[단독]블라인드·글램, 이용자 동의 없이 채팅 내역 수집[이슈&탐사]

국민일보

[단독]블라인드·글램, 이용자 동의 없이 채팅 내역 수집[이슈&탐사]

입력 2021-03-06 06:50

직장인 익명 커뮤니티 애플리케이션(앱) ‘블라인드’(운영사 팀블라인드), 인앱 결제 기준 국내 2위 데이팅 앱 ‘글램’(운영사 큐피스트) 등이 개인정보처리방침에 명시하지 않고 대화 내용을 수집해 온 것으로 6일 확인됐다. 이용자에게 수집 동의를 묻는 절차 역시 밟지 않았다.

팀블라인드 측은 “대화 내용은 개인정보가 아니다”고 주장했다. 그러나 개인정보보호위원회는 대화 내역에 개인정보가 포함될 수 있는 만큼 이를 일괄 수집하는 행위는 개인정보 수집에 해당한다고 봤다. 또 수집 사실을 고지하지 않은 것은 개인정보보호법 위반으로 볼 수 있다고 해석했다. 이들 업체가 대화 내용을 제3자 업체인 외부에 위탁하고 이를 명시하지 않은 것 역시 위법 소지가 크다. 글램은 이날까지 입장을 밝히지 않았다.

이 같은 내용은 국민일보가 채팅 기능이 있는 주요 데이팅 앱 등의 개인정보 수집 실태를 조사하는 과정에서 확인됐다. 무분별한 개인정보 수집과 오남용 논란을 빚은 인공지능(AI) 챗봇 ‘이루다’ 사태는 일부 IT 업체에만 해당하는 문제가 아니었다.

직장인 커뮤니티앱 ‘블라인드’의 개인정보처리방침. 수집하는 정보 항목에 대화내역이 적혀있지 않다.

소개팅앱 ‘글램’의 개인정보처리방침. 수집되는 내역에 대화내역이 적혀있지 않다.

국민일보 취재를 종합하면 블라인드와 글램은 ‘센드버드’라는 응용프로그램 인터페이스(API) 제공 업체의 채팅 솔루션을 사용하고 있다. 팀블라인드와 큐피스트는 자사 앱을 개발하면서 채팅 기능은 센드버드 프로그램을 사용한 것이다.

국민일보는 휴대전화로 해당 앱을 사용할 때 발생한 네트워크 트래픽 기록, 패킷(사용자와 서버가 주고받는 데이터 단위) 전송 기록, 로그 기록 등을 확인하는 과정에서 채팅 관련 데이터가 외부로 전송되는 흔적을 발견했다. 블라인드나 글램에서 채팅을 시작하면 센드버드 이름이 적힌 서버이름표시(SNI)가 등장했고, 해당 인터넷 회선에서 패킷이 오갔다는 기록이 확인됐다. 채팅 관련 데이터가 센드버드가 이용하는 서버로 전송됐다는 의미다. 센드버드 측은 “(고객사) 채팅이 암호화돼 서버에 저장된다”고 인정했다.

그러나 블라인드와 글램은 모두 이 같은 내용을 개인정보처리방침에 표시하지 않고 있었다. 블라인드의 경우 수집하는 콘텐츠 항목에 ‘귀하가 서비스에 게재, 공유하는 게시글, 이미지, 댓글 등에 포함된 잠재적 개인식별 정보’라고만 설명했다. 이용자들이 게시판에 글을 올릴 때 개인정보가 포함된 내용을 올릴 수도 있는데, 이런 내용 정도가 수집될 수 있다는 것이다. 그러나 이용자 간 채팅 내역이 통째로 수집된다는 내용은 없었다. 당연히 대화내용 수집 동의도 받지 않았다. 글램은 이름과 연락처, 휴대전화 기기 식별정보, IP주소 등만 수집한다고 언급했다.

블라인드와 글램에서 채팅을 하자 로그기록에 센드버드(Sendbird) 이름이 적힌 서버이름표시(SNI)가 등장했다.

블라인드와 글램에서 채팅을 하자 로그기록에 센드버드(Sendbird) 이름이 적힌 서버이름표시(SNI)가 등장했다.

블라인드에서 채팅을 하자 안드로이드 개발자 프로그램 ‘안드로이드 스튜디오’에서 센드버드(Sendbird)가 등장했다.

팀블라인드 측은 “대화 내용은 개인정보보호법에서 정의하는 개인정보에 해당하지 않는다”고 주장했다. 또 “(자사는) 가입자를 특정할 수 있는 정보를 보유하고 있지 않아 대화 주체를 식별할 수 없다”며 “제3자에 제공하거나 위탁할 개인정보가 애초에 존재하지 않으므로 동의를 받을 필요도 없다”고 밝혔다.

그러나 대화 내용에는 식별 가능한 개인정보가 포함될 여지가 많다. 그래서 개인정보보호위원회는 이용자 동의를 받지 않고 대화 내용을 통째로 수집하고, 고지하지 않은 행위를 개인정보보호법 위반으로 볼 수 있다고 봤다.

같은 서비스를 이용하는 다른 업체들은 대화 내용을 개인정보라고 판단해 조치를 취하고 있었다. 국민은행은 2017년 센드버드와 업무제휴를 맺고 리브똑똑 앱을 출시했다. 이 앱에서 이뤄지는 대화 내용 역시 저장되고, 센드버드가 이용하는 서버에 보관된다. 국민은행은 개인정보처리방침에 대화 내용을 수집하고 센드버드에 제3자 위탁한다고 명시했다. 대구은행도 센드버드 채팅 기능을 넣은 앱을 출시했는데, 채팅 기능을 이용할 때는 대화 내용 수집과 활용에 대해 명시한 센드버드 개인정보처리방침을 제시한 뒤 따로 동의를 받았다.

개보위 관계자는 “대화 내용 중 개인을 식별할 수 있는 정보가 있다면 개인정보다. 다른 정보와 결합했을 때 식별 가능하기만 해도 개인정보로 보기 때문에 굉장히 엄격하다”며 “(일괄적으로 수집하는 시스템의 경우) 개인정보가 포함되지 않기는 어려울 것으로 보인다”고 말했다.

센드버드 측은 서버에 저장된 대화 내용을 고객사들이 확인할 수 있다고 언급했다. 전윤호 센드버드 CISO(정보보호최고책임자)는 “자사는 채팅 데이터를 받지만 이용자 정보는 고객사만 가지고 있다”며 “고객사는 서버에 접속하면 누구 것인지 알 수 있고 볼 수 있는 구조”라고 말했다. 고객사는 대화 내용을 직접 모니터링 할 수 있다는 의미다.

팀블라인드와 큐피스트는 수집한 정보를 신규서비스 개발 등에 활용하겠다는 내용도 개인정보처리방침에 담았다. 스캐터랩이 챗봇 개발 때 고객의 대화 내용을 활용하며 이용했던 조항이다. 다만 팀블라인드나 글램이 수집한 대화 내용을 다른 업무에 활용해왔는지는 확인하지 못했다.

전웅빈 문동성 박세원 기자 imung@kmib.co.kr

[AI 시대, 위태로운 프라이버시]
[단독] 배달의민족, 챗봇 상담 내용 허락없이 수집·전송 [이슈&탐사]
▶②[단독] “뭐 어때” 은밀 정보 수두룩 대화 수집한 데이팅 앱들[이슈&탐사]
▶③데이팅앱 45개에 트래커 243개…다 털어가는 개인정보 [이슈&탐사]
▶④“제 정보 어쨌나요?” 묻자 윽박… 막가는 데이팅 앱 [이슈&탐사]
▶⑤하루종일 스마트폰 했더니 600개 기업이 내 정보 빼갔다 [이슈&탐사]
▶⑥라인은 맞다는데, 카톡은 “대화, 개인정보 아냐” [이슈&탐사]

많이 본 기사

아직 살만한 세상