하드코딩된 AES 암호화 키가 발견되었다. 이 키는 해당 발견이 공개된 후 버전 1.15.3에서 교체되었으며, 이는 문제가 확인되어 조치가 취해졌음을 시사한다. 또한 SDK에는 전송 중인 데이터의 중간자 가로채기를 방지하는 표준 보안 조치인 인증서 피닝(certificate pinning)이 적용되어 있지 않았다.

표준 인증 세션 중에 7개의 분석 서비스가 동시에 실행되고 있음이 확인되었다. 벨기에 국영 통신사 프록시무스(Proximus)가 과반수 지분을 보유한 텔레사인(Telesign)은 사용자에게 통보 없이 조용히 네트워크 인증을 수행하는 것으로 확인되었다. 이동통신사 수준의 전화 인증 역시 사용자에게 명시적으로 알리지 않은 채 보나지(Vonage)를 통해 실행되는 것으로 나타났다.

퍼소나 시스템의 얼굴 인식 기능은 미국 국토안보부(DHS)의 생체 인식 정확도 평가에서 1위를 차지한 파라비전(Paravision)이 구동하고 있다. 조사에 따르면, 파라비전은 퍼소나의 공개 하위 처리업체 페이지에 나타나지 않는다. TBOTE 프로젝트는 비공개 상태라고 설명하는 12개의 데이터 처리업체를 식별했다.

withpersona.com의 서브도메인 열거 결과 197개의 서브도메인이 발견되었으며, 그중 65개의 스테이징 환경에서는 내부 머신러닝 서비스, 타이거그래프(TigerGraph)로 확인된 그래프 데이터베이스, 그리고 미국 전역의 운전면허 데이터를 관리하는 미국자동차관리자협회(AAMVA)로의 게이트웨이가 노출되어 있었다.

또한 조사에 따르면, 링크드인(LinkedIn)은 4개의 별도 신원 인증 벤더를 동시에 운영하고 있으며, 동일한 안드로이드 APK 내에 이른바 병렬 중국 감시 스택이 존재한다고 문서화했다. 여기에는 세사미 크레딧(Sesame Credit) 사회 신용 점수 연동, 산얀(ShanYan) 이동통신사 인증, 그리고 정부 기기 식별자가 포함된다.

아동 사용자가 많은 플랫폼인 로블록스는 NFC 여권 읽기 기능을 포함한 퍼소나 SDK 전체를 내장하고 있으며, 사용자가 인증 절차를 완료하지 않고는 이를 건너뛸 수 없는 것으로 알려졌다.

이것이 당신에게 의미하는 것

TBOTE 프로젝트의 조사는 연령 인증 자체가 부당하다고 주장하지 않는다. 그 주장은 더 구체적이다. 즉, 연령 인증을 구현하기 위해 구축되고 있는 인프라는 단순한 연령 제한 사용 사례를 훨씬 뛰어넘는 기술적 역량과 소유 구조를 갖추고 있다는 것이다.

일반 인터넷 사용자에게 이것은 게임 플랫폼, 소셜 네트워크, 또는 성인 콘텐츠 사이트에서 연령 인증 요청에 응하는 것이, 다수의 비공개 제3자에 의한 생체 인식 데이터 처리, 가시적인 알림 없이 발생하는 이동통신사 수준의 인증, 그리고 정부 보고 기능을 갖춘 시스템으로 데이터가 흘러들어가는 것을 수반할 수 있음을 의미한다.

미국 25개 이상의 주, 브라질, 그리고 영국의 입법 명령이 조사에서 이러한 서비스에 대한 '의무 시장'이라고 부르는 것을 만들어내고 있다. 보고서는 메타(Meta)가 이 법안과 관련하여 2,630만 달러의 로비 자금을 지출했다고 언급한다. 약 2억 2천만 명의 브라질 시민 기록을 보유한 브라질의 세프로(Serpro) 데이터베이스는 이러한 인증 시스템이 운영되는 인프라 환경의 일부로 지목되었다.

신원 인증과 AI 에이전트 인프라의 융합은 새로운 우려 사항으로 표시된다. 조사는 신원 인증이 단순히 연령 제한 콘텐츠에 국한되지 않고, 더 광범위한 자동화된 인터넷 거래 참여를 위한 전제 조건으로 자리매김하고 있다고 시사한다.

실천 가능한 조치들

이 인프라에 대한 자신의 노출 정도를 파악하고자 하는 독자들은 몇 가지 실질적인 조치를 취할 수 있다.

첫째, 신원 인증을 완료하도록 요청한 모든 플랫폼의 개인정보 처리방침과 하위 처리업체 공개 내용을 검토하라. 얼굴 인식 벤더와 이동통신사 인증 서비스가 목록에 포함되어 있는지 확인하라.

둘째, 플랫폼에서의 '연령 인증'이 데이터가 해당 플랫폼에만 머문다는 의미가 아님을 인식하라. SDK 기반 인증은 각각 고유한 데이터 보존 및 공유 관행을 가진 제3자 신원 시스템을 통해 데이터를 라우팅한다.

셋째, 자신이 속한 관할권의 입법 동향을 파악하라. 연령 인증을 요구하는 법률은 플랫폼에 법적 의무를 부과하며, 이는 이 조사에서 설명된 인프라의 채택을 촉진한다. 자신의 주 또는 국가가 무엇을 의무화하고 있는지 이해하는 것은 특정 온라인 서비스를 이용하기 위해 어떤 데이터를 제출해야 할 수 있는지를 파악하는 데 중요하다.

방법론 및 출처 문서를 포함한 TBOTE 프로젝트의 전체 조사 내용은 공개적으로 열람 가능하다. 이 조사 결과는 현재까지 연령 인증 산업에 대한 가장 기술적으로 상세한 공개 분석 중 하나이며, 공개 의무, 데이터 흐름, 구조적 이해충돌에 대해 제기된 질문들은 규제 기관, 언론인, 개인정보 연구자들이 계속해서 검토할 가능성이 높다.