당신 몰래… 당신의 대화가 수집되고 있다 [이슈&탐사]

[AI시대, 위태로운 프라이버시] ① 허락받지 않은 거래


직장인 익명 커뮤니티 애플리케이션(앱) ‘블라인드’(운영사 팀블라인드), 인앱 결제 기준 국내 2위 데이팅 앱 ‘글램’(운영사 큐피스트), 음식 배달 플랫폼 ‘배달의민족’(운영사 우아한형제들) 등이 개인정보처리방침에 명시하지 않고 대화 내용을 수집해 온 것으로 7일 확인됐다. 이용자에게 수집 동의를 묻는 절차 역시 밟지 않았다.

개인정보보호위원회는 대화 내역에 개인정보가 포함될 수 있는 만큼 이를 일괄 수집하는 행위는 개인정보 수집에 해당한다고 봤다. 또 수집 사실을 고지하지 않은 것은 개인정보보호법 위반으로 볼 수 있다고 해석했다. 이들 업체는 대화 내용을 외부 업체에 처리·위탁했는데, 이를 명시하지 않은 것 역시 위법 소지가 크다. 팀블라인드 측은 “대화 내용은 개인정보가 아니다”고 주장했다. 글램은 이날까지 입장을 밝히지 않았다.

이 같은 내용은 국민일보가 채팅 기능이 있는 주요 데이팅 앱 등의 개인정보 수집 실태를 조사하는 과정에서 확인됐다. 무분별한 개인정보 수집과 오남용 논란을 빚은 인공지능(AI) 챗봇 ‘이루다’ 사태는 일부 IT 업체에만 해당하는 문제가 아니었다.

국민일보는 데이터 프라이버시 침해 실태를 확인하기 위해 구글 플레이스토어에 올라온 인기 데이팅 앱 314개의 개인정보처리방침을 전수조사하고, 개인정보보호법 준수 여부를 점검했다. 휴대전화 앱을 사용할 때 외부로 공유되는 개인정보 규모를 알아보기 위해 로그 기록, 패킷 전송 기록 등도 추적했다. 개인정보분쟁조정위원회 위원인 김보라미 법률사무소 디케 변호사가 법률자문을, 강은성 이화여대 사이버보안전공 교수가 기술자문을 맡았다.

불법 소지가 있는 정보수집 현장이 곳곳에서 확인됐다. 블라인드나 글램처럼 이용자의 대화 내용을 수집해 놓고 이를 고지하지 않은 곳도 여러 곳 확인됐다. 대화 내용 수집을 고지했지만 이를 필수 동의 요건으로 처리한 곳 역시 많았다. 314개 앱 가운데 80여개는 위치 정보 수집 동의를 의무로 하고 있었다. 이용자 수 확보를 위해 수집한 개인정보를 돌려쓰는 업체도 있었다.

앱 이용 시 결제가 많았던 데이팅 앱 45개에서 휴대전화 사용자 정보를 몰래 추적하는 프로그램(트래커) 240여개가 확인됐다. 대부분 광고회사로 연결됐다. 모두 돈벌이를 위해 무분별하게 개인정보를 수집하고 있었던 것이다. 정부·여당과 기업들이 4차 산업혁명을 위한 데이터 뉴딜을 강조하는 동안 국민의 개인정보 자기결정권은 위협받고 있다.

동의 없이 대화 내용 수집한 블라인드·글램

국민일보 취재를 종합하면 블라인드와 글램은 ‘센드버드’라는 응용 프로그램 인터페이스(API) 제공 업체의 채팅 솔루션을 사용하고 있다. 팀블라인드와 큐피스트는 자사 앱을 개발하면서 채팅 기능은 센드버드 프로그램을 사용한 것이다.

국민일보는 휴대전화로 앱을 사용할 때 발생한 네트워크 트래픽 기록, 패킷(사용자와 서버가 주고받는 데이터 단위) 전송 기록, 로그 기록 등을 확인하는 과정에서 채팅 관련 데이터가 외부로 전송되는 흔적을 발견했다. 블라인드나 글램에서 채팅을 시작하면 센드버드 이름이 적힌 서버이름표시(SNI)가 등장했고, 해당 인터넷 회선에서 패킷이 오갔다는 기록이 확인됐다. 채팅 관련 데이터가 센드버드가 이용하는 서버로 전송됐다는 의미다. 센드버드 측은 "(고객사) 채팅이 암호화돼 서버에 저장된다"고 인정했다.

그러나 블라인드와 글램은 모두 이 같은 내용을 개인정보처리방침에 표시하지 않고 있었다. 블라인드의 경우 수집하는 콘텐츠 항목에 '귀하가 서비스에 게재, 공유하는 게시글, 이미지, 댓글 등에 포함된 잠재적 개인식별 정보'라고만 설명했다. 이용자들이 게시판에 글을 올릴 때 개인정보가 포함된 내용을 올릴 수도 있는데, 이런 내용 정도가 수집될 수 있다는 것이다. 그러나 이용자 간 채팅 내역이 통째로 수집된다는 내용은 없었다. 당연히 수집에 대한 동의도 받지 않았다. 글램은 이름과 연락처, 휴대전화 기기 식별 정보, IP 주소 등만 수집한다고 언급했다.

직장인 익명 커뮤니티 앱 ‘블라인드’, 데이팅 앱 ‘글램’, 음식 배달 플랫폼 ‘배달의민족’(왼쪽부터 순서대로)에서 채팅을 하자 휴대전화 데이터 전송 기록에 채팅 솔루션 업체 ‘센드버드(Sendbird)’ 이름이 적힌 서버이름표시(SNI)가 등장했다. 채팅 관련 데이터가 센드버드가 이용하는 서버로 전송됐다는 의미다.

팀블라인드 측은 "대화 내용은 개인정보보호법에서 정의하는 개인정보에 해당하지 않는다"고 주장했다. 또 "(자사는) 가입자를 특정할 수 있는 정보를 보유하고 있지 않아 대화 주체를 식별할 수 없다"며 "제3자에게 제공하거나 위탁할 개인정보가 애초에 존재하지 않으므로 동의받을 필요도 없다"고 밝혔다.

그러나 대화 내용에는 식별 가능한 개인정보가 포함될 여지가 많다. 그래서 개인정보보호위원회는 이용자의 동의를 받지 않고 대화 내용 전부를 수집하고, 고지하지 않은 행위를 개인정보보호법 위반으로 볼 수 있다고 봤다.

같은 서비스를 이용하는 다른 업체들은 대화 내용을 개인정보라고 판단해 조치를 취하고 있었다. 국민은행은 2017년 센드버드와 업무 제휴를 맺고 리브똑똑 앱을 출시했다. 이 앱에서 이뤄지는 대화 내용 역시 저장되고, 센드버드가 이용하는 서버에 보관된다. 국민은행은 개인정보처리방침에 대화 내용을 수집하고 센드버드에 제3자 위탁한다고 명시했다. 대구은행도 센드버드 채팅 기능을 넣은 앱을 출시했는데, 채팅 기능을 이용할 때는 대화 내용 수집과 활용에 대해 명시한 센드버드 개인정보처리방침을 제시한 뒤 따로 동의를 받았다.

개인정보위 관계자는 "대화 내용 중 개인을 식별할 수 있는 정보가 있다면 개인정보다. 다른 정보와 결합했을 때 식별 가능하기만 해도 개인정보로 보기 때문에 굉장히 엄격하다"며 "(일괄적으로 수집하는 시스템의 경우) 개인정보가 포함되지 않기는 어려울 것으로 보인다"고 말했다.

이루다 사태의 경우 운영사인 스캐터랩 측이 정보 주체인 이용자의 허락을 제대로 받지 않고 대화 내용을 오남용한 것이 핵심 쟁점인데, 블라인드나 글램 등은 아예 대화 내용 수집 자체를 동의받지 않은 것이다.

센드버드 측은 서버에 저장된 대화 내용을 고객사들이 확인할 수 있다고 언급했다. 전윤호 센드버드 CISO(정보보호최고책임자)는 "자사는 채팅 데이터를 받지만 이용자 정보는 고객사만 가지고 있다"며 "고객사는 서버에 접속하면 누구 것인지 알 수 있고 볼 수 있는 구조"라고 말했다. 고객사는 대화 내용을 직접 모니터링할 수 있다는 의미다.

팀블라인드와 큐피스트는 수집한 정보를 신규 서비스 개발 등에 활용하겠다는 내용도 개인정보처리방침에 담았다. 스캐터랩이 챗봇 개발 때 고객의 대화 내용을 활용하며 이용했던 조항이다. 다만 팀블라인드나 글램 측이 수집한 대화 내용을 다른 업무에 활용해 왔는지는 확인하지 못했다.

챗봇 상담 내용 수집 사실 숨긴 배민

배달의민족 개인정보처리방침. 개인정보 수집 항목에 대화 내용이 적혀있지 않다.

'배달의민족'도 센드버드를 통해 채팅 솔루션을 제공받았지만 대화 내용 수집이나 위탁 사실은 고지하지 않았다.

배달의민족은 자사 앱 내에서 AI 챗봇을 기반으로 한 채팅 상담 서비스를 운영한다. 상담 내용은 센드버드가 사용하고 있는 AWS 서버에 자동 전송된다. 하지만 배달의민족 이용자들은 이 사실을 고지받지 못했다. 개인정보처리방침에 대화 내용 수집 사실이 명시돼 있지 않고 채팅 상담에 접속해도 대화 내용이 수집된다는 공지도 찾아볼 수 없다.

배달의민족 측은 "고객의 이름, 아이디 같은 개인정보는 저장하지 않는다. 센드버드로 이관되는 모든 대화 내용은 암호화되기에 개인정보 이슈가 없다"고 해명했다. 대화 내용은 개인정보가 아니라서 처리방침에 적시하지 않았다는 설명이다. 하지만 배달의민족 상담에서 고객은 단순 챗봇 상담뿐 아니라 실제 상담사와 연결해 일대일 상담을 나눌 수 있고, 이 과정에서 고객 이름, 주소, 전화번호 같은 개인정보가 언급될 여지가 있다.

SSG닷컴은 고객 상담 챗봇과 함께 '친구와 쓱톡'이라는 서비스를 운영하고 있다. 휴대전화 주소록을 불러와 지인과 앱에서 채팅을 나눌 수 있어 실제 메신저 서비스와 운영 방식이 동일하다. SSG 측은 개인정보처리방침에 '쓱톡 서비스 이용 시 친구 목록과 대화 내용이 수집된다'는 내용은 설명했다. 하지만 해당 정보를 외부에 위탁했다는 내용은 명시하지 않았다.

SSG닷컴 관계자는 "대화 내용은 암호화돼 전송되기에 개인정보가 아니라고 판단해 센드버드를 위탁 업체로 등록하지 않았다"고 해명했다.

전웅빈 문동성 박세원 기자 imung@kmib.co.kr

[AI 시대, 위태로운 프라이버시]
▶②[단독] 정오의 데이트·아만다 등 20여 곳도 허락없이 채팅 수집 [이슈&탐사]
▶③830억원 챙겨놓고… 몰래 트래커까지 심은 데이팅앱들 [이슈&탐사]
▶④[단독] 유명 데이팅앱 ‘아마시아’, 회원 개인정보 돌려썼다 [이슈&탐사]
▶⑤매일 스마트폰에 4000개 광고 접근… 사생활이 기록된다 [이슈&탐사]
▶⑥대화 내용이 개인정보? 라인은 O, 카톡은 X… 기준 제각각 [이슈&탐사]
▶⑦개인정보침해신고에 ‘동문서답’… 정보 보호 손 놓은 정부 [이슈&탐사]

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지
트위터페이스북구글플러스