["지키지도 못하면서"…'다크패턴'은 피할 수 없다④]
유럽·미국, 버튼 색깔·클릭 횟수까지 법적 검토 대상
한국, '형식적 선택권' 인정에 머물러 규제 공백 우려
유럽·미국, 버튼 색깔·클릭 횟수까지 법적 검토 대상
한국, '형식적 선택권' 인정에 머물러 규제 공백 우려
편집자 주
사용자를 교묘하게 속이는 디자인, 소위 '다크패턴(Dark Pattern)'에 대한 해외 규제 당국의 칼날이 날카로워지고 있다. 유럽과 미국에서는 클릭 한 번의 차이·버튼 색상의 차이까지 법적 검토 대상으로 삼아 수천억 원대의 벌금을 부과하고 있지만, 한국은 여전히 '형식적 선택권만 있으면 괜찮다'는 인식에 머물러 있어 규제 공백이 우려되고 있다.
유럽연합(EU)은 다크패턴을 가장 강력하게 규제하는 지역이다. 2025년 9월 프랑스 개인정보보호위원회(CNIL)는 구글이 Gmail 사용자들의 동의 없이 이메일 사이에 광고를 게재하고 프랑스 사용자들의 유효한 동의 없이 구글 계정 생성 시 쿠키를 설치한 것에 대해 3억 2500만 유로(약 5600억 원)의 벌금을 부과했다.
지난 2022년에도 프랑스 개인정보보호위원회(CNIL)는 구글과 메타(페이스북)에 총 2억 1천만 유로(약 3600억 원)의 벌금을 부과했다. 핵심 위반 사항은 쿠키 수락은 한 번의 클릭으로 가능하지만, 거절은 여러 단계를 거치게 한 '비대칭성'이었다.
지난해 발생한 잇따른 개인정보 유출 사고는 우리 사회의 데이터 보호 체계를 다시금 점검하는 계기가 되었습니다. 하지만 이러한 위기 속에서도 산업계 일각에서는 여전히 '다크패턴(눈속임 설계)'을 활용해 사용자의 의사를 왜곡하고 개인정보를 수집하는 관행이 이어지고 있습니다.
이에 다크패턴의 위험성과 제도적 한계를 점검해 사용자의 자기결정권을 실질적으로 보장하기 위해 필요한 정책적 과제는 무엇인지 살펴봅니다.
이에 다크패턴의 위험성과 제도적 한계를 점검해 사용자의 자기결정권을 실질적으로 보장하기 위해 필요한 정책적 과제는 무엇인지 살펴봅니다.
 |
AI 생성 |
| ▶ 글 싣는 순서 |
| ①[단독]'다크패턴' 창안한 英 박사 "기업들 함정 더 정교해졌다" ②'클릭 한 번'에 개인정보 '탈탈'…속임수 써도 규제 '사각지대' ③[단독]마크 라이저 교수 "다크패턴, 연매출의 최대 4% 벌금 부과해야" ④해외는 조 단위, 한국은 '100만원'? 다크패턴 '솜방망이' 규제 |
사용자를 교묘하게 속이는 디자인, 소위 '다크패턴(Dark Pattern)'에 대한 해외 규제 당국의 칼날이 날카로워지고 있다. 유럽과 미국에서는 클릭 한 번의 차이·버튼 색상의 차이까지 법적 검토 대상으로 삼아 수천억 원대의 벌금을 부과하고 있지만, 한국은 여전히 '형식적 선택권만 있으면 괜찮다'는 인식에 머물러 있어 규제 공백이 우려되고 있다.
EU·미국, '설계 자체'를 규제…조 단위 벌금 부과
 |
2025년 9월 프랑스 개인정보보호위원회(CNIL)의 구글 심의 결과 보고서 캡처 |
유럽연합(EU)은 다크패턴을 가장 강력하게 규제하는 지역이다. 2025년 9월 프랑스 개인정보보호위원회(CNIL)는 구글이 Gmail 사용자들의 동의 없이 이메일 사이에 광고를 게재하고 프랑스 사용자들의 유효한 동의 없이 구글 계정 생성 시 쿠키를 설치한 것에 대해 3억 2500만 유로(약 5600억 원)의 벌금을 부과했다.
지난 2022년에도 프랑스 개인정보보호위원회(CNIL)는 구글과 메타(페이스북)에 총 2억 1천만 유로(약 3600억 원)의 벌금을 부과했다. 핵심 위반 사항은 쿠키 수락은 한 번의 클릭으로 가능하지만, 거절은 여러 단계를 거치게 한 '비대칭성'이었다.
CNIL은 구글과 메타가 쿠키 사용 동의를 받는 절차는 단 한 번의 클릭으로 간편하게 설계한 반면, 거절 절차는 복수의 클릭을 요구했다고 지적했다. 구글은 1억 5천만 유로(약 2070억 원), 메타는 6천만 유로(약 828억 원)의 벌금과 함께 3개월 내 시정하지 않으면 매일 10만 유로(약 1억 3천만 원)의 추가 벌금을 부과받았다.
2024년에는 유럽 전역에서 총 12억 유로(약 1조 7500억 원)의 GDPR 관련 벌금이 부과됐다. GDPR 시행 이후 2018년부터 2024년까지 누적 벌금액은 58억 8천만 유로(약 8조 6천억 원)에 달한다.
2024년 2월부터 전면 시행된 디지털서비스법(DSA)은 EU 법률 중 처음으로 다크패턴을 명시적으로 금지했다. DSA는 다크패턴을 "사용자를 속이거나 조작하거나 자유롭고 정보에 입각한 결정을 내릴 수 있는 능력을 실질적으로 왜곡하는" 온라인 인터페이스로 정의하며, 위반 시 전 세계 매출의 최대 6%까지 벌금을 부과할 수 있다.
 |
쿠키 동의 화면. 미국과 EU 등 대다수의 국가에서 사용자의 쿠키 사용 동의 여부를 묻는 것이 법적 필수 요건으로 적용됐다. 웹사이트 캡처 |
다크패턴 분류 체계를 최초로 정립한 해리 브리그널 박사는 "유럽의 GDPR 같은 강력한 규제 덕분에 '거절하기 힘든 쿠키 설정' 같은 고전적 패턴은 줄어들었다"면서도 "기술 산업이 비대해지면서 기만적 설계가 침투할 수 있는 면적 자체가 넓어졌고, 특히 AI는 사용자의 취약점을 실시간으로 학습하고 응답을 개인화한다"고 지적했다.
마크 라이저 교수(EU 규제 자문)는 "유럽은 '사기적 수단'과 같은 의도 기반 모델에서 벗어났다"며 "규제 당국과 법원은 점차 설계의 효과를 본다. 인터페이스가 사용자를 정보 공개로 유도하는가? 인지적 지름길, 시간 압박, 시각적 우위를 악용하는가? 그렇다면 개인정보보호정책의 문구가 기술적으로 정확하더라도 데이터 수집은 위법이다"라고 설명했다.
미국 연방거래위원회(FTC)도 다크패턴 단속에 적극 나서고 있다. 2022년 12월 FTC는 인기 게임 포트나이트를 운영하는 에픽게임즈에 총 5억 2천만 달러(약 6780억 원)의 벌금을 부과했다. 이 중 2억 7500만 달러는 아동온라인개인정보보호법(COPPA) 위반 혐의 명목이었고, 2억 4500만 달러는 다크패턴을 통한 부당 이득 환불 명목이었다.
 |
FTC가 불법적인 다크패턴의 예시로 제공한 포트나이트 게임 화면. 혼란스러운 버튼 배치로 사용자들이 의도치 않게 구매하도록 유도했다. FTC 자료 캡처 |
FTC는 포트나이트의 디자인이 "직관적이지 않고 일관성이 없으며 혼란스러운 버튼 배치로 사용자들이 의도치 않게 구매하도록 유도했다"며, 특히 미성년 사용자들이 부모 승인 없이 쉽게 구매할 수 있도록 설계됐다고 지적했다. 2024년 12월, FTC는 환불 절차에 참여한 사용자들에게 총 62만 9344건, 7200만 달러 이상을 환불했다고 발표했다.
2022년 FTC는 인터넷 전화 서비스 업체 보나지(Vonage)에 1억 달러(약 1480억 원)의 환불 명령을 내렸고, 2023년에는 퍼블리셔스 클리어링 하우스(Publishers Clearing House)가 1850만 달러(약 255억 원)의 제재를 받았다. 2023년 6월 FTC는 아마존을 상대로 프라임 구독 취소를 어렵게 만든 혐의로 소송을 제기했으며, 2024년 5월 법원은 소송을 계속 진행하도록 했다.
한국도 규제 도입했지만 실효성 '미미'
 |
공정위가 발표한 다크패턴 유형. ★표시 유형만 전자상거래법에서 제재된다. 공정위 제공 |
한국의 상황은 변화하고 있지만 여전히 부족하다. 2025년 2월 개정 전자상거래법이 시행되면서 6개 유형의 다크패턴(숨은갱신, 순차공개 가격책정, 특정옵션 사전선택, 잘못된 계층구조, 취소·탈퇴 방해, 반복간섭)이 법적으로 금지됐다.
공정거래위원회는 2025년 10월 15일, OTT·음원·커머스 분야 구독 플랫폼을 운영하는 4개 사업자에 대해 전자상거래법 위반행위로 시정명령 및 과태료를 부과했다. 이는 개정 전자상거래법의 다크패턴 조항 시행 이후 첫 제재 사례다.
그러나 구체적인 벌금 규모는 공개되지 않았다. 다만 업계 관계자는 "UI/UX 개선 비용보다 저렴하다"고 지적했을 정도로 제재 수준이 낮은 것으로 알려졌다. 전자상거래법상 다크패턴 위반 시 최대 500만 원 이하의 과태료가 부과되며, 일정 요건 충족 시 영업정지 또는 과징금을 처분할 수 있다.
최경진 가천대학교 법과대학 교수는 "다크패턴이 이용되는 구체적인 행위 유형에 따라 차등적인 접근이 필요하다"며 "기본적으로 다크패턴은 많은 경우에 경제적 이익이 주된 목적이기 때문에 피해자의 단순한 경제적 손실 보전을 넘어서 다크패턴을 통해 벌어들이는 수익을 모두 회수할 수 있는 제재를 규정하는 것이 필요하다"고 강조했다.
라이저 교수는 "유럽에서는 규제 당국이 기업에 수억 유로의 과징금을 부과할 때, 단지 과거 행위를 처벌하는 것이 아니라 미래 인센티브를 재구성하는 것"이라며 "그 규모에서는 내부 대화가 바뀐다. 법무팀이 성장팀에 대한 영향력을 얻고, 설계 로드맵이 다시 작성되며, 경영진은 특정 '최적화'가 규제 노출의 가치가 있는지 묻기 시작한다"고 설명했다.
그는 이어 "신뢰할 수 있는 재정적 위험 없이는 '위반해도 괜찮다'는 인식을 줄 수 있다"며 "소액 과징금은 조작이 수익성이 있는 한 용인된다는 신호다. 무거운 과징금은 자율성이 선택 사항이 아니라는 신호"라고 강조했다.
"버튼 크기·색상까지 구체적 가이드라인 필요"
전문가들은 한국도 다크패턴을 효과적으로 규제하기 위해서는 추상적 원칙을 넘어 구체적이고 기술적인 가이드라인이 필요하다고 입을 모은다.
EU의 유럽 데이터보호위원회(EDPB)는 2022년 가이드라인을 통해 구체적 사례를 제시했다. '동의' 버튼과 '거부' 버튼의 시각적 동등성, 사전 체크된 체크박스 금지, 이중 부정 문구 금지, 동의 철회가 제공만큼 쉬워야 한다는 원칙 등이다.
 |
동의 철회가 제공만큼 쉬워야 한다는 원칙 등이 담겨있다. EDPD 가이드라인 캡처 |
최경진 교수는 "기본적인 지침은 필요하다. '진입과 이탈의 대등성', 즉 '가입이 쉬운 만큼 해지도 쉬워야 한다'는 원칙처럼 기본적인 원칙과 함께 그 구체적인 사례나 시각적 위계를 왜곡하여 이용자의 착각을 유도하는 디자인 등의 구체적 사례를 제시함으로써 사업자에게 행동지침을 제공할 필요가 있다"고 말했다.
그는 다만 "각 서비스별 디자인이나 특성에 따라서 일률적·기술적으로 너무 구체적인 지침을 규정하게 되면 오히려 서비스 이용 상 이용자에게 불편을 야기하거나 서비스 품질을 저해할 수 있다"며 "기술적 중립성을 유지하고 서비스나 기술에 따른 유연성을 보장하되, 다크패턴에 따른 폐해를 예방하기 위한 행동지침을 제시하는 형태의 가이드라인을 마련하는 것이 바람직하다"고 덧붙였다.
AI 시대, 더 정교해진 다크패턴…"조작은 이제 구조적"
전문가들은 AI 시대에 다크패턴이 더욱 정교해지고 있다고 경고한다.
라이저 교수는 "AI가 바꾸는 것은 문제의 본질이 아니라 속도, 규모, 불투명성"이라며 "조작이 개인화되면, 문제는 더 이상 나쁜 버튼이나 오해를 유발하는 문구를 발견하는 것이 아니다. 구조적인 문제가 된다. 당신은 더 이상 정적인 인터페이스에 직면한 것이 아니라 당신을 테스트하고, 학습하고, 조정하는 시스템과 상호작용하고 있다"고 설명했다.
그는 "가장 위험한 AI 기반 다크패턴은 친근한 챗봇이나 급등 가격 화면이 아니다"며 "더 큰 위험은 당신이 최상의 상태가 아닐 때 당신이 누구인지를 조용히 학습하고, 그 지식 주변에 환경을 재구성하는 시스템에서 나온다"고 경고했다.
브리그널 박사는 "우리가 가진 심리적 '약점' 때문에 속수무책으로 당한다"며 "다크패턴은 인간의 지각 단계부터 공략한다. 시각적 대비를 이용해 중요한 정보는 숨기고 유리한 정보만 강조한다. 과거에는 인간을 돕기 위해 연구되었던 심리학적 원리들이, 현재는 기업의 이윤을 위해 사용자의 의사결정 체계를 무너뜨리는 데 사용되고 있다"고 비판했다.
최경진 교수는 "다크패턴은 인간 심리의 취약점을 파고드는데, 판단력이 미성숙하거나 디지털 기기 조작이 서툰 계층에게는 그 피해가 증폭된다"며 "이는 단순한 불편을 넘어 디지털 소외 계층을 착취 구조로 몰아넣는 결과를 초래한다. 따라서 취약 계층 대상 서비스에 대해서는 '더 높은 수준의 주의 의무'와 '엄격한 설계 기준'을 적용해야 한다"고 말했다.
※CBS노컷뉴스는 여러분의 제보로 함께 세상을 바꿉니다. 각종 비리와 부당대우, 사건사고와 미담 등 모든 얘깃거리를 알려주세요.
- 이메일 : jebo@cbs.co.kr
- 카카오톡 : @노컷뉴스
- 사이트 : https://url.kr/b71afn
진실은 노컷, 거짓은 칼컷
저작권자 © CBS 노컷뉴스 무단전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.