교묘한 ‘눈속임 설계’로부터 소중한 개인정보 지키세요!

개인정보위, 눈속임 설계(다크패턴) 제재 사례 분석

[보안뉴스 원병철 기자] #1. 김OO 씨는 치료를 받기 위해 한 병원에 들러서 치료를 위한 개인정보 수집·활용 동의서를 작성하던 도중 이상한 내용을 발견하였다. 동의 내용에 홍보자료 발송을 위한 항목이 포함돼 있었던 것. 그는 해당 사항이 치료를 위해 반드시 동의해야 하는 내용인지 의구심이 가시지 않았다.

#2. 이OO 씨는 최근 온라인 사이트에서 회원 탈퇴를 하면서 황당한 경험을 했다. 탈퇴 요청서를 담당자 이메일로 보내야 할 뿐 아니라, 여러 복잡한 절차를 거쳐야 했다. 그는 ‘회원 가입할 때는 사이트에서 쉽게 됐는데, 탈퇴를 하려니 복잡하고 어렵다’라며, 회원 탈퇴를 막기 위한 꼼수가 아닐지 의심했다.

[이미지=utoimage]

위에 언급된 사례와 같이 우리 생활 주변에서 각종 서비스를 이용하는 도중에 자신도 모르는 사이에 자기 개인정보를 침해받거나, 재화나 서비스 이용에 불이익을 받는 경우가 종종 있다. 특히, 코로나19 확산 이후 온라인을 통한 비대면 활동이 일상화됨에 따라 이러한 현상이 더욱 확산되고 있다.

개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 디지털 시대를 맞아 소비자의 비합리적 선택을 유도하는 눈속임 설계(Dark Pattern) 사례가 큰 폭으로 늘고 있어 각별한 주의가 필요하다고 당부했다.

눈속임 설계란 ‘사람을 속이기 위해 설계(디자인)된 사용자 인터페이스’를 말하며, 인터넷 사이트나 모바일 애플리케이션(앱) 등에서 사용자들이 물건을 사거나 서비스에 가입하도록 교묘하게 유도하는 기능을 한다. 2021년 6월 한국소비자원이 국내에서 이용 빈도가 높은 100개의 모바일 앱을 조사한 결과에 따르면, 눈속임 설계 중 개인정보를 공유하는 유형의 비중(19.8%)이 가장 높았으며, 이 밖에 ‘기만적 동의(속임수 질문)’, ‘해지 방해’ 등의 사례도 다수 있는 것으로 나타났다. 참고로 EU는 2022년 디지털 서비스법(DSA)에서 다크패턴을 명시적으로 금지하고, 미국 캘리포니아는 2020년부터 소비자 개인정보보호법에서 다크패턴을 규제했다.

▲국내 주요 제재 사례[자료=개인정보위]

개인정보위도 정보주체의 권리보호를 위해 눈속임 설계를 통해 정보주체의 권리를 침해하는 행위에 대해 그동안 여러 차례 제재를 해왔다.

① 우선, 개인정보 공유에 대한 제재 사례로 사회관계망서비스 아이디를 이용한 간편 로그인으로, 제3자 앱을 이용할 때 이용자 친구의 개인정보가 당사자 동의없이 함께 제공되는 경우가 해당된다. 또한, 즐겨찾기 새 폴더의 공개 여부를 선택할 수는 있지만 기본값 자체가 공개로 설정돼 있어 사용자가 주의를 기울이지 않으면 제3자에게 해당 내용이 고스란히 노출되는 사례도 있었다.

이와 관련 개인정보위는 정보주체 동의 없이 개인정보를 제3자에게 제공한 행위에 대해 과징금 등을 부과했고, 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하지 않은 행위에 대하여 개선 권고했다.

② 또한, 기만적 동의에 대한 제재 사례로 병원에서 서비스를 제공받는 데 필수적인 동의와 홍보 등 목적의 선택적 동의를 구분하지 않고 동의를 받아 정보주체의 선택권을 제한하는 경우가 있었다. 한 금융법인의 경우 개인정보 처리 동의를 받으면서 금융상품 안내 및 판매 권유 사항을 필수사항과 구분하지 않고 동의를 받았다.

이와 관련 개인정보위는 재화나 서비스 홍보 및 판매 권유를 위해 동의를 받을 때 정보주체가 명확하게 인지할 수 있도록 알리지 않은 행위에 대해 과태료를 부과했다.

③ 마지막으로 서비스 해지를 방해해 제재 받은 사례도 있었다. 회원가입은 누리집에서 쉽게 하도록 했으나, 반대로 회원탈퇴시 절차를 복잡하게 한 것은 물론, 본인 인증을 위한 신분증 사본 및 신분증을 들고 있는 사진을 요구하기도 했다.

개인정보위는 이처럼 회원탈퇴 방법이 회원가입의 개인정보 수집 방법보다 어렵게 한 행위에 대하여 과태료를 부과했다.

양청삼 조사조정국장은 “개인정보위는 앞으로도 서비스 제공자가 눈속임 설계를 통해 명확한 동의 없이 정보주체의 개인정보를 수집·이용하는 행위 등에 대해 엄중히 제재할 예정”이라고 강조하며, “이용자들도 눈속임 설계에 속지 않도록 개인정보 동의 내용을 꼼꼼히 살피는 등 자신의 개인정보 보호에 더욱 주의를 기울여야 한다”라고 말했다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)