By TOM SIMONITE, WIRED US

2010년, 영국 디자이너 해리 브링널(Harry Brignull)이 일상 속의 짜증을 일으키는 간단한 신조어인 ‘다크패턴(dark pattern)’이라는 표현을 새로 만들었다. 다크패턴은 교묘하게 사용자를 속이는 디지털 인터페이스를 뜻한다. 다크패턴은 개인 정보 보호 운동가와 연구원이 사용하는 전문 용어가 되었다. 그리고, 10년이 넘게 지난 지금, 다크패턴이라는 표현이 새로운 법적 영향력을 얻고 있다.

다크패턴은 여러 형태로 등장하며, 예상치 못한 시기나 금전과 관련해 사용자를 속이거나 개인 데이터를 조작한다. 일반적인 다크패턴의 형태는 온라인 계정 혹은 TV 스트리밍과 같은 구독을 해제하려 할 때 등장해, 반복해서 취소를 원하는지 묻는 디지털 장애물 과정이다. 2019년, 프린스턴대학교는 구독 취소 방해와 카운트다운 타이머를 이용한 소비자의 성급한 결정 촉구 등을 비롯해 전자 상거래에 나열된 15가지 유형의 다크패턴 설문 조사 결과를 공개했다.

지난해 11월, 유권자가 승인한 새로운 캘리포니아 법률은 사용자가 의도한 것보다 기업에 더 많은 데이터를 제공하는 일부 다크패턴을 금지한다. 캘리포니아주 개인 정보 권리법은 캘리포니아주의 기념비적인 개인 정보 보호 법률을 강화한다. 캘리포니아주 개인 정보 권리법에서 사용자 합의를 정의하는 조항에 “다크패턴을 이용한 합의는 합의 요건에 성립하지 않는다”라고 명시됐다.

다크패턴이라는 용어가 법률에 처음 등장한 순간이다. 그러나 스탠퍼드대학교 인간 중심 인공지능 연구소(Institute for Human-Centered Artificial Intelligence) 소속 개인 정보 전문가인 제니퍼 킹(Jennifer King) 박사는 다크패턴이라는 용어가 등장하는 마지막 순간이 되지도 않을 것이라고 내다봤다. 그는 “앞으로 다크패턴 관련 법률이 확산할 것이다”라고 말했다.
 
2021년 1월 말, 워싱턴주 상원 의원은 워싱턴주 자체 개인 정보 법안을 도입했다. 바로 캘리포니아의 개인 정보 보호 법률과 같은 법률을 통과시키려는 세 번째 노력이다. 이를 추진하게 된 부분적인 주요 원인은 광범위한 연방 개인 정보 보호 법률의 부재이다. 올해 제출된 법안은 캘리포니아주 법률에 명시된 사용자의 합의를 얻기 위해 다크패턴을 사용하는 행위 금지 조치가 그대로 작성되었다. 1월 28일(현지 시각), 워싱턴주 미국 자유 인권 협회(ACLU of Washington)가 지지한 법안이 제출됐다. 그러나 해당 법안에는 다크패턴이라는 표현이 언급되지 않았다.

킹 박사는 다른 주, 그리고 어쩌면 민주당의 상원 장악과 함께 대담해진 연방 국회의원도 다크패턴을 법적으로 금지하는 선례를 따를 것이라고 주장했다. 민주당과 공화당 출신 상원의원 2인은 법률 전문에서 다크패턴이라는 표현을 사용하지 않았지만, 2019년에 실패한 ‘온라인 사용자 기만 경험 감소 법률(Deceptive Experiences to Online Users Reduction Act)’로 다크패턴에 조치를 취하려 했다.

미국에서 최초로 시행하는 캘리포니아주의 다크패턴 규제는 한 가지 경고와 함께 등장했다. 2023년, 다크패턴 금지 법률이 전면적으로 효력을 갖게 될 때, 어떤 유형의 다크패턴이 불법 행위에 해당하는지 확실하지 않다. 관련 규정은 2021년 말까지 운영을 시작하지 않는 새로운 캘리포니아주 개인 정보 보호 기관(California Privacy Protection Agency)에서 정한다. 또, 캘리포니아주 법률은 다크패턴을 “사용자의 자치권과 의사 결정 권한, 선택권을 저해하거나 해치는 상당한 영향을 지니도록 설계되거나 조작된 사용자 인터페이스, 혹은 그 외 규제로 정의된 행위”라고 정의한다.
 
캘리포니아주 팰로앨토의 로펌 퍼킨스 코이(Perkins Coie)의 개인 정보 보호 전문 파트너 제임스 스넬(James Snell)은 캘리포니아주 개인 정보 보호 기관이 구체적인 법안을 제정할 것인지, 그리고 어떤 법률 규정을 제정할 것인지 확실하지 않다고 말한다. 그는 “새로운 법률을 준수하려는 기업을 불안하게 만든다”라고 언급했다.

이어, 그는 기업이 사용자 데이터 사용을 위한 합의를 얻는 방식과 같이 용납할 수 있는 행위와 관련된 구체적인 경계를 두는 것이 소비자와 기업 모두에게 이득이 될 것이라고 주장한다. 캘리포니아주 법률은 결국 규제 권력의 극적인 확장보다는 사생활 보호 용어를 따라잡으려는 법으로 더 널리 알려질 수도 있다. 이에, 스넬은 “표현 자체는 멋지다. 그러나 실제로 많은 사람이 거짓된 행위를 하거나 잘못 이해하고 있다는 의미일 뿐이다. 또, 이를 다루는 수많은 법과 관습법이 있다”라고 말했다.

캘리포니아주 개인 정보 보호법을 추진하면서 법률 개정에 도움을 준 샌프란시스코 부동산 개발업자 겸 개인 정보 보호 운동가인 알리스터 맥태거트(Alastair Mactaggart)는 더 많은 사용자가 자신의 개인 정보 보호 권한을 주도록 노력하는 데 다크패턴이 추가됐다고 말한다. 그는 “실제 다크패턴 문제는 원격으로 발생하지 않는다. 사용자는 가능한 다크패턴 발생을 어렵게 만들도록 노력하며 매우 영리하기 때문이다”라고 말했다. 그는 다크패턴 금지 법률은 결국 규제 당국이 웹에서의 추적 활동을 더 쉽게 만드는 등 지금은 공식적으로 합의가 이루어지지 않은 까다로운 행위를 해야 하지만, 캘리포니아 법률에서 요구하는 선택권을 사용하는 것이 극도로 어려울 것으로 생각한다.

킹 박사는 맥태거트의 주장이 타당하다고 말한다. 미국 개인 정보 보호 규제 당국의 법률 집행은 일반적으로 노골적인 기만행위에 초점을 맞춘다. 캘리포니아주의 다크패턴 규정은 명백한 피해를 일으키는 속임수에 조처하도록 할 수 있다. 킹 박사는 “기만행위는 거짓된 믿음을 심는 것과도 관련이 있다. 그러나 다크패턴은 강요와 같이 정해진 길을 따르도록 이끄는 기업에 더 가까운 행위다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Lawmakers Take Aim at Insidious Digital ‘Dark Patterns’