["지키지도 못하면서"…'다크패턴'은 피할 수 없다③]
다크패턴 법률 권위자 마크 라이저 교수 단독 인터뷰
사용자의 선택을 방해했다면…EU에선 '다크패턴' 규제 대상
처벌 수위가 상업적 이익보다 낮다면 '이용료'를 책정하는 것일 뿐
다크패턴 법률 권위자 마크 라이저 교수 단독 인터뷰
사용자의 선택을 방해했다면…EU에선 '다크패턴' 규제 대상
처벌 수위가 상업적 이익보다 낮다면 '이용료'를 책정하는 것일 뿐
편집자 주
지난 2025년은 1월부터 12월까지 주요 기업에서 대규모 개인정보 유출 사고가 연이어 터진 한국 정보보안 역사상 최악의 해로 기록됐다. 해킹 보안 문제가 두드러진 가운데 여전히 대다수 기업들은 다크패턴(Dark Patterns)을 활용해 사용자의 개인정보를 교묘히 수집하고 있다.
다크패턴은 사용자를 속이거나 혼란스럽게 만들어 원치 않는 행동(유료 구독·개인정보 제공)을 하도록 유도하는 교묘한 디자인을 뜻한다.
지난해 2월 전자상거래법이 개정되면서 다크패턴도 규제 대상에 포함됐지만 '기만'이 아닌 '유도' 행위에 대한 처벌 규정은 미비해 실질적인 제재가 어려운 실정이다.
지난해 발생한 잇따른 개인정보 유출 사고는 우리 사회의 데이터 보호 체계를 다시금 점검하는 계기가 되었습니다. 하지만 이러한 위기 속에서도 산업계 일각에서는 여전히 '다크패턴(눈속임 설계)'을 활용해 사용자의 의사를 왜곡하고 개인정보를 수집하는 관행이 이어지고 있습니다.
이에 다크패턴의 위험성과 제도적 한계를 점검해 사용자의 자기결정권을 실질적으로 보장하기 위해 필요한 정책적 과제는 무엇인지 살펴봅니다.
이에 다크패턴의 위험성과 제도적 한계를 점검해 사용자의 자기결정권을 실질적으로 보장하기 위해 필요한 정책적 과제는 무엇인지 살펴봅니다.
 |
다크패턴 규제 분야의 세계적 권위자인 마크 라이저(Mark Leiser) 교수 제공 |
| ▶ 글 싣는 순서 |
| ①[단독]'다크패턴' 창안한 英 박사 "기업들 함정 더 정교해졌다" ②'클릭 한 번'에 개인정보 '탈탈'…속임수 써도 규제 '사각지대' ③[단독]마크 라이저 교수 "다크패턴, 연매출의 최대 4% 벌금 부과해야" (계속) |
지난 2025년은 1월부터 12월까지 주요 기업에서 대규모 개인정보 유출 사고가 연이어 터진 한국 정보보안 역사상 최악의 해로 기록됐다. 해킹 보안 문제가 두드러진 가운데 여전히 대다수 기업들은 다크패턴(Dark Patterns)을 활용해 사용자의 개인정보를 교묘히 수집하고 있다.
다크패턴은 사용자를 속이거나 혼란스럽게 만들어 원치 않는 행동(유료 구독·개인정보 제공)을 하도록 유도하는 교묘한 디자인을 뜻한다.
지난해 2월 전자상거래법이 개정되면서 다크패턴도 규제 대상에 포함됐지만 '기만'이 아닌 '유도' 행위에 대한 처벌 규정은 미비해 실질적인 제재가 어려운 실정이다.
CBS노컷뉴스는 다크패턴 규제 분야의 세계적 권위자인 마크 라이저(Mark Leiser) 교수와 한국과 EU의 규제 격차를 진단하고 실효성 있는 대안을 모색했다.
마크 라이저 교수는 법학 박사(PhD in Law)로, 기만적 설계와 다크패턴, 디지털 조작 규제 분야의 세계적 전문가다. 그는 AI, 기업법, 데이터 보호 관련 30편 이상의 학술 논문을 발표하고 다수의 저서를 집필했다. 라이저 교수의 다크 패턴 연구 결과는 EU 디지털서비스법(DSA), 캘리포니아 개인정보권리법(CPRA) 등 여러 법률과 규정에 반영됐다.
라이저 교수와 인터뷰는 지난해 12월부터 올해 1월 첫째 주까지 5차례 서면 질의응답 방식으로 진행됐다.
 |
금융위원회 제공 |
Q. 한국은 2024년 2월 전자상거래법 개정을 통해 5가지 유형의 다크패턴을 명시적으로 금지했습니다. 그러나 다크패턴은 여전히 규제 사각지대에 머물러 있습니다. 유럽은 어떻게 규제하나요?
유럽은 "기업이 사용자를 속이려 했는가?"를 따지지 않습니다. 대신 "이 설계가 사용자의 자율적 선택을 방해하는가?"를 봅니다.
EU 개인정보보호법에서 동의는 자유롭고, 충분히 고지되고, 구체적이며, 명확해야 합니다. 만약 인터페이스 설계가 사용자의 이해나 거부를 어렵게 만든다면, 기업의 의도와 관계없이 그 동의는 무효입니다.
중요한 것은 단일 화면의 문제가 아니라 시스템 전체가 '사용자 자율성을 침해하도록 설계되었는지'입니다. 버튼 하나, 색상 하나가 아니라 전체적인 설계 구조, 타이밍, 반복 패턴이 사용자를 특정 방향으로 몰아가는지를 봅니다.
 |
Q. 사전 체크된 박스는 자유로운 동의를 위반하나요?
네, 위반입니다. "체크 해제할 수 있으니까 괜찮다"는 논리는 '자유'의 의미를 오해한 것입니다.
유럽법은 기본값을 강력한 행동 유도 도구로 봅니다. 사전 체크된 박스는 사용자의 관성, 인지 부하, "기본값=추천"이라는 인식을 악용합니다. 대부분의 사용자는 훑어보기만 하고 기본값을 그대로 둡니다.
동의는 능동적 의지의 표현이어야 합니다. 침묵이나 무관심에서 추정되어서는 안 됩니다. 사전 체크 박스는 "동의를 부여하는 것"이 아니라 "동의를 거부하기 위해 싸워야 하는" 모델을 만듭니다.
Q. 많은 한국 기업들은 시각적 조작, 이중 부정, 숨겨진 거부 옵션과 같은 다크패턴을 사용합니다. EU에서는 어떻게 규제되나요?
이러한 관행들은 규제되지만 단일 법이나 명칭 하에 있지 않습니다. 유럽은 계층적 접근을 취합니다.
예를 들어 시각적 조작은 잘못된 방향 유도의 한 형태로 취급됩니다. '동의'를 크고 밝게 만들면서 '거부'는 낮은 희미하게 숨기는 것은 중립적 설계가 아닙니다. 이는 의사결정에 실질적으로 영향을 미치기 때문에 규제 당국의 비판을 받아왔습니다.
사전 체크된 마케팅 동의도 EU에서는 불가능합니다. 이중 부정 표현은 의도적으로 인지적 노력과 오류율을 증가시키기 때문에 기만적인 것으로 간주됩니다. 숨겨진 거부 옵션은 거부나 철회를 어렵게 만들기 때문에 방해의 범주에 속합니다. 유럽 규제 당국은 거부와 수용 간의 대칭성을 반복적으로 요구하고 있습니다.
중요한 것은 개별적 속임수를 처벌하는 것보다 시스템적 재설계를 강제하는 데 있습니다. 이것이 근본적 변화입니다.
 |
Q. '나중에/다음에' 버튼만 있고 '거부' 버튼이 없는 경우는 해외에서 어떻게 규제되나요?
이것은 전형적인 '반복적 간섭(nagging)' 패턴입니다. 사용자가 피로에 지쳐 결국 '네'를 누를 것이라는 사실을 악용합니다.
유럽에서는 "기술적으로 빠져나갈 방법이 있었는가?"가 아니라 선택 구조 자체가 공정한가를 봅니다. OECD도 '반복적 간섭'을 기업이 원하는 방향으로 사용자를 밀어붙이는 행위로 보고 있습니다.
프랑스 개인정보보호위원회(CNIL)의 쿠키 동의 집행이 대표적 사례입니다. 수용은 한 번의 클릭, 거부는 여러 단계를 요구한 대형 플랫폼들에 수억 원의 과징금을 부과했습니다. 핵심은 거부가 수용만큼 쉬워야 한다는 원칙입니다.
미국 연방거래위원회(FTC)가 게임 포트나이트(Fortnite) 제작사 에픽 게임즈(Epic Games)를 사례도 인터페이스 압박과 설계 속임수를 제재 가능한 행위로 본 예입니다.
Q. "사용자는 언제든 거부할 수 있었다"는 기업 변명에 어떻게 대응하나요?
그러한 변명은 인간을 로봇으로 가정할 때나 성립 가능합니다. 법령상 명시된 '자유로운 동의'는 이론적 가능성이 아니라 현실적인 실행 가능성을 의미하기 때문입니다.
우선 설계상의 비대칭성을 봐야 합니다. 선택지에 '나중에'만 있고 명확한 '아니오'가 없다면 이는 거부를 가능하게 하지 않습니다. 반복해서 압박하는 시스템일 뿐입니다. 실제 기업들은 반복 요청이 '나중에'를 택했던 사용자를 결국 '수락'으로 전환시킨다는 점을 이미 알고 있습니다.
법적 측면에서도 결함이 큽니다. EU의 일반 데이터 보호 규칙(GDPR)은 동의 철회가 수락만큼 쉬워야 한다고 명시합니다. 사용자가 명확히 거부할 수 없어 반복적으로 같은 요청이 가능하다면 선택권이 비대칭적이고 이것 자체가 위법입니다. 결국 반복 요청은 사용자를 몰아세우는 지속적인 압박 메커니즘입니다.
 |
Q. "거부는 수용만큼 쉬워야 한다"는 원칙이 한국에 필요한가요?
네, 절대적으로 필요합니다. 이 원칙은 설계 게임을 차단하는 미래 증명 규칙입니다.
법이 단순히 "선택지를 주라"고만 하면, 기업은 형식을 준수하면서 '특정 결과'를 유도하도록 설계합니다. 대칭성 규칙은 조작의 기본 메커니즘 마찰·두드러짐·지속성을 직접 겨냥합니다.
GDPR은 이미 "동의 철회가 부여만큼 쉬워야 한다"고 명시합니다.
한국에서도 이를 소비자법과 개인정보보호법의 기본 설계 기준으로 삼아야 합니다. 그렇지 않을 경우, 하나의 패턴을 금지하면 업계가 다른 형태(타이밍·배치·문구)로 조작을 이동시키는 두더지 잡기 게임이 됩니다.
Q. 한국에서는 다크패턴에 대한 실제 처벌 사례가 매우 적습니다. 지난해 10월 공정거래위원회가 구독 플랫폼에 부과한 100만원 수준의 과징금 정도가 찾아볼 수 있는 사례였습니다. EU의 과징금 수준은 어떤가요?
유럽은 차원이 다릅니다. GDPR 위반 시 전 세계 연간 매출액의 최대 4% 또는 2천만 유로 중 더 높은 금액을 과징금으로 부과할 수 있도록 규정하고 있습니다. 특히 최근 시행된 디지털서비스법(DSA)은 다크패턴 금지를 명문화하며 매출액의 최대 6%까지 과징금을 매길 수 있게 했습니다.
이처럼 강력한 징벌적 과징금은 단순히 UX 디자인 부서의 예산 항목이 아니라, 이사회 전체가 책임져야 할 리스크로 작용하도록 설계되었습니다. 처벌 수위가 위반을 통해 얻는 상업적 이익보다 낮다면 법은 행동을 규제하는 것이 아니라, 위법 행위의 '이용료'를 책정하는 것에 불과하기 때문입니다.
소액 과징금은 "수익성만 있다면 위반해도 괜찮다"는 잘못된 신호를 줍니다. 반면 무거운 과징금은 사용자의 선택권과 자율성이 더 이상 타협의 대상이 아니라는 명확한 원칙을 시장에 각인시킵니다.
Q. AI는 이론적으로 서류상 완벽하게 '합법적'이지만 실제로는 여전히 매우 조작적인 다크패턴을 설계할 수 있습니다. 다크패턴에 AI가 활용된다면 피할 수 있을까요?
기업들은 이미 오래전부터 법망을 피해 깊숙이 조작적인 시스템을 설계해왔습니다. AI는 그 속도와 규모, 불투명성을 증폭시킬 뿐입니다. 규제가 특정 화면의 UI 준수 여부만 묻는다면 AI는 다른 방법을 찾아낼 수 있을 것입니다.
따라서 구조적으로 접근해야 합니다. 시스템이 자율성을 침해하고, 거부를 방해하는지, 즉 "시간이 지남에 따라 사람들의 신뢰를 위해 무엇을 하는가"를 살펴봐야 합니다. 우리가 인터페이스라는 쥐잡기 게임을 멈추고 실제로 존재하는 시스템 자체를 조사할 때 비로소 규제는 힘을 얻을 것입니다. 이 변화가 없다면 AI는 심각한 해를 끼치면서도 형식적으로는 영원히 '합법'의 영역에 남게 될 것입니다.
 |
금융위원회 제공 |
Q. 한국이 우선 규제해야 할 다크패턴 유형은 무엇이 있을까요?
우선순위에 따라 네 가지를 제안합니다.
첫째는 거부를 수용보다 어렵게 만드는 '방해와 강제 행동'입니다. 이는 동의를 정보 추출 도구로 변질시킵니다. 둘째는 '나중에 하기' 루프를 통해 사용자가 굴복할 때까지 피로를 무기화하는 '반복 논리'입니다. 셋째는 이중 부정이나 오해를 유발하는 시각적 위계를 활용한 '이해 공격'입니다. 이는 특히 취약 계층에 큰 해를 끼칩니다. 마지막으로 거부 옵션을 깊숙이 숨기는 '철회 억제'입니다. 시스템이 사용자의 거부권을 존중하지 않는다면 거부라는 권리는 사라지게 됩니다.
Q. 일반 사용자가 다크패턴을 식별하고 대응하는 데 실용적인 조언이 있으신가요?
사용자는 반복적인 요청을 마주할 때 이를 '설정'으로 직행하라는 신호로 받아들여야 합니다.
팝업창은 당신이 산만한 순간을 노리고 있습니다. 따라서 권한 설정을 통해 직접 항목을 선택하면 주도권을 찾을 수 있습니다. 또한 모든 기본값을 추천이 아닌 기업의 요구로 가정하고 의도적으로 변경하는 습관이 필요합니다.
마지막으로 다크패턴을 발견하면 스크린샷을 찍고 거부하는데 몇 단계가 걸렸는지 기록해 구체적인 증거로 민원을 넣어야 합니다. 규제 당국이 움직여야 막아낼 수 있습니다.
※CBS노컷뉴스는 여러분의 제보로 함께 세상을 바꿉니다. 각종 비리와 부당대우, 사건사고와 미담 등 모든 얘깃거리를 알려주세요.
- 이메일 : jebo@cbs.co.kr
- 카카오톡 : @노컷뉴스
- 사이트 : https://url.kr/b71afn
진실은 노컷, 거짓은 칼컷
저작권자 © CBS 노컷뉴스 무단전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.