노르웨이 전자제품 유통사 Elkjøp이 1.8백만 유로(약 26억원)의 GDPR 과징금을 맞았습니다. 핵심은 '강제 동의(forced consent)'입니다. 멤버십 가입이나 서비스 이용 조건으로 마케팅 동의를 끼워팔면, 그 동의는 GDPR상 '자유롭게 주어진 것'으로 인정받지 못합니다. GDPR 제4조와 제7조는 동의가 진정 자발적이어야 유효하다고 못 박고 있죠. 흥미로운 건 한 프라이버시 전문가가 무려 5년 전에 이미 '이건 불법'이라고 경고했지만 회사가 무시했고, 결국 규제기관의 제재로 이어졌다는 점입니다. 한국 IT 종사자에게 주는 교훈은 분명합니다. 첫째, 서비스 제공과 마케팅 동의를 분리하라. 가입·구매를 볼모로 동의를 받아내는 다크패턴은 유럽뿐 아니라 국내 개인정보보호법 흐름에서도 위험합니다. 둘째, 내부·외부의 컴플라이언스 경고를 묵살하는 비용은 시간이 지날수록 눈덩이처럼 불어납니다. '나중에' 고치려다 수십억을 내는 셈이죠. 동의 UX를 설계할 때 '거부해도 핵심 기능은 쓸 수 있는가'를 반드시 자문해 보세요.