사이버 약관 ‘동의’의 함정

개인정보 유출, 수신 거부해도 스팸 발송, 검색어 가로채기… 온라인에 판치는 불공정 약관

“너구리다!”
김아무개씨는 한 온라인 게임 사이트에서 ‘추억의 게임’을 발견하고 환호했다. 편리하게도 이 게임 사이트는 회원 가입 없이 누구나 무료로 게임을 즐길 수 있다. ‘너구리’ 게임을 선택해 ‘게임하기’ 버튼을 클릭하니 프로그램 설치가 시작된다. 김씨는 ‘실행’ ‘동의함’ 등의 버튼을 클릭하며 게임 프로그램 설치를 완료했다.
김씨는 ‘너구리’ 게임을 실행하기 위한 파일만 내려받았을까. 답은 ‘아니요’다. ‘너구리’ 게임 다운로드 창을 살펴보면, 한 메타검색 사이트(검색어와 관련된 각종 광고와 포털 검색 결과를 짜깁기해 보여줌)로 시작 페이지를 고정하고 ‘쇼핑리워드 프로그램’이란 것을 설치하겠다는 내용이 함께 들어있었다. 그러나 약관은 일정 영역으로 마우스를 갖다대야만 표시되는 방식으로 숨어있었다. 여러 개의 선택 상자가 이미 체크되어 있어 ‘동의함’을 한 번 누르는 것으로 다른 프로그램 약관에도 모두 동의하는 것이 된다(사진 참조). 약관에는 개인정보 제3자 제공 가능, 이용자의 PC에 팝업·배너 표시 가능, 타사 광고 삭제 및 자사 광고 노출 가능, 검색어·접속 사이트 주소(URL) 등의 외부 전송 가능 따위의 내용이 들어있다. 결국 김씨는 자신의 개인정보를 내주고 컴퓨터를 위험에 빠뜨리는 데 ‘동의’한 대가로 게임을 즐기게 되는 셈이다.

한 고전 게임 설치 프로그램을 실행하면 뜨는 창. 인터넷주소변환 프로그램, 즐겨찾기 등록, 인터넷 검색 도우미 등 7개 프로그램이 끼워넣어져 있다. 각 프로그램의 목록을 더블클릭해야만 약관을 확인할 수 있다(왼쪽 작은 이미지). ‘너구리’를 내려받으려다 만난 설치 동의창. 지금은 게임 프로그램의 이용약관이 표시돼 있지만 ‘쇼핑리워드 프로그램 설치’란 말 위로 마우스 포인터를 올리면 해당 프로그램의 약관으로 바뀐다. 이를 확인 하지 않아도 ‘약관동의(설치)’를 누르는 순간 모든 약관에 동의한 것이 된다.

컴퓨터 내주고 ‘너구리’ 내려받기?

프로그램을 내려받으며 무심코 ‘동의함’을 클릭하는 이들을 비웃는 듯 ‘사이버 약관’이 교활하게 진화하고 있다. 최근 안철수연구소가 컴퓨터 보안 관련 월간 보고서인 ‘ASEC 리포트’를 통해 소프트웨어 이용약관 악용 사례를 소개했는데, 이 이들 사례를 공정거래위원회에 문의한 결과 대부분이 ‘불공정 약관조항’에 해당할 소지가 있음이 밝혀졌다. 인터넷을 떠도는 소프트웨어에 불공정 약관이 판을 치고 있다.

온라인 약관을 살펴보니 ‘기가 막힌’ 내용들이 쏟아졌다. △전자우편·휴대전화 번호 등 개인정보를 제3자에게 익명으로 제공하겠음 △수신 거부를 해도 전자우편을 보낼 수 있음 △검색 엔진이나 주소창에 적은 내용을 다른 곳으로 전송할 수 있음 △법률에 근거한 피해가 발생해도 책임을 지지 않음 △사용자 PC를 P2P 서비스의 중간 매개로 사용하겠음 등 악의적인 조항이 곳곳에 눈에 띈다. 일단 사용자 ‘동의’만 받아낸다면 프로그램 제작자는 자신의 이득을 위해 ‘생각대로 하면’ 된다.

적립(리워드) 프로그램인 ㅋ프로그램의 약관 제2장 11조에는 ‘개인정보 중 이메일 주소, 핸드폰 번호는 각종 정보 제공의 수단으로 사용될 수 있으며 이용자가 수신 거부하더라도 서비스 관련 공지는 발송할 수 있다. 회사는 소프트웨어를 설치한 이용자의 PC에 팝업, 배너, 플래시 등을 표시할 수 있으며 상업성 내용이 포함될 수 있다’고 적혀있다. 이 약관에 동의하는 순간 사용자는 상대의 스팸문자·전자우편을 막을 수 없고 컴퓨터에는 수시로 광고창이 뜨게 된다. ㅇ프로그램의 약관 10조도 ‘제품지원 서비스의 일환으로 사용자나 PC의 데이터를 수집·사용할 수 있다’고 규정한다.

쇼핑 관련 ㅅ툴바의 약관에는 ‘사용자가 검색 엔진이나 주소창 등에서 입력한 검색어와 연관되는 제3자의 상업적 내용을 전송할 수 있다. 회사는 사용자의 PC를 P2P 서비스의 중간 매개로서 사용할 수 있다. 사용자가 PC에서 입력한 키워드를 검색 및 결과표시를 위해 사용자의 PC 이외로 전송할 수 있으며, (대출 사이트인) 대출×××와 회사는 이 키워드를 제3자에게 익명으로 제공할 수 있다’고 쓰여 있다. 이 툴바를 설치하면 사용자의 개인정보는 대출회사로까지 넘어가게 되고 P2P의 매개가 된 컴퓨터는 느려질 수밖에 없다. 주소창에 입력한 키워드가 다른 컴퓨터로 전송돼, 해당 업체에서 조작한 검색 결과나 광고가 뜨게 된다.

훗날 책임을 회피하기 위한 ‘자기 보호’ 조항도 거침없다. 키워드 광고 프로그램인 ㄹ프로그램의 경우 약관에 ‘직접적이건, 우연한 것이건, 특별한 것이건, 간접적인 것이건, ㄹ프로그램과 제3자의 소프트웨어로 인해 발생하는 피해에 대하여 비록 그 보상청구가 법률에 근거하여 이뤄져도 그 책임을 지지 않는다’는 조항이 들어있다. 게다가 ‘사전 통보 없이 소프트웨어의 주요 특징, 기술을 언제든지 변경하거나 중단시킬 수 있다’는 조항까지 있다. 결국 ‘소프트웨어를 통해 어떤 일을 해도 되고 그 책임은 안 진다’는 의미가 된다. 포인트 프로그램인 ㄷ툴바처럼 ‘본 프로그램의 다운로드, 사용 또는 실행에 따른 모든 책임은 사용자에게 있다’는 한마디로 끝내는 경우도 있다.

어떤 사람들이 이런 약관의 프로그램들을 뿌리는 걸까. ‘너구리’ 게임과 함께 내려받기된 ‘쇼핑리워드 프로그램’ 약관에 명시된 전화번호로 전화를 했다. 평일 오후 1~5시에 통화가 가능하다는 공지와는 달리 수차례 전화해도 받지 않았다. 너구리 게임을 내려받자 시작 페이지로 고정된 메타검색 사이트로도 전화를 했다. 전화를 받은 직원은 “너구리를 다운받은 사이트와 메타검색 사이트는 사실 한 회사”라며 “홍보를 위해 게임 프로그램에 삽입했지만 어쨌든 사용자가 스스로 ‘동의’를 했으니 우리에게 책임은 없다”고 말했다.

법적·기술적 방어막 없이 속수무책

안철수연구소 강동현 주임연구원은 “기존에 스파이웨어가 PC에 몰래 침투해 광고를 노출하고 개인정보를 유출했던 경우에는 안티스파이웨어 제품으로 잡아낼 수 있지만, 약관에 그 내용을 명시해 동의를 받은 경우에는 사용자를 보호하기가 어렵다”고 말했다. 약관 동의 절차를 거쳤기 때문에 보안 소프트웨어가 진단할 구실이 없다. 이 ‘구멍’을 이용해 과거 스파이웨어를 제작하던 업체들이 ‘불량 약관’을 이용하는 방식으로 뻗어가고 있다는 관측도 나온다.

이 보낸 불량 약관 의심 사례를 살펴본 공정거래위원회 약관제도과 박정용 조사관은 “ㄷ툴바, ㄹ프로그램 등 일부 프로그램은 약관의 일부만 봐도 불공정 약관의 소지가 있다”고 말했다. 그러나 “사이버상의 많은 약관을 다 읽어보고 심사할 순 없다”고 한다. 공정거래위원회가 각 분야 표준약관을 제시하고 시장지배적 사업자의 경우 약관 심사를 강화하고 있지만, 영세한 소프트웨어 시장은 ‘무방비 상태’다. 또 길고 복잡한 내용, 마우스를 갖다대야 표시되는 방식 등 읽기를 힘들게 만드는 약관의 형식에 대해서도 규제 장치가 없다. 박 조사관은 “현재로선 사용자들이 약관을 꼼꼼히 읽어보고 내려받기하는 수밖에 없다”고 말했다.

당장 눈에 보이는 피해가 없다는 이유로 ‘불량 약관’ 문제는 방치되고 있다. 공정거래위원회조차 “사이버 약관이 마음에 들지 않으면 탈퇴하면 되는 것 아니냐”는 인식을 보였다. 전자상거래 표준약관이 있지만 각 약관이 얼마나 표준을 따랐는지는 표시되지 않는다. 임종인 고려대 정보경영공학전문대학원 교수는 “오프라인에서는 약관의 내용을 분명하게 인지시키고 계약하지 않은 경우 무효라는 판례가 많은 반면 온라인에서는 그런 인식이 부족하다”며 “미국에선 약관을 제대로 노출시키지 않고 프로그램을 설치하도록 해 사용자 개인정보를 유출한 업체에 배상 책임을 물은 판례가 있고, 유럽연합도 ‘데이터 보호 지령’을 채택해 개인정보를 보호하고 있다”고 말했다. 그는 “개인정보 유출 등의 피해에 대해 불공정 약관을 내놓은 소프트웨어 제작사에 민법적 책임을 물어야 한다”고 덧붙였다.

사이버 공간에서 금전적 이득을 노리는 이들의 수법과 기술은 갈수록 교묘해지고 대담해지는 반면 법적 규제 장치나 감독 기구의 감시망은 턱없이 부족하다. 법적·기술적 해결 방법이 없는 상황에서 오늘도 수많은 네티즌들은 ‘동의’의 함정에 빠져 자기도 모르게 피해자가 돼가고 있다.

임지선 기자 sun21@hani.co.kr