Samsung Health의 배신: AI 학습에 동의하지 않으면 걸음 수 기록을 모두 지운다

Samsung Health의 배신: AI 학습에 동의하지 않으면 걸음 수 기록을 모두 지운다

Samsung건강 데이터프라이버시GDPR다크 패턴AI 학습

데이터 소스:HN + web research · HN

2026년 7월 13일, 기술 매체 Neowin이 한 가지를 폭로했다. Samsung Health 앱이 사용자에게 새 창을 띄우기 시작했는데, 그 안에 “건강 데이터를 AI 학습 및 모델링에 활용하는 것에 동의”라는 이름의 스위치가 있었다. 보통 프라이버시 옵션처럼 보였지만 — 누군가 그것을 끄려 할 때까지는. 화면에 차가운 경고가 떴다. “Samsung 계정과 건강 데이터를 동기화할 수 없게 되며, 건강 데이터가 삭제됩니다.”

네가 승낙하지 않으면, 우리가 지금까지 모아둔 걸음 수, 수면 시간, 심박 곡선 전부를 원클릭으로 지워주겠다. 그것은 네가 앞으로도 기록을 이어갈 의향이 있는지는 상관하지 않고, 네 과거를 볼모로 삼는다.

이 메시지는 Hacker News에서 순식간에 218점, 59개 댓글까지 올랐다. 댓글란에서 한 사람이 이 설계를 네 글자로 요약했다. “데이터를 인질로 삼는다.”

Samsung Health 앱 화면

Samsung은 대체 무엇을 원하는가?

Neowin 보도에 따르면, Samsung은 Samsung Health 앱의 프라이버시 설정에 몰래 새 스위치를 하나 넣었다. 이름이 꽤 길다. “건강 데이터를 AI 학습 및 모델링에 활용하는 것에 동의.” 이를 켜면 Samsung은 합법적으로 네 개인 건강 지표를 가져다 자사 인공지능 모델을 훈련하고 개선할 수 있다.

어떤 데이터가 뺏기는가? Samsung이 직접 네 가지를 적었다. 네 수면 데이터, 네가 기록한 복용 약물 정보, 네가 가져온 의료 기록, 그리고 생리 주기 추적 기록이다.

아직 끝이 아니다. Samsung은 회사 직원과 서드파티 계약자가 수집된 데이터 일부를 “검토”할 수 있다고도 밝혔다. 달리 말해, 차가운 기계만 보는 게 아니라 실제 사람이 네 건강 기록을 훑어본다는 뜻이다.

그리고 이 모든 것에 “동의하지 않되 계속 동기화” 옵션은 없다. 데이터 동기화 기능을 유지하려면 반드시 동의해야 한다. 동의하지 않겠는가? 동기화가 멈추고, 클라우드 데이터는 지워진다.

기술 매체 How-To Geek이 실측한 캡처에 따르면, 사용자가 이 스위치를 끄려 할 때 Samsung이 띄운 경고 원문은 이렇다.

« Withdraw from this agreement? You will not be able to sync health data with your Samsung account and your health data will be deleted unless retained pursuant to applicable law. If retention is required, we will erase it as soon as the required retention period ends. »

풀면 이렇다. “철회할까? 그러면 데이터 동기화는 없어지고, 건강 데이터도 지워진다 — 법이 보관을 요구하지 않는 한.” 이건 “사탕 안 주면 장난한다”는 논리랑 똑같다. 다만 이번에 문 두드리는 건 Samsung이고, 요구하는 건 네 심박과 수면 곡선이다.

Samsung Health 데이터 동기화 경고 팝업

“동의”의 경계는 어디여야 하는가?

이 일의 진짜 쟁점은 “AI 학습이 데이터를 모아야 하느냐”가 아니다. 진짜 문제는 다른 차원에 있다. 동의를, 과연 협박으로 받아낼 수 있는가?

디지털 제품 세계에서 이런 설계를 가리켜 “다크 패턴”(Dark Pattern)이라고 한다. 핵심 특징은 형식상으로는 “선택권”을 주면서 실제로는 달리 선택지가 없게 만드는 것. Samsung의 이번 행동은 딱히 다크 패턴 중에서도 가장 나쁜 종류 하나를 정확히 밟았다. 묶음 동의(bundled consent) 다.

묶음 동의란 무엇인가? 네가 A 기능을 원하면, A와 전혀 상관없는 B 조건에도 동시에 동의해야 하는 것. Samsung Health 사례에서 A는 “걸음 수와 수면 데이터를 클라우드에 동기화해, 폰을 바꿔도 잃지 않는 것”이고, B는 “Samsung이 네 건강 기록 전부를 가져다 AI 모델 훈련에 쓰게 허락하는 것”이다. 이 두 가지는 기술적으로 아무 필연적 연관이 없다. 데이터 외부 제공에 동의하지 않고도 충분히 클라우드 동기화를 누릴 수 있다. Samsung은 일부러 이것들을 묶어, 하나의 목적만을 위해 네게 고개를 끄덕이게 만든다.

더 극단적인 비교가 일반인이 얼마나 황당한지 이해하는 데 도움이 된다. 네 집 앞 편의점이 갑자기 공고를 붙인 셈이다. “오늘부터 우리 가게에서 물건 사는 사람은, 우리에게 네 집에 카메라를 달아도 된다고 동의해야 해. 안 그러면 지금까지 모은 적립금은 전부 무효야.” 이걸 네게 “선택”을 주는 거라고 느끼겠는가?

GDPR은 왜 이렇게 하는 것을 못하게 하는가?

유럽연합의 「일반 데이터 보호 규정」(GDPR) 체계에서, Samsung의 이번 조치는 교과서급 위반 거리라 해도 과언이 아니다.

GDPR은 “동의”에 극히 엄격한 정의를 두는데, 핵심 요건은 딱 하나다. 동의는 반드시 자유롭게 주어진 것이어야 한다. 자유롭게 주어진 것이란 무슨 뜻인가? 규정 제43조 전문(Recital 43)에 똑똑히 적혀 있다. 서비스 제공이, 그 서비스에 필수적이지 않은 어떤 데이터 처리에 대한 사용자 동의를 전제로 한다면, 그 동의는 자유롭게 주어진 것으로 추정될 수 없다.

이 말의 핵심은 간단하다. “서비스가 정상 돌아가는 데 필수적인” 데이터 처리에 동의해 달라고는 요구할 수 있다(예를 들어, 네 걸음 수를 클라우드에 저장한다면 Samsung이 그 데이터를 보관할 권한이 당연히 있어야지). 하지만 “AI 학습”처럼 서비스 자체와 아무 상관 없는 일을 동의 조항에 끼워 넣고, “동의 안 하면 데이터 지운다”고 협박하면 안 된다.

2023년, Meta는 유럽에서 비슷한 짓을 한 적이 있다. 사용자가 광고 집행을 위해 추적 데이터를 쓰는 데 동의해야만 Facebook과 Instagram을 무료로 쓸 수 있게 한 것. 유럽 사법재판소는 결국 이 모델이 위법이라 판결했다. 이유는 — 사용자가 “동의”와 “서비스 상실” 사이에 진짜 선택지가 없었기 때문이다.

Samsung의 문제는 Meta보다 더 심각하다. Meta는 적어도 “돈 내고 광고 없는 버전”이라는 후문(비록 법원은 그 금액이 너무 높다고 봤지만)을 남겨뒀다. Samsung은 그 후문조차 없다. 네 앞의 선택지는 딱 둘뿐이다. 전부 동의하거나, 데이터가 지워지거나. 이건 선택지가 아니라 막다른 골목이다.

Hacker News 사용자 benjiro29는 댓글란에 이렇게 썼다. “네가 유럽에 있다면, 당장 기기를 산 곳의 소비자 보호 기구에 가서 불만을 넣어. 이건 수십 개 유럽 법을 어긴 거야. 각 나라에 충분히 많은 사람이 불만을 넣으면, 이건 국가급 문제가 돼. 우리 과거에 이 방법으로 여러 번 성공했어.”

기술 회사들의 다크 패턴 도구상자

Samsung의 이번 조치는 전체 기술 업계 안에서 고립된 일이 아니다. 지난 몇 년간, 각 대기업이 “사용자가 억지로 동의 버튼을 누르게 만드는” 일에 이미 성숙한 기법 한 세트를 진화시켜 왔다.

“거절” 버튼 숨기기. “동의”는 크고 밝은 색 버튼으로 만들고, “거절”은 회색 작은 글씨로 만들어 페이지 맨 아래, 스크롤해야만 보이는 곳에 숨긴다. 대개는 찾기도 전에 “동의”를 누르게 된다.

계속 띄워, 귀찮게 해서 꺾기. 오늘 거절했으면, 내일 앱을 열면 또 뜬다. 모레 또 뜬다. 목적 달성 전엔 그치지 않는다. 많은 이의 심리 방어선은 이렇게 하루하루 깎여나간다.

협박조 문구. “거절하시면 다음 기능을 잃습니다” — 그리고 들으면 아주 심각해 보이지만 사실 데이터 수집과 전혀 상관없는 항목을 줄줄이 적는다.

기본 체크. 동의 체크박스에 미리 표시를 해두고, 네가 “기본 설정 바꾸기 귀찮은” 마음을 이용한다.

Samsung이 이번에 쓴 “동의 안 하면 데이터 지운다”는 다크 패턴 무기고의 최신 살상 무기라 할 만하다. 필자는 당분간 이걸 **“자폭형 협박”**이라 부르기로 한다. 볼모로 삼는 칩이 아주 특별하다. 미래의 편의가 아니라, 손목밴드에 3년간 쌓인 땀이다. 걸음 수 꺾은 선, 반년 남짓 표시해둔 생리 주기, 두 달 녹음한 수면 질 — 이 모든 것이 Samsung 손에 쥐어진, 지울 수 있는 협상 칩이 된다.

Hacker News의 또 다른 사용자 rdtsc의 댓글이 핵심을 찔렀다. “네가 기기를 샀는데, 네 의료 기록을 건네주는 데 동의하지 않으면 절반 기능을 제대로 못 쓴다고? 그럼 내가 거절하면 기기값의 50%를 돌려주나?”

당황하지 마라 — 폰에 있는 데이터는 그대로다

오해하기 쉬운 점 하나를 분명히 한다. Samsung이 말하는 “데이터 삭제”는 Samsung 클라우드 서버에 저장된 그 동기화 데이터를 뜻한다. 네 폰 로컬에 저장된 건강 기록은 지워지지 않는다. 걸음 수도 그대로고, 수면 곡선도 그대로다. 다만 더는 여러 기기 동기화를 못 할 뿐이다.

하지만 문제는 여전히 날카롭다. Galaxy Watch를 착용한 사용자에게 시계와 폰 사이 데이터 동기화는 핵심 경험이다. 클라우드 동기화가 끊기면 생태계 전체의 가치가 크게 깎인다. 네가 산 건 연동되는 웨어러블 기기 세트인데, Samsung이 건네준 건 동기화 안 하면 불구가 되는 제품이다. 대체 누가 계약을 어기는 건가?

더 생각하게 만드는 것은 또 다른 층위의 문제다. 네 건강 데이터가 지난 몇 년간 무사히 Samsung 서버에 있었다면, 왜 갑자기 “동의 안 하면 사라진다”가 되는가? 이 데이터의 존재와 파기는 대체 누구 손에 달려 있는가?

”착한 일로 나를 협박하지 마라”

Hacker News의 수십 개 댓글 중, 한 목소리가 반복해서 나왔다. 핵심을 한 문장으로 줄이면 이렇다. “네가 고마움 받을 일로 나를 협박하지 마라.”

적지 않은 이가 지적했다. Samsung이 자기 건강 데이터를 지우게 하는 건, 본래 안심이 되어야 할 일이어야 한다 — “동의 안 하면 우리가 지운다”는 말은 프라이버시를 존중하는 것처럼 들린다. 하지만 그 삭제의 전제가 “AI를 공짜로 학습시키는 데 동의 안 해서”라면, 냄새가 완전히 바뀐다. 그것은 더는 프라이버시 보호가 아니라 처벌이다.

널리 동의를 얻은 댓글 하나는 이렇게 썼다. “착한 일로 나를 협박하지 마. 나는 AI가 아무 데나 끼어드는 기술 회사들에 질렸어.

이 말은 더 깊은 감정을 짚는다. 일반 사용자는 기술 진보 자체를 싫어하는 게 아니다. 자기를 공짜 연료로 보는 태도가 싫은 것이다. 네 걸음 수, 네 수면, 네 심박은 각각 독립된 개인 데이터지, 폰 살 때 제조사에 덤으로 주는 기름카드가 아니다.

네 건강 데이터, 대체 누구의 것인가?

맨 처음 질문으로 돌아가자. Samsung Health 안의 역사 기록은 누구의 것인가?

기술적으로는, 이 데이터는 네가 기기로 수집한 것이다. 법적으로는, GDPR과 다른 프라이버시 법규 모두 네가 데이터 주체임을 명시해, 삭제권·이동권·정정권을 가짐을 밝힌다. 하지만 Samsung의 이번 행동을 보면, 그 상업 논리 속에서 이 데이터는 차라리 자사 자산에 가깝다. 계속 저장할 수도, 지울 수도 있는데, 그 모든 건 네가 이것을 돈벌이 수단으로 쓰게 해줄 의사가 있는지에 달려 있다.

이건 법 조항의 구멍이 아니다. 권력 구조의 생생한 초상이다. 한 회사가 네 수년 치 건강 데이터를 쥐면, 그것은 네게 협상할 자본이 생긴다. 그리고 GDPR이 동의는 “자유롭게 주어진” 것이어야 한다고 정한 것도, 이 불평등한 협상이 합법적 약탈이 되는 것을 막기 위해서다.

Hacker News에는 곰곰이 생각하게 만드는 댓글도 있다. 한 사용자는 자신이 여러 해 전 Samsung 폰을 샀는데, 그 위에 산소 포화도 측정 기능이 있었다고 했다. 어느 날 폰이 창을 띄워, 이 센서를 계속 쓰려면 데이터를 Samsung에 보내는 데 동의해야 한다고 알렸다. “그래서 난 다시는 안 썼어.” 그는 말했다. “사용자를 착취하는 Samsung의 역사는 우리 상상보다 훨씬 길어.”

이번에, Samsung의 계산은 더 크게 울린다. 지금과 미래의 데이터뿐 아니라, 지난 몇 년간 네가 쌓은 전부를 원한다. 그리고 AI 시대의 데이터 갈증이, “주든가 부수든가”라는 이 논리를 점점 뻔뻔하게 만들고 있다.

이 글을 쓰는 시점까지, Samsung은 매체와 커뮤니티의 의문에 공개 답변을 하지 않았다. 하지만 Hacker News 논의 흐름은 거의 확실한 방향을 가리킨다. GDPR 불만 제기, FTC 조사, 아니면 둘 다. 다만 일반 사용자에게는, 규제가 나서는 것보다 더 급한 문제가 있을지 모른다. 우선 자기 Samsung Health 동기화 스위치를 확인해 보는 것 — 그 안에 몇 년 모아둔 데이터가, 이제 선택을 강요받는 처지가 된 건 아닌지.

참고 링크:

  • Neowin: Samsung will delete your health data if you don’t let them use it to train AI(사건 최초 보도)
  • Hacker News 토론 스레드(item?id=48897991, 218점 / 59개 댓글)
  • How-To Geek: Samsung is pushing users to train AI with their personal health data(실측 캡처 포함)
  • 9to5Google: Samsung Health will delete your data without AI training consent
  • Android Police: Samsung is deleting your health data if you refuse to let it train AI
  • GDPR 공식 텍스트: Recital 43(“자유롭게 주어진 동의”에 대한 정의)

이 글의 소재는 Neowin의 원본 보도, Hacker News 커뮤니티 토론, 그리고 여러 기술 매체의 후속 보도에서 왔다. 글의 모든 사실 적시는 이미 공개된 보도와 커뮤니티 토론에 근거하며, 필자의 개인 경험이나 주관적 추측은 포함하지 않는다.