금융위원회가 금융 다크패턴(이용자의 특정 행동 유도 눈속임 설계) 가이드라인에 대한 법적 근거 마련을 논의 중인 가운데, SC제일은행 모바일앱이 도마에 올랐다. 해당 앱이 사용자의 타사 앱 및 웹사이트 활동을 추적할 뿐만 아니라, 선택적으로 제공해야 할 개인정보에 대해 사실상 일괄 동의를 강요하고 있기 때문이다.

◆ SSL/TLS 오탐지 사태, 포괄적 설명에 그쳐

11일 은행업계에 따르면, 4월 25일 오후 3시 7분부터 SC제일은행 모바일뱅킹 앱 접속 장애가 발생했다. 당시 약 1시간 40분 동안 “고객님의 단말기에서 안전한 금융거래를 위협하는 요소가 탐지되어 앱을 종료합니다”라는 메시지만 등장하며 앱이 정상작동하지 않았고 사용자는 큰 불편함을 겪었다.

SC제일은행 측은 “그룹 공통 보안정책 내 SSL/TLS 탐지 기능을 강화한 과정에서 일부 이용 기기에서 보안 위협 요소로 오탐지 했다”는 입장이다.  

SSL/TLS는 보안 소켓 레이어(Secure Sockets Layer)와 전송 레이어 보안(Transport Layer Security)의 약자로, 인터넷 상에서 데이터를 암호화하여 안전하게 주고받기 위한 통신 보안 프로토콜을 의미한다. 즉, SC제일은행은 SSL/TLS를 고도화 하던 중 해커가 아닌 일반 사용자도 차단한 것이다.

금융학계 한 관계자는 “모바일 앱에서 SSL/TLS 탐지 기능은 중간자 공격 등 보안 위협을 막기 위한 기술로 활용된다”며 “하지만 SC제일은행의 4월 사례처럼 정상 트래픽을 오탐지하며 서비스가 중단된 사례는 사용자 경험 관점에서 신뢰 저하를 초래할 수 있다”고 말했다.

SSL/TLS 탐지 기능은 보안 위협을 차단하기 위해 사용자의 단말기 상태, 네트워크 경로, 인증서 정보 등을 수집·분석한다. 

법률계에선 ‘보안기술 관점에서 최근 사태가 단순 해프닝으로 치부할 수 있으나 개인정보 보호 측면에서는 여러 문제가 발생할 수 있다’고 지적한다. 

법률계 관계자 A 씨는 “SSL/TLS 오탐지로 앱 오류가 발생한 당시 사용자들에게 제공된 메시지는 포괄적 표현에 그쳤다”며 “이 과정에서 실제 어떤 정보가 수집되었고, 어떤 이유로 서비스가 차단된 것인지 일반인 사용자가 정확히 알기 어려운 구조”라고 지적했다. 

이어 “정보주체의 자기정보 통제권 보장이라는 개인정보보호법의 기본 취지에 비춰볼 때, 기술적 조치가 사용자에게 실질적인 서비스 제약을 초래할 수 있다면, 해당 조치에 대한 구체적인 설명과 동의 절차가 반드시 수반되어야 한다”고 덧붙였다.

SSL/TLS 탐지 기능이 보안 강화를 목적으로 도입되었더라도, 개인정보를 간접적으로 수집하거나 사용자의 서비스 이용을 제한하는 방식으로 작동할 경우, 정보주체의 알 권리와 자기결정권을 보장하기 위한 법적 고지 의무는 면제될 수 없다. 

특히 금융기관처럼 고도의 신뢰를 요구받는 주체일수록, 기술적 탐지와 같은 자동화된 보안 조치에 대해서도 법적 투명성과 이용자 보호의 균형을 명확히 유지해야 한다는 게 전문가들의 공통된 입장이다.

◆ SC제일은행, 사용자의 ‘타사 앱 및 서비스 활동’ 추적?

SC제일은행 모바일 앱을 처음 설치하면, 단순 금융 서비스 외에 ‘타사 앱과 웹사이트 활동 추적’을 요청하는 화면이 등장한다. 광고 측정을 목적으로 타사 앱 및 서비스 활동을 추적한다는 이유 때문이다. 이를 두고 일각에선 금융 소비자의 민감한 정보를 다루는 은행 앱이 커머셜 앱처럼 마케팅 기반의 추적 권한을 요청하는 게 ‘과도하다’는 비판이 있다.

SC제일은행 관계자는 “고객의 동의를 전제로, 어떤 제휴 웹사이트 혹은 플랫폼 등을 통해 은행 앱을 방문했는지에 대한 통계적 수치만을 측정하고 있다”며 “수집된 통계 정보는 개인 식별이 불가능하기에, 개인 맞춤형 광고 등을 위해 활용될 수 없다”고 밝혔다. 

그는 “아이폰 iOS 상 해당 기능을 표시하기 위한 팝업 타이틀(사용자의 활동 추적) 용어가 커머셜 앱과 형식상 동일하다”며 “그 성격에 있어서도 자칫 동일한 것으로 사용자에게 불가피하게 혼동을 줄 수 있으나 당행은 개인정보보호 관련 은행 내외 가이드라인에 의거해 사용자가 명시적으로 동의한 경우에 한해 개인 식별불가한 통계적 수치만을 측정하고 있다”고 말했다. 

법률계에선 해당 설명만으론 정보주체(사용자)가 충분히 납득하기 어렵다고 지적한다.

A 씨는 “개보법 제15조(개인정보의 수집 및 이용), 제17조(개인정보의 제공)에 따라, 개인정보 수집·이용 및 제3자 제공은 명확한 사전 동의를 받아야 하는 게 원칙”이라며 “동의 시 수집·이용 목적, 항목, 보유기간, 제공받는 자, 제공 목적 등을 구체적으로 고지해야 하지만, 현재 고지 수준만 놓고 봤을 땐 정보주체가 이를 온전히 이해할 수 있을지 우려가 된다”고 설명했다.

그는 “개보법 제16조(개인정보의 수집 제한), 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)에 따라, 정보주체는 자신의 개인정보 처리에 대해 명확한 설명을 받을 권리가 있으며, 혼동 유발 시 고지 책임은 처리자에게 있다”며 “‘iOS 정책상 일괄 표기’는 기술적 사유일 수 있으나, SC제일은행은 금융기관으로서 자체적인 안내를 통해 혼동을 줄일 책임이 있다”고 덧붙였다.

더 큰 문제는 이러한 조치가 iOS 이용자에게만 나타난다는 점이다. 즉, 그나마 아이폰 사용자는 ‘앱 추적 허용 여부’를 명시적으로 설정할 수 있지만, 국내 이용자가 더 많은 안드로이드(삼성 갤럭시 등) 사용자는 타 앱·타 웹 활동을 추적할 수 있다는 사실 자체가 명확히 고지되지 않은 실정이다.

◆ 사용자의 합리적 판단 및 선택 어려운 ‘약탈적’ 인터페이스 

SC제일은행 모바일 앱 초기화면의 또 다른 문제점은 ‘선택 접근권한’ 정보에 대해 초기화면에서 선택이 불가능 하고, 일괄동의를 해야 다음 화면으로 넘어갈 수 있다는 점이다. 접근권한 안내에서는 ‘선택적 접근’임을 명시했지만, 고객에게 어떤 권한이 필수인지, 동의하지 않을 경우 정확히 어떤 기능이 제한되는지 구체적 설명이 부족하다. 

SC제일은행 관계자는 “(안드로이드 환경의 경우) 현재 당행 앱에서 필수권한이 요구되는 항목 및 기능 제한에 대해 아래와 같이 별도의 팝업으로 안내하고 있다”며 “또한 접근 권한은 사용자 단말의 시스템 세팅 변경을 통해 언제든지 동의 여부를 수정할 수 있다”고 말했다.

영국의 인지심리학자이자 UX 디자이너인 해리 브링널에 따르면, 이러한 유형의 인터페이스는 다크패턴 유형 중 강제 행동(Forced action)에 해당한다. 사용자가 처음 잘못 동의한 권한을 번거로운 경로를 통해 다시 찾아 수정해야 하는 환경이라면, 결국 대부분 사용자는 ‘비자발적 수용’을 유도하게 된다는 것이다

윤재영 홍익대학교 디자인학부 교수는 2022년 출간한 저서 ‘디자인 트랩’을 통해 “사람은 처리할 수 있는 정보의 양에 한계가 있기 때 문에 평소에는 본능적으로 쉽고 빠른 결정을 내리는 경향이 있다”며 “이성적으로 생각하고 노력과 주의가 필요한 일을 하려면 에너지가 많이 들기 떄문에 게으른 우리는 이를 그다지 좋아하지 않는다”고 말했다.

민감정보 유형에 속하는 음성정보의 경우 ‘음성인식 뱅킹 서비스’라는 표시만 해놓았고, 어떻게 저장 및 처리 과정을 거치는지에 대한 설명이 부족하다.

SC제일은행 관계자는 “음성정보의 경우, 모바일 단말에서 기본 제공하는 음성 인식 기능을 연동하여 사용 편의성을 높이기 위해 이용된다”며 “당행 시스템에서 별도로 저장 및 처리되는 음성정보는 없다”고 덧붙였다.

법률계 전문가 B 씨는 “정보통신망법 제22조의2(접근권한에 대한 동의)에 따라, 정보제공에 대한 선택적 권한의 경우 ‘미동의 시 제한되는 기능의 구체적 설명’이 필요하지만, 현재는 앱 설치 시 필수 권한과 선택 권한의 경계가 애매하게 표현되어 있다”며 “따라서 특정 권한을 거부할 경우 어떤 기능이 정확히 제한되는지, 구체적인 목록이 권한 요청 시점에 즉시 제공되어야 한다는 의견”이라고 말했다.

그는 “음성정보 이슈 역시 생체정보에 해당하는데, 개보법 제23조(민감정보의 처리 제한)를 보면, 정보주체의 명시적 동의 없이는 수집·처리가 금지되어 있다”며 “단말기 음성 기능 활용을 목적으로 한다고 하더라도 앱 기능과 연동된 이상, 민감정보 처리 여부 및 동의 방식은 고지 대상으로 간주해야 한다”고 덧붙였다.

[스트레이트뉴스 조성진 기자]