'클릭 한 번'에 개인정보 '탈탈'…속임수 써도 규제 '사각지대' : zum 뉴스

편집자 주

지난해 발생한 잇따른 개인정보 유출 사고는 우리 사회의 데이터 보호 체계를 다시금 점검하는 계기가 되었습니다. 하지만 이러한 위기 속에서도 산업계 일각에서는 여전히 '다크패턴(눈속임 설계)'을 활용해 사용자의 의사를 왜곡하고 개인정보를 수집하는 관행이 이어지고 있습니다.

이에 다크패턴의 위험성과 제도적 한계를 점검해 사용자의 자기결정권을 실질적으로 보장하기 위해 필요한 정책적 과제는 무엇인지 살펴봅니다.

▶ 글 싣는 순서

①[단독]'다크패턴' 창안한 英 박사 "기업들 함정 더 정교해졌다"
②'클릭 한 번'에 개인정보 '탈탈'…속임수 써도 규제 '사각지대'
(계속)

2025년 2월 전자상거래법 개정으로 다크패턴 규제가 본격화됐지만, 개인정보 수집과 관련된 다크패턴은 여전히 광범위한 규제 사각지대에 방치돼 있다. 기업들은 '기만'이 아닌 '유도'라는 교묘한 경계선에서, 최소한의 법적 요건만 충족하며 소비자의 개인정보를 끌어모으고 있다.

"동의했잖아요" 형식만 갖춘 동의의 함정

지난 10월 공정거래위원회는 구독 플랫폼 4곳에 다크패턴 위반으로 과태료를 부과했다. 멤버십 가격 인상 시 명시적 동의를 받지 않고, 해지 정보를 은폐한 혐의였다. 전자상거래법 시행 이후 첫 제재 사례로 주목받았지만, 이는 빙산의 일각에 불과하다.

더 큰 문제는 개인정보 수집 영역이다. 현행 개인정보보호법과 전자상거래법은 다크패턴을 통한 개인정보 수집을 직접적으로 금지하는 명확한 조항을 두고 있지 않다. 개인정보보호법 제59조는 "거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위"를 금지하지만, 여기서 말하는 '부정한 수단'의 범위가 모호하다.

개인정보보호법상 부정한 수단이 무엇인지에 대한 명확한 기준이 없다. 기업들이 형식적으로나마 선택권을 제공하고, 동의 버튼을 배치했다면 '부정한 수단'으로 보기 어렵다.

법제처 국가법령정보센터 캡처

이에 대해 다크패턴의 개념을 최초로 정의한 해리 브리그널 박사는 CBS노컷뉴스에 "기업들은 '동의'라는 절차를 거쳤으니 문제가 없다고 주장하지만 인간의 인지 편향을 악용한 명백한 간섭"이라고 지적했다. 특히 '사전 선택' 패턴을 언급하며 "사용자가 상황을 완전히 이해했다면 내리지 않았을 결정을 구조적으로 강요하는 것은 자유 의지에 대한 침해"라고 강조했다.

EU 법률 자문을 맡았던 마크 라이저 교수 역시 "이러한 해석은 인간을 자유의지를 가진 주체가 아닌, 정해진 입력에 반응하는 로봇으로 가정할 때나 성립 가능하다"며 "법령상 명시된 '자유로운 동의'는 단순히 선택이 가능하다는 이론적 가능성이 아니라 현실적인 실행 가능성을 의미해야 한다"고 지적했다.

실제로 그간 개인정보보호위원회의 제재 사례는 주로 '필수 동의와 선택 동의를 구분하지 않은 경우'와 같은 명시적 요건 위반에 집중되어 왔다. 최근 가이드라인을 통해 마케팅 동의 항목의 사전 체크나 시각적 유도 행위 등을 규제 범위에 포함시키며 대응에 나섰지만 어디까지나 강제성 없는 권고 수준에 머물러 있다.

한 금융법인은 개인정보 처리 동의를 받으면서 금융상품 안내 및 판매 권유 사항을 필수사항과 구분하지 않아 과태료를 부과받았다. 하지만 이는 '구분하지 않았다'는 명백한 위반이었기에 가능했다. 만약 기업이 필수와 선택을 형식적으로 구분하면서 선택 항목에 미리 체크를 해두거나 거부 버튼을 찾기 어렵게 배치한다면 현행제도상 처벌이 쉽지 않다.

최경진 가천대학교 법과대학 교수는 "단순히 체크박스에 체크하는 행위가 있었다고 해서 그것을 '명확한 동의'로 봐서는 안 된다"며 "기만적 설계로 얻어낸 동의는 '무효'임을 명확히 해야 한다"고 강조했다.

이어 "동의를 받는 과정이 사용자의 인지적 편향을 악용하거나 심리적 압박을 가했다면 자유로운 의사에 기반한 것이 아니므로 법적 효력을 인정하지 않는 엄격한 해석 및 적용이 필요하다"고 말했다.

'유도'와 '기만'의 회색지대, 법은 어디까지인가

공정위가 발표한 다크패턴 유형. ★표시 유형만 전자상거래법에서 제재된다. 공정위 제공

전자상거래법은 2025년 2월부터 6가지 유형의 다크패턴(△숨은 갱신 △순차공개 가격책정 △특정옵션 사전선택 △잘못된 계층구조 △취소·탈퇴 방해 △반복간섭)을 명시적으로 금지했다. 위반 시 시정조치와 500만원 이하 과태료가 부과되고, 3회 이상 위반하면 최대 1년간 영업정지를 당할 수 있다.

하지만 이 6가지 유형 대부분은 '전자상거래' 과정에서의 다크패턴에 초점이 맞춰져 있다. 개인정보 수집 단계에서 발생하는 다크패턴은 여전히 모호한 영역에 남아 있다. 전자상거래법 제21조의2에 명시된 '특정옵션 사전선택' 금지 조항도 "다른 상품 구매 여부를 질문하면서" 미리 선택된 옵션을 제공하는 것을 금지할 뿐, 마케팅 동의와 같은 개인정보 수집 항목까지 포괄하는지는 불분명하다.

또한 개인정보 수집과 관련된 다크패턴으로 실제 처벌받은 사례는 찾아보기 어렵다. 개인정보보호위원회가 2022년부터 다크패턴을 주요 점검 대상으로 삼고, 2023년에는 중점 점검조사 분야에 포함시켰지만, 구체적인 제재 건수는 공개되지 않았다.

소비자정책동향 제137호 온라인 다크패턴 상관행(Dark Commercial Patterns): OECD 논의 동향 및 소비자보호 시사점. 한국소비자원 제공

2021년 한국소비자원이 국내 모바일 앱 100개를 조사한 결과, 다크패턴 중 '개인정보를 공유하는 유형'이 19.8%로 가장 높았다. 5개 앱 중 1개가 개인정보 관련 다크패턴을 사용하고 있다는 뜻이다.

공정위가 2025년 2~7월 실시한 다크패턴 모니터링에서는 45건의 의심 사례가 적발됐다. 유형별로는 '취소·탈퇴 방해'(15건), '숨은 갱신'(9건), '잘못된 계층구조'(6건) 순이었다. 하지만 이 중 개인정보 수집 관련 사례는 구체적으로 언급되지 않았다.

더 심각한 문제는 처벌 수위다. 전자상거래법상 다크패턴 위반 과태료는 최대 500만원에 불과하다. 연 매출 수천억원대 플랫폼 기업에게는 '사업 비용' 수준이다. 개인정보보호법 위반의 경우 최대 3년 이하 징역 또는 3천만원 이하 벌금이 가능하지만, '부정한 수단'으로 동의를 받았음을 입증하는 것이 관건이다.

실제 2025년 10월 공정위가 구독 플랫폼에 부과한 과태료도 100만~200만원 수준이다. 한 업계 관계자는 "이 정도 금액이라면 UI/UX를 개선하는 비용보다 싸다"며 "법을 지키는 것보다 위반하는 게 경제적으로 이득"이라고 말하기도 했다.

라이저 교수는 유럽의 사례를 들어 한국의 처벌 수위를 비판했다. 그는 "처벌이 상업적 이익보다 낮으면 법은 행동을 규제하는 것이 아니라 위법 행위의 가격을 책정하는 것에 불과하다"며 "강력한 과징금을 통해 조작 비용이 이익보다 높다는 신호를 주어야 기업의 미래 설계 로드맵이 비로소 바뀔 것"이라고 제언했다.

최경진 교수도 "다크패턴은 많은 경우 경제적 이익이 주된 목적이기 때문에 피해자의 단순한 경제적 손실 보전을 넘어서 다크패턴을 통해 벌어들이는 수익을 모두 회수할 수 있는 제재를 규정하는 것이 필요하다"고 짚었다.

법의 속도 vs 기술의 속도, 추격전의 한계

규제 당국도 손을 놓고 있는 것은 아니다. 개인정보보호위원회는 2023년부터 다크패턴을 중점 점검 대상으로 삼았고, 공정위는 2023년 7월 '온라인 다크패턴 자율관리 가이드라인'을 제정했다. 2025년에는 전자상거래법 개정으로 일부 유형을 법제화했다.

하지만 기술 발전 속도를 법이 따라가지 못하는 것이 현실이다. 2023년 공정위가 유형화한 다크패턴은 19개 세부 유형이었지만, 이 중 법적 근거가 마련된 것은 6개에 불과하다. 나머지는 여전히 '기만적 행위' 같은 포괄 조항에 의존해야 한다.

브리그널 박사는 "AI는 사용자의 취약점을 실시간으로 학습하고 개인화된 응답을 내놓는다"며 "어제의 다크패턴을 규제하는 동안 더 강력하고 불투명한 새로운 함정이 깔리는 셈"이라고 우려했다. 그는 한국의 독자들에게 "규제 당국에 적극적으로 문제를 제기하고 '이것은 기만'이라는 사회적 합의를 만들어내야 한다"고 조언했다.

22대 국회에는 다크패턴 규제를 강화하는 법안 4건이 발의돼 있다. 주요 내용은 실태점검 실시 근거 마련, 위법행위 신고 기준 고시, 과징금 상향 등이다. 하지만 입법 과정은 더디다.

최경진 교수는 한국의 규제 수준에 대해 "2023년 공정위 가이드라인, 2025년 방통위 사례집, 개정 전자상거래법, 금융위 가이드라인 등을 통해 구체적인 법적 규제를 도입하고 있어 다크패턴 규제 수준은 상당히 높은 수준"이라고 평가하면서도 "다크패턴을 통해 벌어들이는 수익을 모두 회수할 수 있는 제재를 규정하는 것이 필요하다"고 말했다.

이어 "소비자는 단순한 '이용자'를 넘어 감시자 역할을 해야 한다"며 "공짜 점심은 없다는 인식을 갖고, 지나치게 파격적인 혜택 같은 것들을 경계해야 한다"고 덧붙였다.

※CBS노컷뉴스는 여러분의 제보로 함께 세상을 바꿉니다. 각종 비리와 부당대우, 사건사고와 미담 등 모든 얘깃거리를 알려주세요.