[디지털데일리 김문기 기자] 애플과 유럽연합(EU) 집행위원회 갈등이 정점으로 치달았다.

집행위가 디지털시장법(DMA)·디지털서비스법(DSA)을 동시에 적용하며 앱스토어(App Store)를 정밀 조사하자 애플은 ‘규제의 자기모순’을 정면으로 지적하고 나섰다. 애플은 집행위의 조치가 보안을 약화시키고 사기 위험을 키웠다고 날을 세우고 있다.

사실상 충돌은 올해 초부터 예고돼 있었다. DMA는 시장지배적 플랫폼, 이른바 ‘게이트키퍼’에게 ▲제3자 앱마켓 허용 ▲외부 결제 안내 허용 ▲운영체제 기능 개방 등을 요구했다. 집행위는 애플 앱스토어가 외부 결제·서비스로의 이동을 가로막는 ‘안내 제한(anti-steering)’ 관행을 유지해 경쟁을 저해했다고 판단했다. 이에 따라 지난 4월 23일 집행위는 DMA 제5조 4항 위반을 최종 결론내고 5억유로 과징금을 부과했다. DMA 시행 이후 첫 제재 사례가 발생한 셈이다.

이는 애플의 핵심 구조를 직접 겨냥한 조치다. 앱스토어 인앱결제(IAP)는 전 세계 모바일 소프트웨어 유통 구조를 바꾼 수익 모델이자 애플이 보안 논리를 강조해온 통제 장치였기 때문이다. 집행위는 이 구조가 개발자 경쟁을 억제한다고 봤던 것. 애플은 IAP를 대체하는 외부 결제는 보안·사기 탐지 능력이 낮아 사용자 피해 위험이 커진다고 맞섰다.

상호운용성 의무도 갈등을 키웠다. 집행위는 DMA 제6조 7항을 근거로 “독점적 환경이 혁신을 가로막는다”고 판단해 iOS·아이패드OS의 NFC, 주변기기 API, 고급 기기 기능을 제3자 수요에 맞춰 개방하라고 요구했다. 이에 애플은 기기 내부 접근 경로를 외부에 개방하면 카드 스키밍, 인증 우회 등 새로운 공격면이 생긴다고 반박했다. 좀처럼 이견이 좁혀지지 않은 것.

DMA 집행이 본격화되자 집행위는 DSA로 같은 앱스토어를 또 다시 겨냥했다. DSA는 대규모 온라인 플랫폼(VLOP)에 콘텐츠 위험 완화 의무를 부과하는 법이다. 이에 따라 지난 9월 23일 집행위는 금융사기 관련 위험을 집중 점검하는 정보요청서(RFI)를 발송했다. 가짜 투자앱, 대출 위장앱, 사업자 실명 확인(KYBC) 절차가 핵심이다. 아울러 10월 10일에는 아동보호 기준을 점검하는 두 번째 RFI가 나갔다. 연령 확인, 유해 콘텐츠 차단, 앱 심사 기준이 전면 재검토 대상이 됐다.

애플은 강력한 저항에 나섰다. 집행위에 보냔 서한을 직접 여론에 공개했다. 애플은 DMA로 인해 ▲사이드로딩 ▲제3자 앱마켓 ▲웹뷰 기반 외부 결제 ▲광범위한 기기 기능 개방이 강제됐고, 이로 인해 EU 사용자가 다른 지역 대비 더 높은 사기·악성코드 위험에 노출되고 있다고 주장했다. 그런데도 집행위가 DSA를 근거로 '왜 위험을 낮추지 못했느냐'고 묻는 것은 모순이라는 논리라 따져 물었다. 결과적으로 애플은 앱 심사(App Review)와 자체 가이드라인이 17년간 보안 기반으로 작동해왔으며 이 기반을 EU가 스스로 해체했다고 적시했다.

집행위 역시 물러서지 않았다. 집행위는 DMA 목표가 게이트키퍼의 시장지배력 축소이며 보안은 그 목적을 회피하기 위한 근거가 될 수 없다고 강조했다. DSA 역시 플랫폼 이용자 보호를 위한 절차 법이라는 점을 상기시켰다.

종합하면 보안과 경쟁이라는 측면에서 관점을 달리 해석하는 셈이다. 애플은 폐쇄형 구조가 안전을 담보한다고 주장하지만, 집행위는 폐쇄성 자체가 경쟁 저해 요소라는 판단이다. 그 속에는 두 규제의 충돌이라기 보다는 애플의 설계 철학이 EU 규제 체계와 정면으로 부딪쳤다고 해석할 수도 있다.

금융사기, 아동보호, 기기 상호운용성, 앱스토어 수수료 모델이 한꺼번에 충돌하며 양측 갈등은 단기 제재 국면을 넘어 플랫폼 규제 체계의 방향성을 둘러싼 장기전으로 확산되고 있다.

◆ 누적된 규제 압력에 대한 강력 저항 사례

애플과 EU 갈등의 격화는 단일 사건이 아니라 지난 2년간 누적된 규제 압력의 결과이기도 하다.

DMA는 2020년 초안 단계부터 애플·구글·메타의 폐쇄형 구조를 겨냥해 설계된 규제였다. 집행위는 초기부터 앱스토어 수수료, 앱 심사 투명성, 기본 앱 교체 제한을 경쟁 제약 요소로 판단했다. 특히 2021년 에픽게임즈 소송을 전후해 앱마켓 독점이 글로벌 현안으로 떠오르면서 EU는 DMA를 가속했다. 2023년 5월 DMA 발효 후 애플은 ‘게이트키퍼’로 지정됐고, 2024년부터 즉각적인 구조개편 압박이 가해졌다.

아울러 EU 집행위는 2024년 중반부터 애플의 수정안을 반복적으로 반려했다. 외부 결제 허용 범위, 링크아웃 방식, 제3자 앱마켓 조건에서 개발자·소비자 편익이 충분히 확보되지 않았다는 이유였다. 애플은 웹뷰 결제 개방은 피싱·결제 데이터 탈취 위험이 크다며 반대했지만 집행위는 개발자의 선택권 확대가 우선이라고 판단했다.

문제는 기술·사업 구조 변화를 강제하는 DMA와 콘텐츠 위험을 점검하는 DSA가 동시에 적용되면서 갈등이 구조적으로 확대됐다는 점이다. DMA는 플랫폼의 ‘지배력’을 다루는 반독점 규제인데 비해 DSA는 플랫폼의 ‘책임’을 다루는 안전 규제다. 애플은 두 규제가 향하는 방향이 다르기 때문에 ‘모순’이라고 주장하지만 집행위는 “목표가 다를 뿐 충돌은 없다”는 입장을 유지하면서 평행선을 달렸다.

애플이 특히 문제 삼는 부분은 기기 기능 개방에 따른 위험 증가다. 예컨대 NFC 리더/라이터 모드는 은행·교통·결제 생태계가 얽혀 있어 보안 관리 난이도가 높다. 애플은 내부적으로 이 기능을 애플페이·월렛 중심으로 제한해 왔다. 그러나 집행위는 '단말기 접근은 개발자가 선택할 권리'라며 개방을 강제했다. 애플은 DMA 적용 이후 금융 앱 사기 탐지율이 떨어졌다는 기술적 근거를 제시했지만, 집행위는 이를 ‘사업 전략적 해석’으로 치부했다.

아동보호 문제도 전선이 된 배경에는 앱 심사(App Review)의 특수성이 있다. 애플은 2008년 앱스토어 개시 이후 ▲사전 심사 ▲명시적 승인 ▲메타데이터 검증 ▲연령등급 검토 등 다층 구조를 유지해왔다. 이 구조는 경쟁사 대비 강도 높은 통제 체계였다. 애플은 이 체계 덕분에 'iOS는 지난 17년간 대규모 악성코드 공격 단 한 차례도 없었다'고 강조했다. DMA로 앱 심사 범위가 축소되자 아동 유해앱 필터링 능력도 약화됐다고 주장했다.

반대로 집행위는 애플의 폐쇄성 자체가 위험이라고 보고 있다. 아동 보호는 개별 플랫폼의 경험적 주장보다 체계적 위험평가·투명성·독립적 감사가 더 중요하다는 입장이다. 집행위는 애플이 아동 보호를 이유로 경쟁 제한을 정당화하는 것을 경계한다.

또 다른 갈등 요인은 개발자·스타트업 생태계다. YC와 미국 VC 커뮤니티가 DMA 지지를 선언한 것도 애플과 EU 갈등을 확대시킨 요소다. YC는 “애플이 외부 음성 AI·검색·앱 유통 경쟁을 구조적으로 차단하고 있다”며 DMA를 공개 지지했고, 이는 EU 집행위에 정치적 명분을 제공했다. 애플이 미국 정치권에 기대는 명분도 약화됐다. 미국 내에서도 대형 플랫폼의 통제력 축소 논의가 확산된 상황이기 때문이다.

◆ 애플 여론전 불사…더 커지는 강대강 대치

애플의 EU 대응 전략은 갈등이 장기화되면서 변화하고 있다. 초기에는 수정안을 내고 협상했지만, 최근 적극적 여론전으로 선회했다. 기능 제한, 출시 지연 등 사용자 불편 가능성을 명시하며 규제가 EU 사용자에게 피해를 준다는 프레임을 구축했다. 반면 집행위는 애플이 스스로 규제 완화를 위해 소비자 불편을 협상 카드로 사용한다고 반박했다.

결국 갈등은 기술 규제의 충돌이 아니라 ‘플랫폼 권력 분산’이라는 EU의 목표와 ‘사용자 경험 통제’라는 애플의 전략이 부딪치면서 갈등은 기술·정책·산업 구조 전반으로 확산되며 폭발한 상태다.

여기에 최근 분기별 변수들도 갈등을 증폭시켰다. 집행위는 올해 3분기부터 앱스토어 내 금융 범죄 확산 속도를 문제 삼기 시작했다. 특히 유럽 내 소비자금융 사기가 급증하면서 앱 기반 금융 접근성 규제가 정치적 이슈로 떠올랐다. 독일·스페인·프랑스 소비자보호기관은 위장 대출앱이 앱스토어·플레이스토어를 통해 유입되고 있다며 EU 차원의 강력한 감독을 요구했다. 이 압박이 DSA 정보요청서로 연결됐다는 평가가 우세하다.

반면 애플은 반년 전부터 사기 감지 알고리즘·심사 기준·기기 기반 정책을 전면 개편해왔다고 강조했다. 애플은 2024년 한 해 동안 3만7000여개 사기 앱을 삭제했고, 2025년 상반기에만 EU 관련 앱 1만1000여개 이상을 삭제 또는 제한했다는 데이터를 제시했다. 그러나 집행위는 ‘삭제 후 조치’만으로는 충분하지 않으며 사전에 위험을 억제할 수 있는 구조적 조치가 필요하다는 입장이다.

앱스토어 리스크 범위 정의에서도 양측 시각 차이가 크다. 애플은 앱스토어가 ‘콘텐츠 플랫폼이 아니라 앱 유통 플랫폼’이며, 앱 내 이용자 생성 콘텐츠는 개발자 책임이라는 논리를 유지하고 있다.

반면 집행위는 대규모 온라인 플랫폼(VLOP) 지정 근거가 '소비자 접점 규모'인 만큼, 앱스토어도 시스템적 위험을 완화할 실질적 의무가 있다고 보고 있다. 이 기준은 지난 2년간 트위터·틱톡·구글에 적용된 것과 동일하다.

집행위는 경쟁·보안·소비자보호를 별개 문제로 보지 않고 있다. 세 축이 동시 적용돼야 위험이 줄어든다는 판단이다. 예컨대 외부 결제 허용은 경쟁을 확대하지만 동시에 사기 위험을 높일 수 있다. 집행위는 이를 플랫폼이 ‘보완 설계’로 해결해야 한다는 접근이다.

반대로 애플은 보완 설계가 가능한 범위 자체가 DMA에 의해 제한되고 있기 때문에, 위험 관리 책임을 일방적으로 지우는 것은 부당하다고 주장한다.

양측 주장은 서로 간단히 조율될 수 없는 구조다. 애플은 폐쇄형 구조가 보안의 전제조건이라는 입장이고, 집행위는 폐쇄형 구조가 독점 문제의 근원이라는 입장이다. 두 관점은 기술적·정책적 전제가 다르다. 갈등이 장기화될 것이라는 전망이 나오는 이유다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -