골드스푼 홈페이지.© 뉴스1

'상위 1%' 데이팅앱으로 알려진 '골드스푼' 회원 14만명의 개인정보가 유출된 것과 관련해 운영사인 '트리플콤마'가 과징금 1억2979만원과 과태료 1860만원과 함께 수사기관에 고발됐다.개인정보보호위원회는 23일 제4회 전체회의를 열고 트리플콤마에 대해 이같은 제재조치를 의결했다고 밝혔다. 민간 기업이 개인정보보호법 위반으로 수사기관에 고발된 것은 페이스북에 이어 두번째다. 

골드스푼 앱이 해킹당한 사실이 처음 알려진 것은 지난해 10월 언론 보도를 통해서였다. 유명 연예인과 현직 검사들이 포함된 것으로 알려져 사회적인 파장이 컸다. 이어 골드스푼을 해킹했다는 혐의를 받은 20대 남성이 용의자로 구속돼 경찰 수사를 받았다.

개인정보위는 해킹에 의해 개인정보가 유출됐다는 트리플콤마의 신고에 따라 조사에 착수했으며 총 14만3435명의 개인정보가 유출됐다고 밝혔다.

유출된 정보는 이름과 나이, 휴대전화번호, 지인의 휴대전화번호를 포함해 이메일, 직업, 종교, 사진, 회사, 학교 정보, 신분증 및 가족관계증명서 등 방대한 양이었다.개인정보위는 조사 결과 트리플콤마가 접속 권한을 인터넷주소(IP)로 제한하지 않는 등 기술적·관리적 보호조치가 미흡했다는 사실을 확인했다고 밝혔다.

골드스푼은 아마존웹서비스(AWS)를 이용했는데 해커는 관리자의 ID와 패스워드를 이용해 골드스푼의 AWS에 접근한 다음 DB 파일을 백업받는 방식으로 정보를 탈취했다.

윤종인 개인정보보호위원장이 23일 서울 종로구 정부서울청사에서 열린 제4회 개인정보보호위원회 전체회의를 주재하며 발언을 하고 있다. 2022.2.23/뉴스1 © News1 송원영 기자

개인정보위는 이밖에도 트리플콤마의 개인정보보호법령 위반 사실을 추가로 확인했다.

먼저 골드스푼 이용자의 경제력을 인증한다는 명목으로 법령에서 허용하지 않았음에도 불구하고 주민등록번호가 포함된 신분증과 가족관계증명서 등을 수집하고 별도 동의 없이 종교 정보를 처리했다.

또 서비스를 탈퇴한 이용자의 개인정보를 파기하지 않았고 장기간 서비스를 사용하지 않은 이용자의 개인정보도 파기하거나 분리해 보관하지 않았다.

트리플콤마는 개인정보가 유출된 사실을 이용자에게 개별적으로 통지하지도 않았다. 일부 이용자는 해커에게 개인정보 유출로 협박당하는 2차 피해를 입기도 했다.  

개인정보위는 "트리플콤마는 원칙적으로 처리가 금지되며 예외적 사유가 있는 경우만 처리할 수 있는 고유식별정보 및 민감정보와 관련된 위반행위를 했으며 트리플콤마의 안전조치 소홀로 개인정보가 유출돼 이용자의 사생활이 현저하게 침해됐다"고 설명했다.

양정참 개인정보위 조사조정국장은 "상세한 신상이나 재산정보, 민감정보 등 유출 시 사생활 침해 우려가 매우 높은 개인정보를 처리하는 경우 그에 상응하는 수준의 개인정보보호 체계를 마련하고 기술적·관리적 보호조치를 철저하게 적용할 필요가 있다"고 밝혔다.

이어 "앞으로도 데이팅앱 등 유사 서비스에서 이번 사례와 같은 사고가 발생하지 않도록 관련 사업자를 대상으로 법적 의무사항을 안내한 후 자체 점검토록 하는 등 필요한 조치를 하겠다"고 덧붙였다.


hypark@news1.kr