'증명서 좀 봅시다' 시대 — 나이·신원 확인 의무화가 여는 새 SaaS 시장

영국·EU·미국·호주가 나이·신원 확인을 잇따라 법으로 강제하면서, 인터넷에 들어가려면 신분증을 내미는 시대가 열렸다. 미국에서만 19개 주가 미성년 SNS 접근법을, 20개 넘는 주가 성인 콘텐츠 나이 확인법을 통과시켰다. 규제는 위협이자 시장이다. 프라이버시를 지키는 나이 추정·신원 확인 SaaS가 새 카테고리로 떠오른다.

무슨 일이 있었나

지난 1~2년 사이 나이·신원 확인 의무화가 빠르게 번졌다. 영국 온라인안전법은 2023년 발효 후 단계적 집행에 들어갔고, 2026년 현재 Ofcom이 90개 넘는 플랫폼을 조사하며 6건의 과징금을 부과했다 — 스트리밍 서비스 Kick에 80만 파운드, 한 성인 사이트 운영사에 100만 파운드를 매겼다. 유해 콘텐츠를 다루는 플랫폼은 ‘매우 효과적인’ 나이 확인을 깔아야 하고, 인증 수단으로 안면 나이 추정과 인증된 디지털 신원 제공자가 인정된다. 호주는 2025년 12월 16세 미만 SNS 금지를 시행했다. 미국에선 최소 19개 주가 미성년 SNS 접근법을, 20개 넘는 주가 성인 콘텐츠 나이 확인법을 통과시켰고, 연방 차원의 KOSA(아동 온라인 안전법)가 상·하원에서 조율 중이다. 프랑스·스페인·그리스·덴마크·노르웨이도 비슷한 규제를 추진한다. FIRE는 이 흐름을 ‘증명서 좀 봅시다(papers, please)’ 시대로 부른다. 나이 보호의 외피를 쓴 사실상의 강제 신원 확인이라는 것이다. 실제로 호주 SNS 금지법 시행 몇 주 전 Discord에서 정부 발급 신분증 이미지가 유출돼 호주 사용자 6만 8000명이 피해를 봤다.

창업자에게 의미하는 것

규제는 두 얼굴이다. 하나는 비용이다. 사용자에게 콘텐츠를 보여주는 거의 모든 서비스가 이제 나이 게이트를 깔아야 한다. 잘못 깔면 과징금이고, 영국은 위반당 매출의 일정 비율을, 미국 KOSA의 FTC 안은 위반당 5만 달러 넘는 과징금을 거론한다. 다른 하나는 시장이다. 직접 신원 확인 인프라를 만들 여력이 없는 회사들은 결국 외부 SaaS를 산다. 여기서 새 카테고리가 열린다. 핵심은 ‘프라이버시를 지키는 나이 추정’이다. 셀피 한 장으로 얼굴을 분석해 나이대를 추정하고, 신분증도 개인정보 보관도 없이 18+·25+ 같은 임계값만 통과시키는 방식이다. Didit 같은 곳은 이런 나이 추정을 1건당 0.10달러에 판다. EU 집행위의 나이 확인 청사진도 ‘신원을 노출하지 않고 나이 상태만 검증한다’를 원칙으로 못 박았다. 사용자의 실제 신원은 플랫폼에 넘어가지 않는다는 것이다. 이 지점이 창업자에게 두 갈래 기회를 연다. 첫째, 컴플라이언스 부담을 떠안는 서비스라면 데이터 최소화 설계가 차별화다 — Discord 유출처럼 신분증을 통째로 받아 보관하는 순간 그게 부채가 된다. 둘째, 나이·신원 확인 자체를 파는 SaaS라면 지금이 카테고리 형성기다. 다만 규제가 주마다·나라마다 제각각이라 — 미국은 주 단위로 쪼개지고 영국·EU·호주는 중앙집권형이다 — 파편화된 규정을 한 API로 흡수해주는 쪽에 값어치가 붙는다.

지금 취할 수 있는 행동

먼저 내 서비스가 어느 나이 확인 의무에 걸리는지부터 지도를 그려라. 타깃 시장이 영국·EU·미국 일부 주를 포함하면 이미 적용 대상일 가능성이 높다. 둘째, 직접 만들지 말고 사라. 안면 나이 추정·디지털 신원 SaaS는 1건당 수십 센트면 붙는다. 직접 신분증을 받아 보관하는 설계는 과징금 리스크와 유출 부채를 동시에 떠안는 길이다. 셋째, 데이터 최소화를 기본값으로 깔아라. ‘나이 상태만 받고 신원은 안 받는다’가 규제 준수이자 신뢰 마케팅이다. 넷째, 이 시장을 노린다면 파편화를 해자로 삼아라. 미국 19개 주·영국·EU·호주의 제각각인 요건을 하나의 통합 인터페이스로 묶는 컴플라이언스 레이어가 다음 수요다.