킬 스위치와 제도적 포획

철회 가능성 위에 세워진 약속

2017년 허리케인 어마 당시, 플로리다의 여러 테슬라 소유주들은 제조사로부터 원격 업데이트를 받은 후 자신의 차량 주행 거리가 갑자기 늘어난 것을 발견했습니다. 그들은 그 대가를 지불하지 않았습니다. 배터리는 항상 그 성능을 낼 수 있었지만, 제조사는 시장 세분화를 위해 고객에게 이를 허용하지 않기로 결정했던 것입니다. 비상 사태 동안 테슬라는 일시적으로 전체 용량을 활성화했습니다. 비상 사태가 지나자 다시 비활성화했습니다.

뉴스가 관대한 제스처라고 설명한 것은 자세히 읽어보면 다른 의미였습니다. 소유주는 자신이 지불한 제품 전체를 소유한 적이 없었습니다. 제조사는 원격으로 기능을 확장하거나 축소할 수 있는 기술적 능력을 보유하고 있었으며, 그 특정 사례에서 고객에게 유리하게 행사하기로 선택한 것입니다. 그들은 반대의 선택을 할 수도 있었습니다. 이 이야기는 선행을 말하는 것이 아니라 권력의 구조를 말하고 있습니다.

이 기사는 그 구조를 다룹니다. 업계 관례에 따라 이를 킬 스위치(kill switch)라고 부릅니다. 이는 운영자가 사용자가 이미 자신의 것이라고 믿고 있는 제품, 서비스 또는 장치의 기능을 원격으로 중지, 수정 또는 철회할 수 있게 하는 원격 스위치입니다. 문제는 운영자가 정직한가가 아닙니다. 문제는 그들이 정직하지 않게 될 때, 혹은 누군가가 그들에게 다른 방향으로 스위치를 사용하도록 강요할 때 어떤 일이 벌어지는가입니다.

킬 스위치란 정확히 무엇인가

이 용어는 영어에서 유래되었으며 번역하기가 까다롭습니다. interruptor de muerte(죽음의 스위치)는 너무 드라마틱하고, interruptor remoto(원격 스위치)는 너무 중립적입니다. kill switch를 정의하는 것은 드라마틱함이 아니라 단순한 속성입니다. 즉, 사용하는 사용자가 아닌 다른 사람의 손에 달려 있는, 원격으로 무언가를 비활성화하는 기술적 능력입니다. 이는 완전한 중단(시동이 걸리지 않는 자동차, 삭제되는 파일, 정지되는 계정)일 수도 있고 부분적인 중단(사라지는 기능, 주행 거리가 줄어드는 배터리, 중단되는 구독)일 수도 있습니다.

모든 원격 제어가 kill switch인 것은 아닙니다. 제품 설치 시 사용자가 승인한 일상적인 보안 업데이트는 이에 해당하지 않습니다. 또한 휴대폰을 도난당했을 때 소유자가 직접 활성화할 수 있는 도난 방지 시스템도 해당되지 않습니다. 본래 의미의 kill switch에는 세 가지 특징이 있습니다. 사용 여부가 사용자가 아닌 운영자의 결정에 달려 있고, 활성화를 위해 당사자의 즉각적인 동의가 필요하지 않으며, 사용자가 이미 완전히 자신의 것이라고 생각했던 제품이나 서비스에 대해 행사된다는 점입니다.

현재 가동 중인 유럽의 스위치 갤러리

Tesla는 이 패턴을 자주 반복하며, 해당 사례는 문서화되어 있습니다. 소유자가 바뀐 중고차에 적용되는 계약상의 주행 거리 저하, 면허 취소 후 지원 주행 기능 회수, 펌웨어 버전 간의 일방적인 제품 동작 수정 등이 그 예입니다. John Deere는 수년 동안 수리할 권리에 관한 유럽과 미국의 논쟁의 중심에 있었습니다. 트랙터 구매에는 소프트웨어 계층이 포함되며, 그 서비스는 제조업체의 공식 네트워크에 의존합니다. 해당 네트워크가 등록을 거부하면 트랙터는 필수 기능을 축소합니다. BMW는 2022년에 이미 물리적으로 설치된 차량의 시트 히팅을 활성화하기 위한 월간 구독 서비스를 제안했습니다. 대중의 압력으로 이 모델은 철회되었지만, 기술적 능력은 여전히 남아 있습니다.

소프트웨어 측면에서 이 패턴은 구조적입니다. Adobe Creative Cloud는 구독이 갱신되지 않으면 월간 라이선스를 취소하여 사용자가 해당 도구로 만든 파일을 사용할 수 없게 만듭니다. Microsoft는 정품이 아니라고 판단되는 Windows 복사본을 실질적인 구제 수단 없이 비활성화할 수 있습니다. Google은 법원 명령이나 내부 결정에 따라 Play Store에서 앱을 삭제하며, 삭제된 앱은 해당 앱이 있던 휴대폰에서도 삭제됩니다. Apple Pay는 Apple이 국제 제재를 준수함에 따라 2022년 3월 러시아에서 비활성화되었습니다. 해당 상황에서는 정당한 조치였지만, 그 절차는 언제나 준비되어 있었습니다.

제조업체 측의 정당한 논거

이러한 시스템 중 하나를 설계하는 사람은 대개 매우 타당한 논거를 제시합니다.

1. 도난 방지. 자동차나 휴대폰을 도난당했을 때 제조업체가 원격으로 이를 사용할 수 없게 만들 수 있다는 점은 감사한 일입니다.
2. 부정행위 방지. 미납된 구독 서비스에는 차단 메커니즘이 필요하며, 이러한 메커니즘이 없다면 비즈니스 모델은 무너집니다.
3. 오용 방지. 잘못된 손에 들어간 위험한 도구는 철회 가능함으로써 이득을 얻을 수 있습니다.
4. 규제 준수. 특정 법적 명령은 운영자에게 콘텐츠 삭제, 기능 비활성화 또는 계정 정지를 강제하며, 스위치가 없는 시스템은 이를 준수할 수 없는 시스템입니다.

네 가지 논거 모두 사실입니다. 그 어떤 것도 사안의 본질을 바꾸지는 못합니다. kill switch가 도난 방지를 용이하게 한다는 것은 사실입니다. 또한 그 동일한 기능이 도둑에게 해를 끼치는 것뿐만 아니라 살아있는 고객을 강압하는 데에도 사용된다는 것 역시 사실입니다. 구독 모델에 차단이 필요하다는 것은 사실입니다. 또한 계약에 명시된 이유 외의 다른 이유로 현재 고객에게 내일 차단이 실행될 수 있다는 것 역시 사실입니다. 문제는 kill switch가 정당한 용도를 가지고 있느냐가 아닙니다. 문제는 일단 존재하게 되면 그 용도가 초기 문서에서 예상한 범위에 국한되지 않는다는 점입니다.

제도적 포섭 (Institutional capture)

여기서 기사의 제목이 된 개념이 등장합니다. 제도적 포섭이란 행위자(민간 기업, 행정부, 규제 기관)가 제한된 목적을 위해 획득하거나 부여받은 능력을 원래의 목적보다 더 광범위하거나, 다르거나, 혹은 정반대되는 목적으로 행사하게 되는 상황을 말합니다. 정치경제학에서는 금융 규제 분야에서 수십 년 전부터 이 현상을 알고 있었습니다. 기술 산업은 이제 스스로 이를 발견하고 있습니다.

메커니즘은 다음과 같습니다. 기업은 도난 방지, 구독 관리, 준수와 같은 정당한 목적을 위해 kill switch를 설계합니다. 기업은 이용 약관, 개인정보 보호정책, 공식 메시지에 이러한 목적을 명문화합니다. 세월이 흐릅니다. 정부가 새로운 법안에 따라 명령을 내립니다. 기업은 원래 문서에 설명되지 않은 방향으로 스위치를 사용하도록 강요받습니다. 행동주의 주주가 이사회에 진입하여 상업 정책을 수정합니다. 스위치는 존재하며 새로운 정책에 따라 적용됩니다. 기업이 더 큰 기업에 인수됩니다. 서비스 약관이 30일 통지로 일방적으로 재작성됩니다. 각각의 경우, 명시된 목적을 위해 스위치를 신뢰했던 고객은 스위치가 여전히 그곳에 있지만 다른 이익에 반응하고 있다는 사실을 깨닫게 됩니다.

유럽 독자들에게 전형적인 사례는 2016년 San Bernardino에서 발생한 Apple 대 FBI 사건입니다. 캘리포니아 테러 이후 FBI는 Apple에 범인의 iPhone 잠금 해제를 요구했습니다. Apple은 원칙적인 논거와 기술적 논거를 내세워 이를 거부했습니다. 설계된 시스템상 기본 소프트웨어를 재작성하지 않고서는 기업 스스로도 기기를 해제할 수 없었기 때문입니다. 가장 강력한 방어는 도덕이 아니라 구조였습니다. Apple은 스위치를 누르지 않겠다는 약속에 의존한 것이 아니라, 스위치의 부재에 의존했습니다. 아키텍처 내에 스위치가 존재하는 다른 기업들은 동등한 압력 앞에서 같은 입장을 고수할 수 없었습니다.

유럽의 규제 궤적

유럽 법은 지난 입법기 동안 원격 제어 능력을 줄이는 것이 아니라 더 강화하는 방향으로 움직여 왔습니다. 2024년 2월부터 전면 적용된 디지털 서비스법(DSA)은 플랫폼이 관할 당국의 명령에 따라 콘텐츠를 신속하게 제거할 수 있는 메커니즘을 활성화하도록 의무화하고 있습니다. 이는 근본적인 기술적 능력이 없으면 존재할 수 없는 메커니즘입니다. 2024년 8월부터 단계적으로 시행된 인공지능법(AI Act)은 특정 고위험 AI 시스템 제공자에게 시스템의 비활성화 또는 중대한 인간 감독을 허용하는 조치를 갖추도록 요구합니다. 이는 규제 형태의 의무적인 kill switch입니다. 반면, 디지털 시장법(DMA)은 상호 운용성 의무를 도입하여 잠금 효과를 제한하는 반대 흐름을 형성하고 있습니다.

유럽의 전문가들에게 정직한 해석은 다음과 같습니다. "운영자가 나를 위해 이 서비스를 비활성화할 수 있는가?"라는 질문에 법적 요구 사항으로 인해 긍정적인 답변이 매년 늘어나고 있으며, 줄어들지 않고 있습니다. 이는 규제의 정당성을 의심하는 것이 아니라(DSA은 실제 문제에 대응합니다), 한 가지 사실을 강화합니다. 즉, 운영자가 스위치를 사용하지 않을 것이라고 믿는 것은 미래의 어떠한 법적 의무도 오늘날 고려되지 않은 방향으로 스위치를 사용하도록 강요하지 않을 것이라는 믿음까지 필요로 한다는 것입니다. 이는 기업에만 달려 있는 신뢰가 아니라 규제 환경 전체에 달려 있는 신뢰입니다.

좀처럼 던져지지 않는 설계상의 질문

대부분의 현대적 기술 설계는 스위치가 존재할 것이라고 가정하고 남용하지 않겠다고 약속합니다. 더 까다롭지만 완벽하게 실행 가능한 대안이 있습니다. 스위치가 존재해서는 안 된다는 가정 하에 설계하는 것입니다. 이것은 슬로건이 아닙니다. 중앙 집중형이 아닌 분산형 아키텍처, 계정에서 파생된 권리가 아닌 사용자 기기상의 권리, 운영자가 보유한 키가 아닌 운영자가 갖지 않은 키로 암호화된 콘텐츠, 운영자가 관리하는 ID가 아닌 사용자의 암호화 ID 등 구체적인 결정을 의미합니다. 이러한 결정 각각에는 실질적인 기술적 비용과 상업적 결과가 따릅니다. 그러나 이들 모두는 한 가지 특성을 공유합니다. 일단 결정되면 특정 법적 명령을 실행 불가능한 대상으로 제거한다는 것입니다. 실행할 수 없는 것은 실행을 명령할 수 없습니다.

전문가 독자를 위하여

중요한 전문 서비스를 채택하기 전 서비스 제공자에게 물어야 할 다섯 가지 질문으로, 비즈니스 연속성 검사관이 제기할 법한 순서대로 구성되었습니다:

1. 공급자가 내 서비스, 데이터 또는 제품을 원격으로 중단, 차단, 삭제 또는 저하시킬 수 있는 기술적 능력이 존재하는가?
2. 공급자는 어떠한 계약상 선언된 가정 하에 그 능력을 행사할 수 있는가?
3. 법원 명령, 국제 제재, 일방적인 정책 변경, 기업 인수 등 선언되지 않은 어떠한 가정 하에 공급자가 이를 행사할 수도 있는가?
4. 그 능력이 행사될 경우, 전문적인 활동의 연속성을 위해 확보된 시간은 얼마이며, 어떠한 출구 전략이 마련되어 있는가?
5. "약속"이 아니라 "구조"에 의해 질문 1의 답이 "아니오"가 되는 아키텍처적 대안이 존재하는가?

다섯 번째 질문에 대한 답이 항상 제공되거나 비례적인 것은 아닙니다. 개인적인 스프레드시트에는 그러한 요구가 필요하지 않을 수 있습니다. 그러나 진행 중인 법적 파일, 환자의 진료 기록, 세무 회계, 직업 윤리상 보호받는 대화 등은 다릅니다. 비례성은 전문가적 판단이지만, 첫 번째 질문에 대한 정직한 해석은 그렇지 않습니다. 스위치는 존재하거나, 존재하지 않거나 둘 중 하나입니다.

---

철회 가능성을 보유한 보호는 구조적 보호가 아닙니다. 그것은 이름을 바꾼 '신뢰'일 뿐입니다. 다른 '노트북'에서 언급했듯이, 신뢰는 그럴만한 가치가 있는 사람에게 주어질 때 유효한 사회적 해결책이지만, 소유자가 바뀌는 순간 무너지는 취약한 것입니다. 가장 깔끔한 구조적 방어는 애초에 존재하지 않기 때문에 철회할 수도 없는 것입니다. 건축의 모든 것과 마찬가지로, 이것은 마케팅 결정이 아니라 설계상의 선택입니다.