19세 미만 무한 스크롤 제한 추진, AI 생성물 표시제와 개인정보 제재 강화
정부가 청소년 SNS 중독 차단을 위해 19세 미만 무한 스크롤 제한을 추진한다. 개인정보보호위원회는 AI 생성물 표시제 도입과 함께 기업 정보유출 사고 제재 강화 방침을 밝혔다.
https://privacynews.kr/s/6d887b핵심 요약
- 정부가 청소년 SNS 중독 예방을 위해 19세 미만 이용자 대상 '무한 스크롤' 기능 제한 추진 - 개인정보보호위원회, AI 생성물 표시제 도입 및 개인정보 유출 사고 제재 강화 방침 발표 - 대통령, "정보유출 제재는 법과 방침에 따라 일관되게 시행" 강조하며 기업 책임성 강화 시사주요 내용
2026년 7월 16일, 개인정보보호위원회 업무보고에서 윤석열 대통령은 청소년 보호와 AI 거버넌스 강화를 위한 다각적 정책 방향을 제시했다. 가장 주목받는 조치는 19세 미만 청소년을 대상으로 한 SNS 플랫폼의 '무한 스크롤(Infinite Scroll)' 기능 제한이다. 이는 청소년의 SNS 과의존과 중독 문제가 심화되면서 디지털 웰빙 차원에서 플랫폼 설계 단계부터 규제하겠다는 의지를 담고 있다.
무한 스크롤은 사용자가 페이지 하단에 도달하면 자동으로 새로운 콘텐츠를 로딩하는 UI/UX 설계 방식으로, 사용자의 체류 시간을 극대화하기 위한 '다크 패턴(Dark Pattern)'의 일종으로 지적되어 왔다. 특히 청소년층은 자기조절 능력이 성인에 비해 미흡하여 무한 스크롤 환경에 노출될 경우 장시간 사용으로 이어질 위험이 높다. 정부는 이번 조치를 통해 플랫폼 사업자에게 연령 확인 및 청소년 보호 장치 의무화를 요구할 것으로 보인다.
함께 논의된 AI 생성물 표시제는 생성형 AI가 만든 텍스트, 이미지, 영상 등에 대해 AI 생성 여부를 명시하도록 하는 제도다. 딥페이크를 비롯한 AI 생성 콘텐츠가 허위정보 유포, 개인정보 침해, 명예훼손 등에 악용되는 사례가 증가하면서, 이용자의 알 권리와 정보 신뢰성 확보 차원에서 도입이 추진되고 있다. 특히 청소년이 AI 생성 콘텐츠를 실제 정보로 오인할 경우 교육적·심리적 악영향이 우려되는 만큼, 표시 의무화는 AI 거버넌스의 핵심 과제로 부상했다.
대통령은 업무보고 자리에서 "정보유출 제재는 법과 방침에 따라 일관되게 시행하는 것"이라며 기업의 개인정보 유출 사고에 대한 정부의 강경 대응 기조를 재확인했다. 최근 대형 플랫폼과 금융기관의 개인정보 유출 사고가 연이어 발생하면서 과징금 부과와 형사 처벌 등 제재 수위가 높아지는 추세다. 개인정보보호위원회는 사고 발생 시 신속한 조사와 함께 재발 방지를 위한 기술적·관리적 조치 이행 여부를 엄격히 점검할 방침이다.
전문가 시각
ISMS-P 선임심사원 관점에서 볼 때, 19세 미만 무한 스크롤 제한은 단순한 이용 시간 규제를 넘어 '설계 단계 프라이버시(Privacy by Design)' 원칙의 확장으로 해석된다. 플랫폼 사업자는 연령 확인 프로세스 구축 시 생년월일 수집 최소화, 본인인증 수단의 보안성 확보, 청소년 여부 판단 로직의 정확성을 동시에 고려해야 한다. 특히 연령 확인 과정에서 수집되는 개인정보(주민등록번호, CI/DI 등)의 암호화 저장, 접근 통제, 보유 기간 제한 등 ISMS-P 인증기준 2.9.1(개인정보 수집 시 보호조치)과 2.9.3(개인정보 보관 및 보유)을 철저히 준수해야 법적 리스크를 최소화할 수 있다.
AI 생성물 표시제와 관련해서는 기술적 구현 방식이 핵심이다. 메타데이터 삽입, 워터마킹, 블록체인 기반 출처 증명 등 다양한 방법이 검토되고 있으나, 각 방식은 위변조 가능성, 성능 저하, 비용 부담 등의 trade-off가 존재한다. 기업은 AI 개발·운영 단계에서부터 생성물 추적 체계를 설계하고, 이용자에게 명확하게 표시하는 UI/UX를 구축해야 한다. 또한 AI 생성 콘텐츠가 개인정보를 포함할 경우(예: 학습 데이터에 포함된 개인 얼굴, 음성 등) 정보주체 권리 보장 방안도 함께 마련해야 하며, 이는 향후 AI 기본법 시행 시 핵심 컴플라이언스 이슈가 될 것이다.
CPPG·ISMS-P 연계 포인트
1. 다크 패턴과 개인정보 자기결정권: 무한 스크롤과 같은 다크 패턴은 이용자의 자유로운 의사결정을 저해하는 설계로, 개인정보 자기결정권 침해 소지가 있다. CPPG 시험에서는 개인정보보호법 제3조(정보주체의 권리) 및 제4조(정보주체의 동의)와 연계하여 플랫폼 설계의 공정성, 투명성 원칙 준수 여부를 평가한다.
2. ISMS-P 2.9.1 개인정보 수집 시 보호조치: 연령 확인을 위한 개인정보 수집 시 법적 근거 명확화, 최소 수집 원칙, 수집 항목별 보안 조치(암호화, 접근 통제), 동의 절차의 적법성을 확보해야 한다. 특히 청소년 대상 서비스는 법정대리인 동의 여부, 민감정보 수집 제한 등 추가 요건이 적용되므로 인증심사 시 중점 점검 대상이 된다.


