비밀 데이터 수집자: 링크드인, 오픈아이얼 등의 검증을 실제로 수행하는 사람은 누구일까?

소스 코드 유출로 밝혀진 사실: 레딧, 로블록스, 링크드인에서 당신의 ID 데이터는 실제로 어떻게 처리되는가

오늘날 인터넷을 이용하는 사람들은 점점 더 자신의 신원을 증명해야 합니다. 링크드인에서 탐내는 "인증 마크"를 받거나, 오픈아이(OpenAI)의 강력한 AI 모델에 접근하거나, 레딧(Reddit)에서 나이 인증을 받거나, 로블록스(Roblox)에서 채팅을 하려면 여권 사진을 꺼내거나 의무적으로 동영상 셀카를 찍어야 하는 상황이 일상이 되었습니다. 사용자들은 민감한 생체 정보를 각 플랫폼에 직접 제공한다고 생각하지만, 배후에는 보이지 않는 세력이 활동하고 있습니다. 바로 미국의 스타트업 "페르소나(Persona)"입니다. 3억 개 이상의 신원 인증을 보유한 이 회사는 영향력 있는 투자자들의 지원을 받아 디지털 생활의 은밀한 인프라를 구축했습니다. 하지만 이 편리해 보이는 시스템에는 중대한 결함이 있습니다. 민감한 소스 코드 유출, 의심스러운 데이터 보존 기간, 그리고 미국 당국과의 긴밀한 관계는 심각한 데이터 프라이버시 문제를 제기합니다. 우리의 얼굴과 신분증 정보는 실제로 어떻게 처리될까요? 그리고 대규모 사용자 항의 이후 디스코드(Discord)만이 유일하게 서비스를 중단한 이유는 무엇일까요? 데이터 거대 기업의 숨겨진 서버 구조를 파헤쳐 봅니다.

인터넷의 보이지 않는 핵심: LinkedIn, Reddit, OpenAI, Roblox 및 기타 플랫폼이 페르소나를 활용하는 방법과 이것이 여러분의 데이터에 미치는 영향은 무엇일까요?

한 회사, 14만 8천 명의 고객, 3억 건의 데이터 기록 — 하지만 이 사실을 아는 사람은 거의 없습니다

링크드인 사용자가 프로필을 인증할 때, 그들은 링크드인과 대화하고 있다고 생각합니다. 레딧 사용자가 나이를 확인할 때, 그들은 레딧을 신뢰합니다. 로블록스 플레이어가 카메라에 얼굴을 비출 때, 그들은 로블록스가 자신과 상호작용하는 사람이라고 믿습니다. 실제로는 이 모든 경우에 동일한 회사, 바로 샌프란시스코에 본사를 둔 스타트업 페르소나 아이덴티티(Persona Identities, Inc.)가 관련되어 있습니다. 2018년에 설립된 페르소나는 인터넷의 상당 부분을 차지하는 사실상의 신원 인증 인프라로 자리 잡았습니다. 2024년까지 페르소나는 3억 건 이상의 신원 인증을 완료하며 매출과 고객 기반을 두 배로 늘렸습니다. 페르소나의 서비스를 사용하는 플랫폼들은 현대 디지털 생활의 단면을 보여주지만, 대부분의 사용자에게 페르소나라는 이름은 여전히 ​​생소합니다.

이는 우연이 아닙니다. 페르소나의 비즈니스 모델은 의도적으로 '보이지 않음'에 기반합니다. 플랫폼이 사용자 관계를 구축하고 신뢰를 쌓는 동안, 페르소나는 백그라운드에서 실제 검증 작업을 처리합니다. 2025년 4월 시리즈 D 투자 유치 후 20억 달러의 기업 가치를 인정받고 파운더스 펀드, 리빗 캐피털, 인덱스 벤처스 등의 투자자를 확보한 페르소나는 전 세계에서 가장 중요한 비상장 신원 확인 기술 기업 중 하나입니다. 사용자에게는 편리한 검증 절차처럼 보이지만, 실제로는 단순한 신원 확인에 필요한 수준을 훨씬 뛰어넘는 집중적인 데이터 수집 인프라를 갖추고 있습니다.

이와 관련된 내용:

• 신원 확인 | 당신의 얼굴과 데이터는 더 이상 당신의 것이 아닙니다 – Anthropic(Claude), LinkedIn, 그리고 생체 인식 제어의 새로운 경제

링크드인: 1억 개의 인증된 프로필, 그리고 그 이면에 숨겨진 진실

LinkedIn은 Persona를 인증 파트너로 도입한 최초의 주요 플랫폼 중 하나입니다. 2025년 12월, LinkedIn은 전 세계적으로 1억 개 이상의 인증 프로필을 돌파했는데, 이는 Persona가 전문 웹의 신원 확인 인프라에 얼마나 깊숙이 자리 잡았는지를 보여주는 중요한 이정표입니다. LinkedIn은 다음과 같은 명확한 약속을 합니다. 인증된 회원은 평균적으로 프로필 조회수가 60% 더 높고 참여도는 50% 더 높습니다. 인증된 회사 페이지는 조회수가 10.9배, 팔로워 수가 7.7배 더 많습니다. 이러한 강력한 인센티브는 실제로 효과가 있습니다.

실제 인증 과정은 LinkedIn 앱을 통해 진행됩니다. 사용자는 NFC 기능이 있는 여권에 기기를 연결하고, 칩을 스캔한 후, 실시간 셀카를 촬영하라는 안내를 받습니다. LinkedIn이 수집하는 정보는 제한적입니다. 여권에 표시된 이름, 여권 종류, 발급 국가, 해시 처리된 식별자, 그리고 인증 성공 여부만 수집됩니다. 하지만 Persona가 이 과정 외에 수집하고 처리하는 정보는 훨씬 더 광범위하며, LinkedIn 자체 문서에서는 Persona의 개인정보 보호정책을 간략하게 언급하는 정도로만 설명되어 있습니다. Persona를 통한 LinkedIn 인증을 위해 승인된 하위 처리업체에는 AWS, Confluent, DBT, Elasticsearch, Google Cloud Platform, MongoDB, Sigma Computing, Snowflake가 포함됩니다. EU 법률을 준수하는 유럽 서버에 데이터가 저장되지는 ​​않습니다.

데이터 삭제 문제는 특히 주목할 만합니다. 페르소나는 링크드인 관련 문서에서 데이터가 검증 후 삭제된다고 명시했지만, 구체적인 기간은 밝히지 않았습니다. 디스코드와 같은 다른 파트너십의 경우, 최대 7일 동안 데이터를 보관한다고 밝혔는데, 이는 디스코드의 공식 발표와 상반되는 내용입니다. 또한 유출된 페르소나의 정부 인프라 소스 코드에 따르면 생체 인식 얼굴 목록은 최대 3년, 정확히는 1,095일 동안 보관될 수 있습니다. 페르소나는 공개적인 자료에서 상업 고객과 정부 고객에게 적용되는 기준을 의도적으로 모호하게 유지하고 있습니다.

레딧: 생체 인식 통제의 진입점으로서의 연령 확인

레딧은 영국 온라인 안전법(OSA) 시행의 일환으로 페르소나를 도입했습니다. OSA는 온라인 플랫폼에 연령 확인을 의무화하는 법입니다. 영국 시장은 시험 사례로 활용되었는데, 연령 제한 콘텐츠에 접근하려는 사용자는 연령 확인을 위해 페르소나로 연결되었습니다. 레딧의 전용 FAQ 페이지에서 페르소나는 레딧의 지시에 따라 데이터 처리자 역할을 하며, 생년월일과 이미지 데이터만 수집하고 나머지 정보는 3일 이내에 삭제한다고 설명합니다. 처음에는 합리적으로 들립니다.

실제 상황은 훨씬 더 복잡합니다. 신원 인증을 완료한 레딧 사용자들은 단순한 나이 추정을 훨씬 뛰어넘는 인증 절차를 거쳤다고 보고했습니다. 여권의 NFC 칩 스캔, 실시간 셀카, 그리고 타이핑 속도, 머뭇거림, 정보 복사 여부 등 상세한 행동 생체 정보까지 수집되었다는 것입니다. 개인정보 보호 운동가들은 셀레스트가 밝혀낸 페르소나 소스 코드가 FedRAMP 인증을 받은 정부 서버에서 실행되었으며, 금융범죄단속네트워크(FinCEN) 감시 목록, 정치적으로 노출된 인물(PEP) 목록, 그리고 국제 제재 목록에 대한 조회 기능이 포함되어 있다는 사실을 발견했습니다. 이 모든 과정은 레딧, 링크드인, 그리고 다른 플랫폼들의 상업적 인증 절차와 동일한 기반 인프라에서 동시에 진행됩니다. 영국에서 사용자들의 강력한 항의가 있은 후, 레딧은 신규 사용자에 대한 페르소나 인증 강제 시행을 일시적으로 중단했지만, 이미 인증을 완료한 사용자들은 시스템에 그대로 남아 있었습니다.

OpenAI: 가장 오래되고 불투명한 연결 고리

OpenAI와 Persona의 관계는 특히 주목할 만한데, 주요 플랫폼 파트너십 중 가장 먼저 시작된 관계이기 때문입니다. 보안 연구원들은 인증서 투명성 로그를 통해 openai-watchlistdb.withpersona.com 도메인에서 운영되는 전용 감시 목록 시스템이 2023년 11월부터 활성화되어 있었다는 사실을 발견했습니다. 이는 OpenAI가 2025년 여름 GPT-5 접근 시 신원 확인을 의무화한다고 공식 발표하기 약 18개월 전입니다. OpenAI는 2024년 11월 개인정보 처리방침에 제3자 제공업체를 통한 신원 및 연령 확인에 관한 문구를 조용히 추가했지만, Persona를 명시적으로 언급하지는 않았습니다.

2024년 9월, 페르소나는 오픈AI가 페르소나를 이용해 매달 수백만 명의 사용자를 검증하고 있으며, 99% 이상의 사용자가 백그라운드에서 몇 초 만에 자동으로 검증된다고 설명하는 페이지를 게시했습니다. 이는 현재 검증 중인 사용자뿐만 아니라 백그라운드 검증이 지속적으로 이루어지고 있음을 의미합니다. 개발자가 오픈AI API와 GPT-5 같은 모델에 접근하려면 신분증을 제출하고 왼쪽, 오른쪽, 정면 등 서로 다른 각도에서 셀카 세 장을 찍어 3차원 얼굴 프로필을 생성해야 합니다. 포레스터 리서치는 이러한 결정이 규제 압력, 모델 오용에 따른 지정학적 위험, 그리고 합법적인 기업 고객과 국가 지원 세력을 구분해야 할 필요성에 대한 대응이라고 분석했습니다. 결과적으로, 가장 진보된 AI 도구를 사용하려는 사람은 누구나 미국에 기반을 둔 검증 인프라에 자신의 얼굴 정보를 제공해야 합니다.

로블록스: 일일 사용자 1억 5천 1백만 명 — 그리고 얼굴 스캔 의무화

Roblox는 사용자 수 면에서 가장 주목할 만한 Persona 클라이언트입니다. 2026년 1월, Roblox는 플랫폼의 채팅 기능을 사용하려는 모든 사용자에게 의무적인 연령 인증을 도입했습니다. 일일 활성 사용자 수가 1억 5천 1백만 명에 달하는 상황에서, 이는 전례 없는 규모의 생체 인식 인증 절차이며, 특히 사용자층의 상당 부분이 어린이와 청소년으로 구성되어 있다는 점을 고려할 때 더욱 그렇습니다. 인증 방식은 간단합니다. 채팅을 원하는 사용자는 Persona 알고리즘이 분석하여 연령을 추정하는 셀카 영상을 녹화하거나, 공식 신분증을 제출해야 합니다.

Roblox와 Persona는 생체 데이터와 이미지가 연령 추정 후 즉시 삭제된다고 강조합니다. 그러나 이 주장을 뒷받침하는 독립적인 검증은 없습니다. 진짜 문제는 다른 곳에 있습니다. Persona의 연령 추정 기술은 기술적인 관점에서 볼 때 연령 검증이 아닙니다. 신분증이나 서류로 검증하지 않고 얼굴 특징만을 기반으로 연령을 추정하기 때문입니다. 즉, Roblox 사용자는 실제 신분증 확인만큼 정확하지도 않고, 서류 기반 검증만큼 안전하지도 않은 생체 스캔을 받게 됩니다. 게다가 생체 데이터는 미국 인프라로 전송되는데, 이는 특히 미성년자를 포함한 EU 사용자에게 GDPR 위반에 대한 심각한 우려를 불러일으킵니다. 미성년자의 생체 데이터는 GDPR 제8조와 제9조에 따라 특히 엄격한 요건을 준수해야 하는데, Roblox는 현재 구현 방식에 대해 이를 공개적으로 입증하지 못했습니다.

산업 중점 분야: B2B, 디지털화(AI부터 XR까지), 기계 공학, 물류, 신재생 에너지 및 산업

자세한 내용은 여기에서 확인하세요:

• 전문가 비즈니스 허브

주제별 통찰력과 전문 지식을 제공하는 허브:

• 글로벌 및 지역 경제, 혁신, 산업별 동향을 다루는 지식 플랫폼
• 주요 관심 분야에 대한 분석, 통찰력 및 배경 정보 모음입니다
• 비즈니스 및 기술 분야의 최신 동향에 대한 전문 지식과 정보를 얻을 수 있는 공간입니다
• 시장, 디지털화 및 산업 혁신에 대한 정보를 찾는 기업들을 위한 허브입니다

디스코드: 가장 공개적인 후퇴와 그것이 드러내는 것

Discord는 Persona와의 파트너십 종료를 공개적으로 발표하고 명확한 설명을 제공한 유일한 주요 기업으로, 업계에서 보기 드문 투명성을 보여주었습니다. Discord는 2026년 1월, 비공개 시범 프로그램의 일환으로 영국에서 연령 확인 목적으로 Persona를 도입했습니다. 이 파트너십이 공개되자 사용자들의 거센 반발이 일어났습니다. Discord의 CTO인 Stanislav Vishnevskiy는 회사의 소통 부족을 인정했습니다. 사태는 보안 연구원들이 Peter Thiel의 Founders Fund와의 연관성을 밝혀냈을 뿐만 아니라, Persona가 데이터를 7일 동안 보관한다는 내용이 담긴 과거 지원 페이지를 발견하면서 더욱 악화되었습니다. 이는 데이터가 거의 즉시 삭제된다는 Discord의 기존 발표와 정면으로 배치되는 내용이었습니다.

Discord는 이후 모든 향후 인증 파트너에게 새로운 명확한 요구 사항을 제시했습니다. 생체 데이터는 사용자의 기기에서 전적으로 처리되어야 하며 기기를 벗어나서는 안 된다는 것입니다. Persona는 이 기준을 명시적으로 충족하지 못했기 때문에 계약에서 제외되었습니다. 이 요구 사항은 기술적 관점과 데이터 보호 관점 모두에서 획기적입니다. 기기 내 처리를 생체 연령 인증의 최소 기준으로 정의했기 때문입니다. Persona의 다른 주요 고객사들이 이 기준을 공개적으로 요구하지 않았다는 사실은 업계가 여전히 이 표준에서 얼마나 멀리 떨어져 있는지를 보여줍니다. 설상가상으로 Discord는 Persona 사건과 동시에 또 다른 데이터 유출 사고에 직면했습니다. 다른 연령 인증 제공업체에서 약 7만 명의 사용자 공식 신분증 정보가 유출된 것입니다. 이는 생체 인증을 제3자 제공업체에 아웃소싱하는 구조적 위험성을 극명하게 보여주는 사례였습니다.

VRChat: 가상 현실에서의 신원 인증

국제적인 사용자층을 보유한 소셜 가상현실 플랫폼 VRChat도 연령 확인 파트너로 페르소나(Persona)를 도입했습니다. 특히 영국과 유럽 연합(EU)에서 온라인 플랫폼에 대한 규제 요건이 강화됨에 따라 VRChat은 연령 확인 시스템을 도입할 수밖에 없었고, 그 결과 페르소나를 선택하게 되었습니다. 이에 대한 사용자들의 반응은 거세졌습니다. 사용자 포럼에는 페르소나 인프라에 대한 상세한 분석, 피터 틸 파운더스 펀드(Thiel Founders Fund)와의 연관성에 대한 언급, 그리고 도입 재고를 요구하는 글들이 쏟아졌습니다.

VRChat은 공식 발표에서 신분증 이미지나 얼굴 스캔 이미지는 수신하지 않고, 인증을 확인하는 해시 값만 수신한다고 강조합니다. 페르소나 역시 VRChat 내에서 사용자의 신원 정보를 수집하지 않는다고 주장합니다. 이는 페르소나 자체의 데이터 보호 체계와 일치하지만, 데이터 프라이버시 관점에서 볼 때 부분적인 해결책에 불과합니다. 페르소나는 플랫폼과 공유되는 정보와 관계없이 모든 원시 생체 정보를 보유하고 있기 때문입니다. 유럽 VRChat 사용자들은 생체 정보 전송 없이 연령 확인이 가능한 eID 기술이 안전한 대안으로 존재하지만, 페르소나가 이를 명시적으로 지원하지 않는다는 점을 지적합니다. 유럽의 데이터 보호 관점에서 이러한 거부는 정당화하기 어렵습니다.

Upwork: 신원 확인이 채용 요건이 될 때

세계 최대 프리랜서 플랫폼인 업워크(Upwork)에서 신원 확인은 경제적 측면에서 매우 직접적인 영향을 미칩니다. 프리랜서는 35 커넥트(플랫폼 내 화폐)를 지불하여 사전에 신원을 확인하거나, 대출 신청, 미국 내 특정 업무 신청 또는 계정 정지 후 강제로 신원 확인을 받아야 합니다. 7일 이내에 신원 확인을 완료하지 못하면 계정이 정지될 수 있습니다.

이는 여러 측면에서 주목할 만합니다. 첫째, Upwork는 생체 인증을 경제 활동 참여와 직접적으로 연계합니다. 일하고 급여를 받으려면 누구나 인증을 받아야 하며, 이 인증은 제3자 업체인 미국 인프라를 통해 이루어집니다. EU의 프리랜서의 경우, 이는 자신의 생체 정보를 미국 법률 시스템으로 전송해야 한다는 것을 의미하며, 현실적으로 이를 대체할 만한 대안은 없습니다. 둘째, Upwork는 일상적인 재인증을 허용합니다. 사용자들은 명확한 이유가 없음에도 불구하고 여러 차례 신원 인증을 요구받았다고 보고합니다. 셋째, Upwork의 데이터 처리 범위에 대한 설명이 모호합니다. 플랫폼은 인증을 신원 확인이라고만 설명할 뿐, Persona로의 정확한 데이터 전송 경로 또는 데이터 저장 정책에 대해 구체적으로 명시하지 않습니다.

숨겨진 정부 인프라: 소스 코드 유출이 드러내는 것

페르소나 인프라의 진정으로 우려스러운 점은 회사가 공개적으로 밝히는 내용이 아니라, 우연한 설정 오류로 드러난 사실입니다. 2026년 2월, 보안 연구원들은 페르소나 정부 플랫폼의 소스 코드 53MB가 공격이나 무단 접근 없이 공개적으로 접근 가능한 상태임을 발견했습니다. Vite 빌드 시스템이 소스 코드 맵을 공개적으로 노출시킨 것은 설계 결함으로, 전체 내부 아키텍처를 고스란히 노출시킨 것입니다.

연구원들이 발견한 것은 예상을 뛰어넘는 것이었습니다. 2,456개의 소스 파일에는 269가지의 서로 다른 검증 절차가 기록되어 있었습니다. ONYX라는 이름으로 FedRAMP 인증을 받은 정부 인프라에서 운영되는 이 플랫폼은 미국 재무부 산하 금융범죄수사망기관인 FinCEN과 캐나다 금융범죄수사국(FINTRAC)에 의심스러운 활동 보고서(SAR)를 직접 제출할 수 있는 완벽한 모듈을 갖추고 있습니다. 이 플랫폼은 감시 목록과 대조되는 얼굴 생체 인식 데이터베이스, 정치적으로 노출된 인물(PEP)의 얼굴 인식 모듈, 그리고 얼굴, 브라우저 지문, 위치 정보 등 13가지 유형의 추적 목록을 포함합니다. 코드에는 생체 인식 얼굴 목록을 최대 1,095일, 즉 3년 동안 저장할 수 있다는 내용이 명시적으로 나와 있습니다. 동시에, onyx.withpersona-gov.com이라는 새로운 서브도메인이 인증서 투명성 로그에 나타났는데, 이는 ICE가 420만 달러를 들여 의뢰한 AI 기반 감시 도구인 Fivecast ONYX와 시간적으로 연결되어 있습니다. 이 도구는 소셜 미디어와 다크 웹에 대한 위험 평가를 생성합니다. 이러한 이름의 우연의 일치인지 구조적 연관성인지는 아직 확실하게 입증되지 않았습니다. 그러나 분명한 것은 페르소나의 정부 인프라가 링크드인, 레딧, 오픈AI를 구동하는 상업용 인프라와 동일한 기술적 기반 위에서 운영된다는 점입니다.

FedRAMP와 Persona의 이중 역할

공개적인 논의에서 거의 주목받지 못하는 측면 중 하나는 페르소나의 FedRAMP 인증입니다. FedRAMP(연방 위험 및 인증 관리 프로그램)는 미국 연방 기관의 클라우드 서비스 보안을 인증하는 시스템입니다. 페르소나는 2025년 10월 FedRAMP 저위험 인증(Low Impact Authorized)을 획득했으며, FedRAMP 중위험 인증(Moderate Ready) 획득을 위해 순조롭게 진행 중입니다. 이는 페르소나가 이제 미국 연방 기관을 위한 공인 인프라 제공업체임을 의미합니다. 링크드인 사용자 인증을 위한 상용 플랫폼과 연방 기관에 신원 확인 서비스를 제공하는 정부 플랫폼은 배포 방식은 분리되어 있지만, 법적 및 조직적으로는 동일한 기업 구조 아래에 있는 것입니다.

유럽 ​​사용자들에게 있어 이는 매우 중요한 문제인데, 클라우드법(CLOUD Act) 문제를 새로운 차원으로 끌어올리기 때문입니다. 클라우드법은 미국 기업들이 서버 위치와 관계없이 요청 시 미국 당국에 데이터 접근 권한을 제공하도록 의무화하고 있습니다. 전 세계 수백만 사용자의 상업용 생체 데이터를 동시에 처리하는 기업이면서 미국 연방 기관의 공인 인프라 제공업체라는 점은 상업 서비스와 정부 인프라 간의 경계가 구조적으로 모호해지는 상황을 보여줍니다. 이는 단순한 의심이 아니라, 해당 기업의 사업 모델을 설명하는 것입니다.

사용자가 알아야 할 사항 및 해야 할 일

페르소나 구조를 이해하면 겉보기에는 간단해 보이는 결정, 즉 "링크드인 프로필을 인증해야 할까?"에 대한 평가 방식이 달라집니다. 프로필 조회수가 60% 증가한다는 점은 매력적으로 들립니다. 하지만 진짜 질문은 "나에게 어떤 이점이 있을까?"입니다. 그 답은 여러 가지 요소를 고려해야 합니다.

LinkedIn, Reddit, OpenAI 또는 Roblox에서 Persona를 통해 신원을 인증하는 모든 사용자는 생체 정보를 미국 기업인 Persona에 제공하게 됩니다. Persona는 FedRAMP 인증을 받은 정부 인프라 제공업체로, 피터 틸의 파운더스 펀드가 운영하며, 팔란티어와 동일한 창립 회장을 두고 있습니다. 유출된 소스 코드를 통해 Persona의 감시 인프라가 단순한 신원 확인을 훨씬 뛰어넘는 수준임을 알 수 있습니다. EU 거주자는 GDPR에 따라 데이터 접근, 삭제 및 이의 제기 권리를 보유합니다. Persona에 대한 데이터 삭제 요청은 DSAR(개인정보 주체 접근 요청)을 통해 직접 제출할 수 있지만, 일부 사용자는 Persona가 이러한 요청에 대해 자동화되고 모호한 답변만 보낸다고 보고하고 있습니다.

플랫폼 자체에 대한 교훈은 디스코드의 결정에 있습니다. 기기 내 처리 방식을 예외가 아닌 표준으로 삼아야 한다는 것입니다. 연령 확인을 위해 생체 정보를 미국 서버 인프라를 거쳐야 할 필요는 없습니다. 유럽의 전자 신분증 시스템, 국가별 신원 지갑, 분산형 검증 아키텍처와 같은 기술적 대안들이 존재합니다. 이러한 시스템들이 사용되지 않는 것은 기술적 필요성이 아니라 정치적, 경제적 결정입니다.

구조적인 질문: 누가 정체성의 인터넷을 구축하고 있는가?

이 목록은 해답을 제시하는 것이 아니라, 점점 더 시급해지는 질문을 제기합니다. 인터넷의 신원 확인 인프라는 누가 관리해야 할까요? 2026년까지 사실상의 해답은 피터 틸이 투자한 샌프란시스코의 한 민간 기업이 될 것이며, 이 회사는 상업적 KYC(고객 신원 확인) 제공업체이자 미국 정부 공인 인프라 제공업체라는 두 가지 역할을 수행할 것입니다. 링크드인은 이 시스템을 통해 1억 개의 프로필을 검증했습니다. 레딧은 영국, 그리고 곧 유럽 연합 전체의 압력에 따라 연령대별 신원 확인을 시행하고 있습니다. 로블록스는 매일 1억 5천1백만 명의 사용자에게 얼굴 스캔을 의무화하고 있습니다. 오픈AI는 세계에서 가장 강력한 AI 모델에 접근하기 위해 생체 인증을 요구합니다.

이러한 기업 집중은 필연적인 것이 아닙니다. 이는 미흡한 규제와 투명성 부족 하에 이루어진 시장 결정의 결과입니다. EU 인공지능법, GDPR, 그리고 EU 디지털 패키지는 이러한 기업 집중을 규제하고 유럽 차원의 대안을 모색할 수 있는 법적 수단을 제공합니다. 부족한 것은 이러한 법규를 시행할 정치적 의지와, 누가 자신의 공공 이미지를 관리할 것인가 하는 문제가 단순한 기술적 세부 사항이 아니라 디지털 시대의 민주적 자기 결정권의 핵심 문제라는 점에 대한 대중의 인식입니다.