“전부 다 (3개월만) 무료” 또 당했다…얄미운 ‘눈속임’ 11가지 뭐길래

온라인쇼핑몰·SNS·게임 등
이용·탈퇴 포함 모든 단계
‘다크패턴’ 갈수록 심해져
개인정보委 11개 유형 확인
해외로 정보 옮긴 앱 속출
정보법 준수율은 31% 그쳐

[사진 출처=연합뉴스]

#A씨는 한 대형 e커머스 플랫폼에서 멤버십을 1년 넘게 유지하다가 관련 서비스 혜택이 줄어든 소식을 듣고 ‘구독 해지’를 진행하려다가 포기하기를 여러번 반복했다. ‘해지하기’를 눌렀더니 이번달 누렸던 혜택과 놓치고 있던 기본 혜택 등을 부각해 보여주면서 멤버십을 끊는게 마치 손해인 것처럼 느껴졌기 때문이다. 가까스로 ‘해지하기’를 클릭하자 해당 플랫폼은 해지하려는 이유를 묻고선 이내 추가적으로 이용할 수 있는 혜택을 안내하며 A씨가 구독을 끊지 않도록 지속적으로 회유했다.

#B씨는 평소 자주 이용하는 소셜 플랫폼에서 특정 콘텐츠를 무제한으로 이용할 수 있는 쿠폰을 받고 기쁜 마음에 사용을 시작했다. 이후 수개월이 지난 B씨는 뒤늦게 해당 플랫폼과 연동된 자신의 결제 계좌에서 해당 서비스 이용료가 매달 빠지고 있다는 사실을 알게됐다. 무료라고 알고 있던 해당 서비스가 사실은 ‘3개월 뒤에는 유료로 결제된다’라는 안내 문구가 아주 작은 글씨로 공지됐던 탓에 미처 인지를 못하고 눈속임을 당했던 것이다.

온라인에서 소비자 모르게 서비스를 자동 갱신·결제시키거나 회원 탈퇴·해지를 복잡하게 설계하는 행위인 일명 ‘다크패턴’(눈속임)이 만연한 것으로 나타났다.

11일 개인정보보호위원회가 지난 2022년에 이어 2023년에 발표한 주요 5000개 ‘주요 앱 개인정보 처리 실태점검 결과’에 따르면 개인정보 보호를 모두 준수한 앱은 30.5%에 불과했다. 이는 지난 2022년 19.8%에서 10.7%포인트 개선된 것이지만 개인정보 보호법을 지키지 않는 사례가 여전히 많은 것으로 나타났다.

특히 ‘개인정보 관련 눈속임 설계(다크패턴)’을 유형화 하면 11가지로 확인됐다.

다크패턴은 웹이나 앱의 화면구성이나 디자인을 교묘하게 설계한다. 개인정보위는 일상생활과 밀접하고 비용 결제가 발생하는 온라인 쇼핑, 예약, SNS, 게임·콘텐츠 등 4개 부문을 집중 점검한 결과, 가입 단계 외에도 이용·탈퇴 등 개인정보를 처리하는 모든 단계에 다크패턴이 적용된 것으로 나타났다.

우선 가입 단계에서는 최대한 많은 개인정보의 수집·이용 동의에, 이용 단계에서는 추가적 개인정보의 수집에 초점 둔 프라이버시 다크패턴을 활용하고 있었다. 가입 단계에선 개인정보 수집·이용에 대해 별도로 동의를 받지 않고 개인정보 처리방침·이용약관 전문으로 동의를 받거나, 마케팅 정보 제공·개인정보 공유와 같은 선택 동의 사항을 사전에 기본값으로 설정해 놓는 경우가 있었다.

이용 단계에선 이용자 본인이 입력한 개인정보에 대한 사후관리가 곤란(개인정보 확인·수정 불가)한 경우와, 정보제공을 거부했음에도 지속적·반복적으로 수집·이용 동의 요청을 보내는 경우가 있었다.

엔터테인먼트 등 콘텐츠 플랫폼에선 해당 앱에서 사용할 수 있는 재화(캐시)를 받을 수 있는 대상자라고 이용자에게 안내하면서도, 실제로는 마케팅 동의를 한 수신자 등으로 제한을 하는 등 정보를 의도적으로 숨기는 방식을 활용해 이용자를 기만하기도 했다.

탈퇴 단계에서는 탈퇴 방해(해지 방어)가 주류를 이뤘다. 탈퇴 단계에선 앱 이용 해지나 회원 탈퇴를 어렵게 하거나 해당 기능 자체를 제공하지 않거나, 이용자의 자율적 선택권을 제약하는 감정적 이모티콘·표현 등을 사용해 탈퇴를 방해했다.

아울러 고객 정보를 해외로 옮긴 사례가 늘어난 것으로 조사됐다.

이럴 경우, 이를 거부할 수 있는 절차를 마련해야 하는데 이를 지키는 업체들이 적어 개인정보 보호 악화에 대한 우려가 지적된다.

전체 5000개 앱 중, 해외 앱을 제외한 국내 앱 3600여 개를 대상으로 조사한 결과, 개인정보를 해외로 옮긴 국내 앱은 1년 만에 10% 이상 늘어났다. 지난 2022년 696개였던 것이 지난해 769개로 늘어 한 해 동안 70여개가 증가했다.

개인정보 보호법에 따르면 해외로 정보가 이전 될 경우 항목·국가·시기·방법, 이전받는 자·목적·보유기간 등을 고지하고 준수해야 하는데 2022년 법정 고지한 곳은 46.7%였고, 2023년에는 54.7%로 소폭 개선됐으나 여전히 지켜지지 않는 경우가 절반에 가까웠다.

특히 지난해 9월 15일 개정된 개인정보보호법에 따르면 이를 거부하는 절차도 추가해야 하는데 이를 지킨 곳은 5.1%에 불과했다. 다만 이 법의 개정 시기가 얼마 지나지 않은 만큼 개인정보위는 이를 적극적으로 계도해 나갈 계획이다.

국외 이전하는 목적도 고객 서비스(CS) 상담·민원 처리를 위한 유형은 줄고 광고나 마케팅에 활용하는 통계 분석 등을 위한 정보제공의 유형이 크게 늘었다.

클라우드 서비스 이용 영향 등으로 인해 미국, 일본, 싱가포르 등에 있는 아마존웹서비스(AWS), 구글클라우드 등으로 많이 이전됐다. 이전한 국가는 미국(24.2%), 일본(12.2%), 싱가포르(7.5%), 독일(6.0%), 중국(3.1%) 등의 순이다.

김해숙 개인정보위 조사2과장은 “개인정보보호법 상 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 조사에 착수하는 경미한 사안은 계도 조치하되 유관기관과 협력해 신속한 개선을 유도할 예정”이라고 설명했다.

이어 “광고나 마케팅에 이용하기 위한 분석을 위해 이전 되는 경우가 크게 늘어나 자발적인 시정 조치가 없는 일부 앱에 대해선 해외 이전 중지 명령도 고려할 수 있다”고 말했다.