이충수 개인정보 보호책임자의 디지털 시대의 새로운 에티켓, 개인정보 보호
웹사이트를 열면 콘텐츠보다 먼저 뜨는 것이 있다. “모두 수락하시겠습니까?” 유럽에서는 물론, 이제는 전 세계 어디서나 마주치는 이 창은 어느새 인터넷 접속의 첫 번째 관문이 되었다. 클릭 한 번으로 넘길 수도 있고, 설정 메뉴를 뒤져 하나하나 거부할 수도 있다. 그러나 대부분의 사람들은 그냥 ‘수락’을 누른다. 빠르게, 별 생각 없이.
이것이 2018년 GDPR(유럽 일반개인정보보호법) 시행이 낳은 예상치 못한 풍경이다.
“동의하세요”의 홍수
GDPR은 이용자의 개인정보를 더 두텁게 보호하겠다는 취지에서 출발했다. 광고•분석•추적 목적의 쿠키를 사용하려면 반드시 사용자의 사전 동의를 받아야 한다는 원칙, 이른바 ‘옵트인(opt-in)’ 방식이 유럽 전역에 도입됐다. 전자프라이버시 지침과 각국 국내법이 이를 뒷받침하면서 웹 환경 전체가 ‘동의 중심 구조’로 바뀌었다.
문제는 그 결과가 역설적이었다는 점이다. 동의 요청이 너무 많아지면서 오히려 동의의 의미가 희미해지기 시작했다. 연구자들은 이를 ‘쿠키 피로증(Cookie Fatigue)’, 혹은 ‘동의 피로 (Einwilligungsmüdigkeit)’라고 부른다. 매번 같은 선택을 반복해야 하는 사용자는 결국 숙고를 포기하고 기계적 클릭으로 대응한다. 권리 행사가 귀찮은 절차로 전락하는 순간이다.
실제로 여러 연구에서 사용자의 절반 이상이 쿠키 배너를 제대로 읽지 않은 채 ‘수락’을 선택한다는 결과가 나온 바 있다. 동의가 형식으로 굳어지는 현상은 단순한 사용자 습관의 문제가 아니라, 설계 자체가 그러한 행동을 유도하고 있다는 방증이기도 하다.
법이 요구하는 ‘진짜 동의’
GDPR 제4조는 동의를 “자유롭게, 구체적으로, 충분한 정보를 바탕으로, 명확한 의사표시로 이루어진 것”이라고 정의한다. 제7조는 한걸음 더 나아가 동의는 언제든 쉽게 철회할 수 있어야 하며, 그 사실을 입증할 수 있어야 한다고 못 박는다. 형식적인 체크박스가 아니라, 실질적인 자율성을 보장하라는 뜻이다.
독일에서는 이 원칙이 TDDDG(통신•디지털서비스 데이터보호법)를 통해 구체화됐다. 쿠키는 단순한 기술 파일이 아니라, 이용자의 단말기에 접근하는 행위인 만큼 법적 동의가 선행되어야 한다. 결국 쿠키 배너 하나 뒤에는 정보자기결정권이라는 가치가 맞닿아 있다.
법원이 주목한 것, ‘버튼의 위치’
판례는 이 문제를 보다 날카롭게 들여다봤다. 유럽사법재판소는 2019년 Planet49 사건에서 이미 체크가 되어 있는 동의란 진정한 동의가 아니라고 판시했다. 사용자가 직접 행동을 취해야만 동의로 인정되며, 침묵이나 방치는 동의가 될 수 없다는 것이다.
법원은 나아가 쿠키의 저장 기간과 제3자 접근 여부에 대한 정보도 사전에 명확히 고지되어야 한다고 밝혔다. 이 판결은 유럽 전역에서 옵트인 모델을 사실상 확립하는 기점이 됐다는 평가를 받는다.
독일 법원들은 여기서 더 나아갔다. 쾰른 고등법원은 ‘수락’ 버튼은 크고 눈에 잘 띄는 데 반해, ‘거부’ 버튼은 설정 메뉴 깊숙이 숨어 있는 구조를 두고 “이것을 진정한 선택이라 보기 어렵다”고 판단했다. 하노버 행정법원 역시 첫 화면에 ‘전체 수락’이 있다면, ‘전체 거부’도 같은 수준으로 제공되어야 한다는 감독기관의 입장을 지지했다. 두 판결 모두 동의의 유효성이 단순히 선택지의 존재 여부가 아니라, 그 선택지에 얼마나 동등하게 접근할 수 있느냐에 달려 있음을 분명히 했다.
이들 판결이 공통으로 가리키는 것은 하나다. 동의는 법 조문의 문제만이 아니라, 화면 설계의 문제라는 것. 버튼의 색깔, 크기, 위치 하나하나가 사용자의 선택에 영향을 미친다. 이른바 ‘다크 패턴(dark patterns)’— 사용자를 특정 선택으로 유도하는 교묘한 인터페이스 설계 — 은 이제 개인정보 보호법 위반으로 직결될 수 있다.
보호인가, 책임 전가인가
그렇다면 쿠키 배너는 정말로 이용자를 보호하고 있는가.
비판론자들은 고개를 젓는다. 동의 요청이 반복될수록 사람들은 내용을 읽지 않는다. 정보가 많을수록 오히려 무시된다는 역설이다. ‘모두 수락’은 가장 빠른 출구가 됐고, 거부를 선택하면 사이트 이용이 불편해지거나 복잡한 설정을 거쳐야 하는 경우도 허다하다. 법적 책임은 사업자에게 있지만, 선택의 부담은 온전히 이용자에게 얹힌다.
GDPR이 꿈꾼 ‘자유롭게 주어진 동의’와 현실 사이의 간극이 바로 여기에 있다. 동의는 권리 행사의 수단이어야 하는데, 실제로는 콘텐츠에 접근하기 위해 치러야 하는 통행료로 변해버렸다.
일부 사업자들은 이른바 ‘페이월 또는 동의(pay or consent)’ 모델을 도입하기도 한다. 광고 쿠키에 동의하지 않으면 유료 구독을 요구하는 방식이다. 이에 대해 유럽 감독기관들은 이러한 구조가 동의의 자발성을 근본적으로 훼손한다며 제동을 걸기 시작했다. 동의가 거래의 대상이 되는 순간, 그것은 이미 GDPR이 상정한 동의와는 다른 무언가가 된다.
규제는 강해지는데, 배너는 더 복잡해진다
각국 감독기관도 팔을 걷어붙이고 있다. 프랑스 CNIL은 ‘수락’과 ‘거부’ 버튼의 시각적 무게가 동등해야 한다고 명시했고, 독일 감독기관들도 배너 설계가 사용자 선택을 조작한다고 판단되면 시정 명령을 내리고 있다.
그러나 규제가 강해질수록 배너는 더 복잡해지는 아이러니도 나타난다. 법적 요건을 충족하기 위해 세부 정보가 늘어나고, 이용자의 인지 부담은 줄기는 커녕 오히려 증가하는 양상이다. 동의 모델 자체가 지나치게 확대 적용되고 있는 것은 아닐까 라는 근본적인 질문이 드는 대목이다.
클릭 이후를 생각할 때
쿠키 배너의 범람은 결국 GDPR의 성과와 한계를 동시에 보여주는 거울이다. 이용자의 권리가 제도적으로 명문화된 것은 분명 진전이다. 하지만 그 권리 행사가 형식적 절차로 굳어가고 있다는 것도 부인하기 어렵다. 제도는 만들어졌지만, 그 제도가 실제로 사람들의 삶 속에서 의미 있게 작동하고 있는지는 별개의 문제다.
전문가들은 동의 중심 모델만으로는 한계가 있다고 입을 모은다. 데이터 최소화 원칙의 강화, 맥락에 맞는 처리 기준의 정비, 기술적 보호 조치의 확충 등 구조적 접근이 함께 이루어져야 한다는 것이다. 동의는 중요한 도구지만, 유일한 도구가 되어서는 곤란하다. 일부 학자들은 아예 동의 모델의 패러다임 전환을 주장하기도 한다. 개인이 매번 선택을 내리는 구조 대신, 데이터 처리 자체를 애초에 최소화하거나 기술적으로 제한하는 ‘프라이버시 바이 디자인(Privacy by Design)’ 원칙을 법적 의무로 강화해야 한다는 것이다. 동의를 받기 이전에, 수집할 데이터 자체를 줄이는 것이 더 근본적인 해법이라는 논리다.
브라우저 차원의 접근도 주목받고 있다. 일부에서는 사용자가 브라우저 설정을 통해 쿠키 선호를 한 번만 설정하면, 개별 사이트마다 배너를 반복해서 마주치지 않아도 되는 방식을 대안으로 제시한다. 이는 동의의 부담을 개인에서 시스템으로 옮기려는 시도라는 점에서 의미가 있다. 물론 이러한 대안들이 모든 문제를 해결하지는 않는다. 기술적 해법은 새로운 허점을 낳기도 하고, 규제의 공백을 메우는 데는 시간이 걸린다. 그러나 분명한 것은, 현재의 쿠키 배너 방식이 지속 가능한 해답이 아니라는 점이다.
반복되는 클릭 속에서 동의의 의미가 희미해지고 있다면, 우리는 제도의 목적을 다시 물어야 한다. 쿠키 배너를 어떻게 고칠 것인가를 넘어, 디지털 시대에 개인정보 보호가 진정 무엇을 의미하는지를. 그 물음에서 다음 단계가 시작된다.
1447호 16면, 2026년 2월 20일