데이팅앱 45개에 트래커 243개…다 털어가는 개인정보 [이슈&탐사]

국민일보

데이팅앱 45개에 트래커 243개…다 털어가는 개인정보 [이슈&탐사]

[AI 시대, 위태로운 프라이버시] ③과도한 개인정보 수집

입력 2021-03-09 06:15 수정 2021-03-09 06:15

“○○데이트 앱 써 봤니?”

요즘 다들 한 번씩은 깔아본다고 친구가 말했다. 코로나19로 줄어든 만남의 기회를 이렇게라도 만회하는구나 싶었다. 다른 친구 몇에게도 경험이 있냐고 묻자 금방 앱 몇 개를 추천받았다.

구글 플레이스토어 데이트 카테고리로 들어갔더니 현란한 이름의 데이팅 앱 목록이 수백 개 쏟아진다.

“스윗톡, 매력적인 이성친구와 대화할 수 있는 서비스입니다.” 알록달록한 배경에 아이스크림 문양의 아이콘이 눈길을 끈다. 클릭하자 “개인정보를 취득하지 않으며, 개인정보 보호를 통해 이용자에 대한 피해를 주지 않는 건강한 앱”이라는 설명이 나왔다.

안심하고 앱을 깔자 이용약관과 개인정보처리방침 동의를 묻는다. 정보를 취득하지 않는다니 그냥 동의를 누르고 앱을 가동했다. 가입은 전화번호 인증 방식으로 이뤄졌다. 그런데 로그인을 마치자마자 금방 기자가 있는 위치 주변 사람들 아이디와 사진, 소개글 등이 정렬됐다.

개인정보를 취득하지 않는다면서 어떻게 이런 서비스가 가능할까.

부랴부랴 개인정보처리방침을 살펴보니 아이디, 비빌번호, 닉네임, 나이, 성별 등 기본적인 내용 외에도 상태글, 서비스 이용기록, 접속 로그, 쿠키, IP주소, 기기 고유 번호, 기지국 기반 실시간 위치정보, GPS를 통한 위치정보, 와이파이 정보를 통한 위치정보 등의 정보를 수집한다고 명시해 놨다. 앱을 시작할 때 필수, 선택 항목을 구분해 묻는 절차는 없었다. 이용자가 개인정보처리방침에 동의하는 순간 이런 정보들의 수집을 모두 허락한 것으로 간주한다는 의미다.

업체에 연락하려고 전화번호를 찾았는데 개인정보관리책임자 권모씨 이름과 이메일 주소 하나만 적혀 있다. 해당 메일로 기자의 개인정보 사용 내역을 요청했다.

답변을 기다리는 동안 앱 사용 시 기자 휴대전화에 접근한 외부 서버 트래픽 전송 기록을 살펴봤다. 해당 데이팅 앱을 클릭하는 순간 아마존웹서비스(AWS), 유니티애즈, 구글맵, 페이스북, 애드브릭스 등 대형 IT 업체와 타깃팅 광고업체들의 이름이 담긴 도메인 30여개가 동시에 기자 휴대전화로 접속됐다. 실리콘 밸리에 있는 세계 1위 채팅 솔루션 업체 센드버드 이름도 등장했다.

이 앱에는 이용자와 이용자 행동을 분석해 기록하고, 광고를 심는 추적 프로그램(트래커) 4개도 숨겨져 있었다. 취재기간 데이팅 앱 수십개를 깔았는데, 며칠 되지 않아 다른 앱에서도 데이팅 앱 광고가 나오기 시작했다.

며칠 뒤 업체로부터 답장이 왔다.

“우리는 당신의 채팅 내역을 저장해 외부 위탁업체에 보내고 있습니다.”

다시 앱에 접속해 봤더니 그제서야 개인정보처리방침 변경 알림이 떴다. 변경된 내역은 게시물의 글과 사진, 위치정보, 대화 내용을 수집한다는 내용이었다.

구글 플레이 스토어에 올라온 데이팅 앱 중 개인정보관리책임자로 권씨 이름이 올라온 또 다른 앱 4개를 추가 발견했다. 5개 앱 전부 회사명이 달랐다. 대법원등기소를 통해 업체를 찾았는데, 검색되는 게 없었다. 앱에 적힌 회사 주소 역시 제대로 된 게 하나도 없었다. ‘서울특별시 금천구 가산디지털1로’처럼 주소가 명확히 고지 돼 있지 않거나 ‘충청북도 청주시 흥덕구 2순환로 1399’ ‘강원도 양양군 강현면 전진리 80’처럼 없는 주소였다. 해당 주소지 주변은 고속도로였다.

무차별적 정보 수집

앱 분석 업체 앱애니가 발표한 ‘모바일 현황 2021’ 보고서를 보면 이용자들이 지난해 데이팅 앱에 쓴 돈이 30억 달러로, 직전 해보다 15% 증가했다. 국내 이용자들이 지불한 금액은 830억원이 넘는다. 코로나19 최대 수혜 업종 중 하나가 데이팅 앱이었던 셈이다.

데이팅 앱이 돈을 버는 방식은 크게 2가지다. 대화 상대방을 검색하거나 말을 걸 때 돈을 내게 하는 방식, 앱 이용자들의 기기정보를 추적하고 관심사를 분석해 광고 수익을 얻는 방식이다. 업체들은 이용자 정보를 분석해 앱 이용률을 높이기 위한 전략을 모색한다. 데이터가 쌓이면 이를 이용해 신규 서비스나 프로그램 개발에 나서기도 한다. 결국 수익의 성패는 유저 데이터를 얼마나 많이 확보하느냐에 달렸다고 해도 과언이 아니다.

데이터의 주체는 누구일까. 국민일보는 이루다 사태를 계기로 터진 데이터 프라이버시 침해 실태를 확인하기 위해 구글 플레이스토어에 올라온 인기 데이팅 앱 314개의 개인정보처리방침을 전수 분석해 개인정보보호법 준수 여부를 점검했는데, 거의 대부분의 앱에서 위반 소지가 발견됐다. 개인정보분쟁조정위원회 위원인 김보라미 법률사무소 디케 변호사 감수를 받았다.

‘서비스 이용에 필요한 최소한의 개인정보를 수집하여야 한다’는 과잉수집 금지 조항은 무력했다. 대부분의 앱이 개인식별정보를 무분별하게 수집하고 있었고, 서비스 제공과 관련이 없는 정보까지 필수수집 항목으로 분류해 정보를 수집하는 업체가 많았다. 필수 항목과 선택 항목 구분이 없는 앱은 173개였다. 학력, 직업, 흡연여부, 음주여부와 같은 정보를 필수적으로 수집하는 앱도 75개에 달했다.

대화 내용 수집 광범위 했다
데이팅 앱 94개는 이용자 간 대화 내용을 필수 동의 요건으로 두고 수집해 왔던 것으로 확인됐다. 이 중 56개만 개인정보처리방침에 수집 사실을 명시했다. 누적 다운로드수 1억회가 넘는 틴더(매치그룹), 아자르(하이퍼커넥트), 국내 이용률 상위 앱인 1㎞, 미프(애드엑스), 채팅몬S 등이 모두 포함됐다.

이들은 대화 내용 수집을 개인정보처리방침에 명시했지만 별도 선택 사항으로 두지 않았다. 이용자들이 개인정보처리방침에만 동의하면 대화 내용 수집까지 허락한 것으로 간주한 것이다. 민감한 프라이버시인 대화 내용 수집을 서비스 이용을 위한 필수요건으로 규정한 셈이다.


개인 식별이 가능한 정보 수집이 광범위하게 이뤄졌다. 데이팅 앱을 운영하면서 필수수집 항목에 위치정보를 포함한 앱은 84개, 휴대전화 고유식별번호를 포함한 앱은 177개에 달했다. 194개 앱은 IP 정보를, 195개 앱은 로그기록을 필수 수집 항목으로 뒀다. 이용자들의 활동 분석을 위해 쿠키 수집을 기본값으로 설정해 둔 앱은 220개에 달했다.

업체들은 수집한 정보를 맘껏 활용할 수 있도록 개인정보 이용 목적을 두루뭉술하게 적어놨다. 특히 업체 대부분(192개)은 이렇게 수집한 개인정보 이용 목적에 ‘신규 서비스 개발’ 문구를 넣고 있었다. 인공지능(AI) 스타트업 ‘스캐터랩’이 이용자들의 대화 내용을 수집한 뒤 챗봇 ‘이루다’ 개발에 활용했을 때 사용했던 조항이다. 구체적으로 어떤 서비스에 이용하는지 설명한 앱은 없었다.

데이팅 앱 '밀크톡' 개인정보처리방침. 토크내용을 회사와 제휴하는 서비스에 공유할 수 있다는 내용이 담겨있다.

대화 내용을 수집해 제휴사에 제공한다고 고지한 앱은 여러 개 확인했다. 해당 앱들은 ‘회사는 서비스 활성화를 위하여 이용자의 아이디, 닉네임, 토크내용, 댓글 및 답글내용 등의 정보를 회사와 제휴하는 서비스에 공유할 수 있습니다’와 같은 조항을 뒀다. 이용자의 대화 내용을 수집하고 제휴 서비스와 공유하겠다고 밝힌 것이다.

김보라미 변호사는 “대화 내용을 수집해 제휴사와 공유하려면 이용자에게 별도 동의를 받아야한다. 동의 없이 공유하면 모두 법 위반 사례”라고 말했다.

스윗톡처럼 업체 주소가 없거나, 허위로 기록된 건 199개나 됐다. 개인정보처리방침이 한국어로 표기되지 않은 앱은 27개였다. 김 변호사는 “개인정보처리방침은 이해하기 쉬운 용어로 적어야 하는데, 내국인을 상대로 운영하는 앱인데도 한국어로 표기하지 않았다면 문제가 될 소지가 크다”고 말했다.

트래커도 무더기 발견
모든 앱이 이용자 정보와 활동내역을 기록하는 트래커를 심어두고 있었다. 국민일보는 유럽의 프라이버시 비영리 단체인 엑소더스 프라이버시(Exodus Privacy)가 운영하는 ‘개인정보 검사 플랫폼’(The privacy audit platform)을 통해 데이팅 앱에 들어있는 트래커를 분석했다. 결제 순위 상위 45개(분석이 불가능한 앱 제외) 앱에는 모두 243개의 트래커가 심어져 있었다. 앱 한 개당 5.5개씩의 트래커가 담겨 이용자 정보를 빼가고 있는 셈이다.

1㎞ 앱에 심어진 트래커. 엑소더스 프라이버시 캡처

가장 많은 트래커가 있는 앱은 애드엑스가 운영하는 1㎞ 앱이었다. 이 앱에는 21개의 트래커가 심어져 있었다. 1㎞ 앱은 이용자의 대화내용까지 수집한다. 이 앱은 39개의 휴대전화 제어 권한도 요청하고 있었다.

전웅빈 문동성 박세원 기자 imung@kmib.co.kr

[AI 시대, 위태로운 프라이버시]
[단독]블라인드·글램, 이용자 동의 없이 채팅 내역 수집[이슈&탐사]
[단독] 배달의민족, 챗봇 상담 내용 허락없이 수집·전송 [이슈&탐사]
▶②[단독] “뭐 어때” 은밀 정보 수두룩 대화 수집한 데이팅 앱들[이슈&탐사]
▶④“제 정보 어쨌나요?” 묻자 윽박… 막가는 데이팅 앱 [이슈&탐사]
▶⑤하루종일 스마트폰 했더니 600개 기업이 내 정보 빼갔다 [이슈&탐사]
▶⑥라인은 맞다는데, 카톡은 “대화, 개인정보 아냐” [이슈&탐사]
▶⑦개인정보 침해… 노르웨이 벌금 130억, 한국은 동문서답 [이슈&탐사]

많이 본 기사

아직 살만한 세상