[단독] 유명 데이팅앱 ‘아마시아’, 회원 개인정보 돌려썼다 [이슈&탐사]

국민일보

[단독] 유명 데이팅앱 ‘아마시아’, 회원 개인정보 돌려썼다 [이슈&탐사]

[AI 시대, 위태로운 프라이버시] ④ 보호받지 못한 개인정보

입력 2021-03-11 04:02
(상단 왼쪽부터 시계방향으로) ‘여보자기야’ ‘취미톡’ ‘데이트글로브’ ‘아마시아’ ‘케이메이트’ ‘데이톡’ 앱에 가입해 '내 목록'으로 들어가보니 똑같은 사진과 닉네임의 회원이 연달아 추천됐다. 앱 이름만 다를뿐 모두 레인톡이 이용자 정보를 공유하며 운영하는 앱이다.

“개인정보 취급방침에 모두 안내돼 있으니 직접 확인 바랍니다. 이와 관련해서는 더 이상 답변드리지 않으니 참고 바랍니다.”

데이팅 앱 ‘보라톡S’ 답변은 두 줄뿐이었다. 개인정보 수집 및 이용내역을 제공해 달라는 이메일에 대한 회신이다. 업체에 다시 구체적인 내역을 요청하는 메일을 보냈다. 몇 시간 뒤 발신번호 표시 제한으로 전화가 걸려왔다.

“박○○씨 맞아요? 주민등록증 사진 보내세요. 장난치지 말고.”

전화를 받자 한 남성이 대뜸 소리쳤다. 신원을 밝히라고 요청했지만 그는 막무가내로 “메일을 보낸 사람 아니냐. 자꾸 이렇게 업무를 방해하면 법적 조치를 취하겠다”고 따졌다. 개인정보보호법에 나와 있는 대로 개인정보 처리 내역을 요청한 것인데 남성은 “탈퇴 처리를 하겠다”며 화를 내고 전화를 끊었다. 곧 앱 접속이 막혔다. 그날 밤에는 해당 앱에 입력했던 이메일 계정으로 보안이 우려된다는 알람까지 왔다.

이 앱이 필수 수집하는 정보는 휴대전화 번호, 주민등록번호, 휴대전화 식별번호(IMEI번호), 이메일, 접속로그, 접속 IP정보, 쿠키 정보 등 15가지다. 개인정보처리방침에는 이용자의 토크 내용(대화 내용)과 댓글, 답글 등을 제휴 서비스에 공유하고, 신규서비스 개발에도 활용한다고 적혀 있었다. 제휴 서비스 업체가 어디인지, 신규서비스 개발 등이 무엇인지는 안내하지 않았다.

앱에 가입만 하면 식별 가능한 개인정보가 통째로 넘어가고, 대화 내용까지 활용된다는데 정보 주체인 이용자 권리는 무시당했다. 앱에서는 탈퇴 처리가 됐지만 수집된 개인정보가 파기됐는지는 확인할 길이 없다.

며칠 뒤 이 남성에게서 다시 전화가 왔다. 이 업체가 운영하는 다른 앱에도 같은 내용의 개인정보 이용 내역을 요청한 뒤였다. 이 남성은 “운영 중인 앱이 몇 개 더 있는데 또 이런 메일을 보내면 가만히 있지 않겠다. 업무방해다. 개인이면 개인정보침해기관에다 연락하라”고 했다.

내 개인정보는 잘 관리되고 있을까. 국민일보는 지난달부터 데이팅 앱 60개 업체에 ‘수집한 개인정보 내역을 받고 싶다’는 내용의 메일을 보냈다. 지난 9일까지 답이 온 곳은 41곳에 불과했다. 8곳은 보라톡S처럼 개인정보처리방침을 읽어보라고 답했다. 데이팅 앱 ‘프렌미’는 질문에 대한 답변 대신 ‘탈퇴 처리를 확인해주겠다’고 회신했다. 시소모바일에서 운영하는 데이팅 앱 ‘연하다’는 개인정보 수집 내역을 공개해 달라는 이메일을 보냈더니 “가입된 회원의 본인 확인이 필요하다”는 취지의 답 메일을 보내고는 다른 설명 없이 탈퇴 조치했다.

개인정보 이용내역을 고객센터로 문의하라고 답변한 곳도 2곳이나 됐다. 개인정보는 회사 내 지정 관리자만 접근할 수 있도록 해야 한다. 같은 회사 직원이라도 개인정보 관리자가 아니라면 제3자 이용이 된다.

개인정보 돌려쓴 아마시아

데이팅 앱 운영사들을 취재하는 과정에서 개인정보가 소홀히 관리되는 수상한 장면이 여럿 포착됐다. 취재를 위해 가입을 시도한 일부 데이팅 앱에서 아이디와 닉네임이 이미 사용 중이라는 메시지가 등장했다. 가입한 적이 없는 앱에서 등록된 메일이라는 답이 오기도 했다. 그러던 중 한 곳으로부터 “개인정보를 돌려쓰는 업체가 많다”는 이야기를 들었다.

지목된 곳 중 하나는 레인톡이다. 이 회사는 유명 데이팅 앱인 아마시아를 운영하고 있다. 2017년 6월 출시된 이 앱은 구글 플레이 스토어에서 100만 차례 이상 다운로드됐다. 그런데 아마시아와 사실상 같은 앱이 7개 플레이스토어에 올라와 있는 게 확인됐다. 케이메이트, 데이톡, 여보자기야, 픽톡, 히어로톡, 데이트그로브, 취미톡이다. 앱 화면 색상과 구성만 조금 다를 뿐 앱에 등장하는 이성 프로필이 똑같다. 플레이스토어에는 8개 앱 개발사가 모두 다른 이름으로 등록돼 있다. 개인정보관리자 이메일 계정 역시 모두 다르다. 관리자 이름이나 전화번호는 기재하지 않았다. 이용자들은 서로 다른 회사에서 운영한다고 생각할 수밖에 없다.

문제는 레인톡이 8개 앱 이용자 정보를 모두 공유해 사용하고 있다는 점이다. 아마시아에 가입한 이들 정보가 데이톡, 여보자기야, 케이메이트 등 다른 앱에 실시간 공유되는 것이다. 가입하지 않은 다른 데이팅 앱에 이용자 정보를 허락 없이 강제로 등록한 셈이다.

해당 앱을 사용할 때 나타나는 네트워크 트래픽 기록, 패킷(사용자와 서버가 주고받는 데이터 단위) 전송 기록을 확인했더니 모두 아마시아 이름이 적힌 서버가 발견됐다. 8개 앱이 모두 같은 서버와 프로그램을 이용해 채팅 관련 데이터를 주고받았다는 의미다.

‘아마시아’ 앱(왼쪽)에서 채팅을 하자 ‘데이톡’ 앱(오른쪽)에 가입된 유저와 연결됐다. 두 앱은 유저 정보를 실시간으로 공유하고 있었다.

취재팀이 서로 다른 앱을 켜고 상대방을 검색했는데 대화가 이어졌다. 100만명이 넘는 이용자의 개인정보를 돌려쓰고 있었던 것이다. 이는 개인정보를 제3자에게 제공하는 행위다. 이용자 동의를 받지 않았다면 개인정보보호법상 위법이다. 하지만 8개 앱 개인정보처리방침에는 이 같은 내용이 명시돼 있지 않았다. 이들 앱의 플레이스토어 누적 다운로드 수는 모두 합쳐 140만회에 달한다.

이용자 개인정보를 돌려쓰는 방식으로 앱을 운영하는 업체들은 한둘이 아니었다. 인포렉스라는 회사는 클럽5678, 빠른톡, 연인톡, 빠른톡S 등 데이팅 앱 4곳을 운영하면서 같은 방법을 쓰고 있었다. 플레이스토어에 등록된 앱 개발자는 ‘가장 빠른 대화 어플’ ‘더 새롭고 빠른 만남 어플’ 등으로 각각 다르다. 하지만 하나의 앱만 가입하면 다른 앱에도 개인정보가 동시에 등록된다.

데이팅 앱 운영사 관계자는 “앱 서버는 하나인데 이름만 다르게 하는 식으로 여러 앱을 동시 운영하는 회사가 많다”며 “아무 앱에서 한 명 가입하면 돌려막기 식으로 운영해 매출을 내겠다는 식”이라고 말했다. 랜덤 채팅 앱인 ‘톡챗, 가가채팅, 랜챗, 허니톡, 캔디톡’ ‘오렌지캠, 아이러브톡’ ‘보자보자, 색팅’ 등도 마찬가지였다. 이들 앱도 각각 개인정보를 공유하는 방식으로 운영됐다. 앱 제공 업체 일부는 사무실도 제대로 명시하지 않았다. 색팅, 보자보자 앱 은 개인정보관리자가 동일했지만 업체 주소가 달랐다. 한 곳은 경기 화성시 동탄의 한 아파트였고 다른 곳은 서울 영등포구 당산의 한 빌딩이었다.

법률사무소 디케의 김보라미 변호사는 “개인정보보호법 17조와 18조에 따르면 개인정보처리자는 제3자에게 개인정보를 제공하는 경우 개인정보를 제공받는 자, 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보 항목 등을 정보 주체에게 알리고 동의를 받아야 한다”고 말했다. 이어 “개별 동의를 받지 않고 제3자와 개인정보를 공유하거나 제공하면 형사처벌 대상”이라고 지적했다.

앱 운영자가 성매매 의심 사이트 운영
데이팅 앱 ‘소라넷톡’(왼쪽)에 들어가 프로필 더보기를 누르자 성매매 의심 사이트 ‘러브코디’가 연결됐다.

데이팅 앱은 이용자들의 사생활과 개인정보를 쥐고 있다. 하지만 앱 운영자들은 이용자의 손에 닿지 않는 곳에 숨어 있다. 색밤, 원나잇채팅, 소라넷톡, 자유부인, 원나인19…. 모두 플레이스토어에 있는 데이팅 앱 이름이다. 이 앱 제공자는 각각 다르지만 개인정보관리자는 모두 전모(37)씨로 동일했다. 이들 14개의 앱은 모두 ‘러브코디’ 또는 ‘블랙챗’이라는 데이팅 사이트로 연결됐다. 앱에 기록된 회사 주소지는 서울 금천구 가산동(러브코디, ○업체), 경기 성남시 야탑동(블랙챗, Y업체) 두 곳이다.

앱 운영 방식이 상식적이지 않아 회사 실체를 확인하기 위해 구글링을 했더니 Y업체가 최근까지 회원제 방식의 성인 출장 만남 서비스를 운영한 사실이 확인됐다. 해당 사이트 후기에는 이용자들이 성매매를 했음을 추측할 수 있는 글이 올라왔고, 공지사항에도 “요즘 코로나19 3단계 진입으로 인해 성매매 집중단속 기간”이라며 고객들에게 주의를 환기하는 내용이 발견됐다.

이들 업체를 직접 찾아가 봤다. 주소지 두 곳은 모두 공유오피스 형태의 사무실이었다. 야탑동 사무실을 지키고 있는 관리인은 “회사 이름은 여기 등록돼 있지만 사람이 나오지 않는다”고 했다. 가산동 주소에는 아예 ○업체 사무실이 보이지 않았다. 간판도 없었다.

구글 플레이스토어에는 버블톡이라는 업체가 제공하는 ‘1㎞ 돌싱 만남톡-비밀친구’ 데이팅 앱도 올라와 있다. 이 앱을 검색하면 연관 앱으로 돌싱중년만남이라는 업체가 제공하는 ‘중년만남’이라는 데이팅 앱이 올라온다. 각 앱의 개발자 주소지는 강원 강릉시 옥천동의 한 다세대 빌라, 경기 파주시 목동동의 한 아파트 단지로 다르다. 하지만 두 앱은 완전히 동일한 앱이다. 각 앱에 접속한 뒤 채팅을 시작하면 동일한 이름의 서버(버블톡1986)가 발견된다. 개인정보처리방침에 기재된 회사명은 모두 히피엔터테인먼트로 동일하다. 히피엔터테인먼트가 이런 식으로 운영하는 앱은 29개나 됐다.

이슈&탐사 1팀 전웅빈 문동성 박세원 기자 imung@kmib.co.kr

[AI 시대, 위태로운 프라이버시]
▶①당신 몰래… 당신의 대화가 수집되고 있다 [이슈&탐사]
▶②[단독] 정오의 데이트·아만다 등 20여 곳도 허락없이 채팅 수집 [이슈&탐사]
▶③830억원 챙겨놓고… 몰래 트래커까지 심은 데이팅앱들 [이슈&탐사]
▶⑤매일 스마트폰에 4000개 광고 접근… 사생활이 기록된다 [이슈&탐사]
▶⑥대화 내용이 개인정보? 라인은 O, 카톡은 X… 기준 제각각 [이슈&탐사]
▶⑦개인정보침해신고에 ‘동문서답’… 정보 보호 손 놓은 정부 [이슈&탐사]

많이 본 기사

아직 살만한 세상