주메뉴바로가기 본문바로가기
전체메뉴
HOME > Target@Biz > 비즈

'회원 정보 구글링해 도용' 자기계발 앱 챌린저스 개인정보 유출 논란

문제 게시글 올린 회원에 '잘못된 경고'…작은 스타트업직 개인정보 관리 잘 안돼 "재발 방지 중요"

2020.11.24(Tue) 17:10:36

[비즈한국] 자기계발 앱 ‘챌린저스’에서 이용자의 개인정보를 회사 관계자가 무단으로 열람한 뒤 관련해 게시글을 작성한 일이 발생해 물의를 빚었다. 회사 측은 앱 첫 화면 공지사항을 통해 사과문을 올렸지만 스타트업의 개인정보 관리에 구멍이 있다는 지적을 피하지 못하고 있다.

 

자기계발 앱 ‘챌린저스’는 화이트큐브가 2018년 11월 출시한 습관교정 앱으로, 이용자가 커뮤니티에 참여해 ​아침 7시에 일어나기, 목표체중 달성하기 등 ​일정 기간​ 미션 달성에 성공하면 상금을 받고 실패하면 벌금을 내는 방식으로 운영된다. 출시 이후 구글 플레이스토어에서 10만 명 이상의 이용자가 다운로드하는 등 좋은 반응을 얻고 있다. 

 

자기계발 앱 ‘챌린저스’​에서 운영진에 의해 이용자의 개인정보가 유출되는 사건이 발생했다. 챌린저스 측은 피해자에 대한 사과와 함께 재발 방지를 약속하는 사과문을 올렸다. 사진=챌린저스 홈페이지

 

사건의 발단은 17일 이용자 A 씨가 올린 글이다. A 씨는 ‘저랑 하실 분’이라는 제목의 신규 챌린지를 개설했고, 운영팀은 해석에 따라 논란이 될 수 있다는 판단하에 이 글을 삭제했다. 다음날인 18일 챌린저스 직원 B 씨가 A 씨의 게시글을 삭제하는 과정에서 개인정보에 속하는 이메일을 수집했고, 이를 구글에 검색해 추가 정보를 수집한 뒤 A 씨의​ 사진으로 새 계정을 만들었다.

 

B 씨는 새로 만든 계정을 통해 A 씨와 이야기하기 위해 댓글을 달거나 게시글을 작성했다. 게시글은 새벽시간에 올라가 있었으며 다음날 아침 B 씨가 부적절한 행동임을 깨닫고 ​지웠다. B 씨는 이용자 A 씨에게 ‘네가 누군지 알고 있다’는 차원의 경고를 해야겠다는 의도였으며 사칭의 목적은 전혀 없었다는 게 챌린저스 측의 설명이다.

 

A 씨는 곧바로 문제를 제기했고, 이에 챌린저스 측은 19일 사과문을 올리고 직원 B 씨에게 징계 처분을 내렸다. 챌린저스 측은 “유사한 게시물이 추가 작성되지 않도록 하려는 직원의 개인적인 판단이었으나 명백히 부적절한 행위였다”며 A 씨가 받은 2차 피해에 대한 지원, 개인정보 관리 권한 변경 등의 조치를 약속했다.

 

그러나 A 씨가 올린 글에도 문제가 있다. ‘저랑 하실 분’이라는 제목은 주요 포털 사이트에서도 성매매 관련 유형으로 불법 게시글로 분류한다. 따라서 이를 제재하는 과정에서 개인정보가 유출됐으므로 목적 외 사용으로만 볼 수는 없다는 반론도 나온다. 챌런저스 측은 사과와 함께 이용 약관을 어긴 A 씨 역시 영구탈퇴 처리했다.

 

구글 플레이스토어 리뷰에 글을 남긴 한 이용자는 19일 “사과문을 확인하고 너무 황당해서 리뷰 남긴다. 이상한 글을 올린 A 씨도 잘못했지만, 계정 삭제 등의 방법이 있는데 불법적인 개인정보 조회로 직원이 도용 계정을 만들었다니 충격이다. 내 정보도 구글링 되는 거 아닌가”라고 의견을 밝혔다. 

 

챌린저스 앱 첫화면에 뜬 사과문. 챌린저스 측은 피해자에 대한 사과와 재발 방지 등을 약속했다. 사진=챌린저스 앱 캡처

 

2019년 9월 16일부터 시행된 ‘개인정보 수집방침’에 따르면 챌린저스는 개인정보를 취급하는 직원을 지정하고 담당자에 한정시켜 최소화하여 개인정보를 관리하는 정책을 시행하고 있다. 최혁준 챌린저스 대표는 “이전에는 개인정보 보호책임자와 개발자 일부에게 개인정보 열람 권한이 있었지만, 문제 발생 후 최고책임자 1명만이 열람할 수 있도록 수정했다. 많이 반성하고 있으며 재발 방지를 위해 노력하겠다​”​고 설명했다. ​​

 

하지만 이용자들의 신뢰를 회복하기 위한 시간이 필요할 것으로 보인다. 챌린저스 측은 피해자에 대한 사과와 직원 B 씨에 대한 징계 외에도 ​24일 전 직원 대상 개인정보 보안 교육을 시행하는 등 사과문을 통해 이용자들에게 약속한 부분을 지켜가고 있다. 그러나 이용자 C 씨는 “‘혹시 내 개인정보도 다른 용도로 쓰이진 않았을까?’ 하는 생각에 서늘했다. 홈페이지 공지사항에 서비스 중단을 원하면 전액 환불을 해주겠다고 해서 신청하려고 한다. 신뢰가 깨졌다”고 했다.

 

개인정보 보호책임자로 있는 한 스타트업 관계자는 “이용자의 개인정보는 매우 민감한 정보인 데다가 암호화되어 보관되며, 직원들 또한 정기적으로 관련 교육을 받도록 되어 있다. 하지만 규모가 작은 조직일 경우 개인정보 관리가 잘 안 되는 경우를 많이 봤다. 상시적으로 외부에서 감시하는 게 아니라 조직 내부에서 관리하다 보니 사적으로 운용해도 외부에서 알기 쉽지 않은 게 현실”이라고 설명했다. 

 

최경진 가천대학교 법학과 교수는 “개인정보보호법 18조(개인정보처리자가 개인정보를 제공자 동의 없이 제공 받은 목적 외 용도로 이용하는 것을 금지한다) 위반인지 확인하기 위해서는 약관을 살펴봐야 한다. 경찰관이 민원인의 개인정보를 취득해 사적으로 연락을 한 사례의 경우 분명한 ‘목적 외 사용’이다. 챌린저스의 경우 (사과문대로라면) ‘사업적 목적의 사용’에 해당할 수 있다. ‘최소처리 원칙’이 있어서 최소한의 사람이 최소한의 범위에서 개인정보를 처리해야 하지만, 조직 규모가 작아 개개인의 업무가 전문화되어 있지 않다면 개인정보에 접근할 수 있는 권한이 다수에게 있을 수 있다”고 말했다. 

 

최 교수는 “내부 관리 체계를 잘 꾸려놓는 것도 법에 규정돼 있다. 내부 관리 계획을 잘 세워야 하며 개인정보 보호책임자가 항상 관리·감독하면서 문제가 발생하지 않도록 해야 한다. 이 사례의 경우 개인정보 처리자, 그리고 회사의 관리·감독 잘못이라고 볼 수 있을 것 같다. 중요한 건 재발하지 않도록 사후 조치를 철저하게 하고, 이를 이용자들이 감시하는 것”이라고 강조했다.

김보현 기자

kbh@bizhankook.com

[핫클릭]

· '민증' 든 셀카까지? 암호화폐거래소 개인정보 보호 논란
· 국내 최대 중고거래 앱 '번개장터' 해킹 대응은 '소극적'
· "강의 중 구매자가 갑자기…" 재능공유플랫폼에서 벌어진 일
· 개인정보 유출 전력 옥션, 인증문자 폭탄에도 '무신경'
· 탈퇴해도 내 사진이 그대로? 소개팅 앱 개인정보 노출 논란


<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>