[MOVIEW] DMA 개방이 드러낸 구조적 약점
 |
 |
EU와 애플의 갈등은 규제와 기업의 충돌이라는 단선적 구도가 아니다. 양측이 서로 다른 기술 철학, 경제 구조, 보안 기준을 갖고 있어 충돌이 깊어지는 구조적 대립이다. 특히 애플이 이번 서한을 통해 강조한 ‘보안 약화’ 프레임은 DMA 이후 더욱 면밀한 검증 대상이 되고 있다. EU는 이 주장이 기술적 사실이라기보다 통제력 약화에 대한 방어 논리라고 본다. 국제 보안업계·학계·규제기관이 내놓은 다층적 분석도 이 해석을 뒷받침한다.
애플은 17년간 대규모 악성코드 공격이 없었다는 점을 앞세워 iOS 보안의 절대적 우위를 주장했다. 그러나 EU는 이 숫자 자체보다 배경에 좀 더 집중하고 있다. iOS의 안전성은 ▲단일 유통구조 ▲폐쇄형 API ▲인앱결제(IAP) 강제 ▲개발자 계정 제한 등 ‘경로 통제’라는 구조적 특징에서 만들어졌다는 것. 다시 말해 보안이 기술적 우월성에서만 비롯된 것이 아니라 통제 방식에 기초해 있었다는 분석이다. DMA의 목표는 바로 이 폐쇄형 통제 구조를 해체하는 것이고, 애플의 ‘보안 약화’ 주장은 이 목표와 정면으로 충돌한다.
EU는 애플이 DMA를 빌미로 자사 보안 구조를 축소하는 방식도 문제 삼고 있다. 실제로 애플이 서한에서 강조한 앱 사전검증(Notarization)은 글로벌 앱스토어(AppStore) 검증체계의 절반 이하 수준으로 축소됐다. EU는 이를 “규제가 보안을 약화시킨 것이 아니라, 애플이 선택적으로 기준을 낮춘 것”이라고 보고 있다. 감사를 통해 확인되는 위험평가 구조 역시 애플이 충분한 정보를 제공하지 않는다는 비판이 제기되는 지점이다.
글로벌 보안업계의 분석도 애플 논리를 그대로 수용하기 어렵다는 입장이다.
노르웨이 보안업체 프로몬(Promon)은 DMA 이후 iOS 보안 환경이 도전에 직면할 수 있다고 인정하면서도, 실제 위험은 OS 자체의 구조적 취약보다 애플이 선택적으로 유지하지 않는 보안 조치, 개발자 검증, 지속적 모니터링 부재에서 발생한다고 분석했다. 프로몬은 iOS 17.4 환경에서 상위 100개 앱을 분석한 결과, 93%가 리패키징 공격에 취약할 수 있다고 지적했다. 이는 애플이 주장하는 절대적 보안 우위를 수치적으로 반박하는 근거로 활용된다.
프로몬(Promon)은 유럽 보안 분야에서 기술 신뢰도가 높은 업체 중 하나로 평가되며, 모바일 악성코드 분석과 앱 보안 취약성 연구를 정기적으로 발표한다. 특히 iOS·안드로이드 앱의 리패키징 공격, 데이터 탈취 기법 등을 추적하는 보고서를 통해 글로벌 보안업계에서 참고자료로 널리 활용되고 있다.
또한 iOS의 프라이버시 우위도 학계 분석과 일치하지 않는다. 영국 브리스톨대 콘라드 콜니그(Konrad Kollnig) 연구팀은 iOS·안드로이드 앱 수만개를 비교 분석한 결과, 프라이버시 측면에서 iOS가 명확한 우위를 입증하기 어렵다고 밝혔다. 위치 정보 수집, 사용자 추적, 타사 SDK 사용률 등을 기준으로 보면 iOS가 불리한 측면도 존재했다. 이는 애플의 서한에서 반복되는 ‘프라이버시 최우위 플랫폼’ 주장과 거리가 있다.
반독점 연구도 애플 논리를 약화시키는 방향이다. 실리 샤오(Shili Shao)는 애플의 모바일 플랫폼 지배력이 앱 유통·결제·데이터 흐름까지 단일 구조로 묶어 경쟁을 제약했다고 분석했다.
샤오 연구에 따르면 인앱결제 30% 수수료 구조는 보안 조치가 아니라 경제적 장벽으로 기능했고, 이는 플랫폼 생태계의 혁신을 제한했다. 영국 경쟁시장청(CMA) 역시 외부 결제 도입이 사기 위험을 크게 키운다는 애플의 주장에 대해, “실제 위험의 대부분은 결제 독점 구조에서 비롯된 불투명성”이라고 결론냈다.
실리 샤오(Shili Shao)는 미국 예일대(Yale University)에서 디지털 플랫폼 경쟁 구조를 연구하는 법·경제학자로 모바일 생태계에서 빅테크가 행사하는 지배력과 그로 인해 발생하는 시장 왜곡을 주요 연구 주제로 삼아 왔다. 특히 애플(App Store·인앱결제 구조)을 집중 분석하며, 폐쇄형 유통 구조가 보안 조치라기보다 경제적 통제 장치로 기능해 왔다는 점을 학술적으로 제기한 연구자로 알려져 있다.
 |
애플이 서한에서 강조한 NFC 보안 논리도 기술적으로 논쟁 여지가 크다. 애플은 NFC 리더/라이터 모드 개방 시 금융정보 스키밍 위험이 증가한다고 주장했다. 그러나 EU는 이를 과도한 단순화라고 본다. 실제로 안드로이드 환경에서 발생한 ‘NGate’ 사건은 NFC 개방보다 가짜앱 설치·사용자 기만·인증 우회가 결합된 공격이었다. EU는 DMA로 요구한 것은 NFC 통제 해제가 아니라 ‘동등한 접근권’이었으며, 이를 안전하게 구현하는 기술적 옵션은 존재한다고 강조한다.
아동 보호 분야에서도 양측의 입장은 다르다. 애플은 스크린타임·가족공유·퍼미션키트(PermissionKit) 등을 통해 아동 보호에 적극적이라고 주장한다. 그러나 DSA는 사전통제가 아니라 위험 기반 사후 검증과 투명성에 집중했다. 최근 발표된 유럽 연구에서도 공식 스토어 외부에서 유통된 부모통제 앱이 암호화·데이터 보호 등 핵심 기능에서 취약하다는 결과가 나왔지만, EU는 이것이 ‘개방의 위험’이 아니라 ‘검증의 부재’로 인한 결과라고 본다. 즉, 애플의 주장이 강조하는 방향과는 다른 해석이다.
금융사기 논쟁도 핵심이다. 애플은 2024년 앱스토어에서 9억달러 규모의 사기를 막았다고 발표했지만, EU는 사후 삭제·차단이 핵심 위험관리를 충족시키지 못한다는 입장이다. 독일·프랑스·스페인 금융감독기관은 올해 사기앱이 iOS·안드로이드 가리지 않고 폭증했다고 지적했다. EU는 애플이 말하는 ‘보안 장벽’이 실질적으로 사기를 억제하지 못한 사례가 충분히 있다고 본다.
OECD의 ‘게이트키퍼 권력’ 분석도 EU 논리를 강화해준다. 플랫폼이 이용자 접근 경로 전체를 통제하면, 보안·결제·데이터·광고까지 플랫폼이 모든 위험을 독점적으로 관리하는 구조가 만들어지고, 이는 외부감시를 어렵게 한다는 내용이다. DMA는 이 구조의 단절을 목표로 한다. 애플의 보안 논리가 옳고 그르냐가 아니라, 보안이 기업 독점의 명분으로 활용될 가능성을 제도적으로 차단하는 것이다.
결국 EU는 보안·경쟁·투명성은 대립하는 가치가 아니라 함께 달성돼야 한다는 입장이다. 반면 애플의 보안 논리는 경쟁·개방·감시를 뒤로 미루는 구조다. 국제 연구·보안기관·규제당국이 공통적으로 지적하는 바는 애플의 보안 우위는 절대적 기술이 아니라 폐쇄형 구조의 산물이고, DMA가 이 구조를 열자 그동안 내부에 가려져 있던 취약점이 드러나기 시작했다는데 있다.
물론 애플은 EU의 판단이 사실과 다르다고 반박했다. 애플은 iOS 보안이 폐쇄성의 산물이 아니라 하드웨어·운영체제·서비스가 통합된 구조에서 나온 결과라고 강조했다. 17년간 대규모 악성코드 침투 사례가 없었다는 점도 재차 언급했다. 앱스토어의 인간 심사와 자동 검증 시스템이 결합된 다층 보호체계가 효과를 입증해 왔다는 설명이다.
애플은 외부 결제와 서드파티 앱마켓 강제가 사용자 위험을 높인다고 주장했다. 웹뷰 기반 결제는 사용자가 애플의 결제 보호막 밖으로 나갔다는 사실조차 인지하지 못하게 만든다고 지적했다. 아동 보호 기능 역시 DMA로 훼손됐다는 입장이다. NFC 개방 논란에 대해서도 금융정보 스키밍 위험은 EU가 평가하는 것보다 훨씬 크다고 밝혔다.
한편, 애플은 DMA 집행이 혁신 저해와 사용자 보호 약화로 이어질 수 있다며, 보안 저하 책임을 애플에 돌리는 EU 해석이 부당하다고 주장했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.