이슈 데이팅앱 45개에 트래커 243개…다 털어가는 개인정보

https://n.news.naver.com/mnews/article/005/0001418362?sid=102

구글 플레이스토어 데이트 카테고리로 들어갔더니 현란한 이름의 데이팅 앱 목록이 수백 개 쏟아진다.

“스윗톡, 매력적인 이성친구와 대화할 수 있는 서비스입니다.” 알록달록한 배경에 아이스크림 문양의 아이콘이 눈길을 끈다. 클릭하자 “개인정보를 취득하지 않으며, 개인정보 보호를 통해 이용자에 대한 피해를 주지 않는 건강한 앱”이라는 설명이 나왔다.

안심하고 앱을 깔자 이용약관과 개인정보처리방침 동의를 묻는다. 정보를 취득하지 않는다니 그냥 동의를 누르고 앱을 가동했다. 가입은 전화번호 인증 방식으로 이뤄졌다. 그런데 로그인을 마치자마자 금방 기자가 있는 위치 주변 사람들 아이디와 사진, 소개글 등이 정렬됐다.

개인정보를 취득하지 않는다면서 어떻게 이런 서비스가 가능할까.

부랴부랴 개인정보처리방침을 살펴보니 아이디, 비빌번호, 닉네임, 나이, 성별 등 기본적인 내용 외에도 상태글, 서비스 이용기록, 접속 로그, 쿠키, IP주소, 기기 고유 번호, 기지국 기반 실시간 위치정보, GPS를 통한 위치정보, 와이파이 정보를 통한 위치정보 등의 정보를 수집한다고 명시해 놨다. 앱을 시작할 때 필수, 선택 항목을 구분해 묻는 절차는 없었다. 이용자가 개인정보처리방침에 동의하는 순간 이런 정보들의 수집을 모두 허락한 것으로 간주한다는 의미다.

업체에 연락하려고 전화번호를 찾았는데 개인정보관리책임자 권모씨 이름과 이메일 주소 하나만 적혀 있다. 해당 메일로 기자의 개인정보 사용 내역을 요청했다.

답변을 기다리는 동안 앱 사용 시 기자 휴대전화에 접근한 외부 서버 트래픽 전송 기록을 살펴봤다. 해당 데이팅 앱을 클릭하는 순간 아마존웹서비스(AWS), 유니티애즈, 구글맵, 페이스북, 애드브릭스 등 대형 IT 업체와 타깃팅 광고업체들의 이름이 담긴 도메인 30여개가 동시에 기자 휴대전화로 접속됐다. 실리콘 밸리에 있는 세계 1위 채팅 솔루션 업체 센드버드 이름도 등장했다.

이 앱에는 이용자와 이용자 행동을 분석해 기록하고, 광고를 심는 추적 프로그램(트래커) 4개도 숨겨져 있었다. 취재기간 데이팅 앱 수십개를 깔았는데, 며칠 되지 않아 다른 앱에서도 데이팅 앱 광고가 나오기 시작했다.

며칠 뒤 업체로부터 답장이 왔다.

“우리는 당신의 채팅 내역을 저장해 외부 위탁업체에 보내고 있습니다.”

다시 앱에 접속해 봤더니 그제서야 개인정보처리방침 변경 알림이 떴다. 변경된 내역은 게시물의 글과 사진, 위치정보, 대화 내용을 수집한다는 내용이었다.

구글 플레이 스토어에 올라온 데이팅 앱 중 개인정보관리책임자로 권씨 이름이 올라온 또 다른 앱 4개를 추가 발견했다. 5개 앱 전부 회사명이 달랐다. 대법원등기소를 통해 업체를 찾았는데, 검색되는 게 없었다. 앱에 적힌 회사 주소 역시 제대로 된 게 하나도 없었다. ‘서울특별시 금천구 가산디지털1로’처럼 주소가 명확히 고지 돼 있지 않거나 ‘충청북도 청주시 흥덕구 2순환로 1399’ ‘강원도 양양군 강현면 전진리 80’처럼 없는 주소였다. 해당 주소지 주변은 고속도로였다.