데이트 상대부터 성적 취향까지, 데이팅 앱은 내 비밀을 낱낱이 알았다

미국의 온라인 데이팅 앱 '틴더'가 그동안 수집한 개인정보를 요구한 한 이용자에게 A4용지 800장에 달하는 개인정보를 보내왔다고 영국 일간 가디언이 26일(현지시간) 보도했다. IT업체들이 이용자의 개인정보를 수집한다는 것은 공공연한 사실이지만 이처럼 개인에 대한 구체적인 개인정보 수집 규모가 드러난 것은 이번이 처음이다.

평소 틴더를 종종 이용해왔던 프랑스의 프리랜서 저널리스트 주디스 뒤포타이는 지난 3월 틴더 측에 "당신들이 보유한 내 개인정보를 모두 보내달라"고 요청했다.

틴더 측이 보내온 800장 분량의 개인정보는 충격적이었다. 뒤포타이가 언제 어디서 틴더 앱을 통해 데이트 상대를 찾고 무슨 대화를 나눴는지, 어떤 연령대의 남자들과 주로 연락했는지부터 페이스북 '좋아요' 기록, 인스타그램에 올린 사진들과 올렸다가 삭제한 사진들, 뒤포타이의 학력 등이 빼곡히 담겨 있었다.

뒤포타이는 "틴더가 갖고 있는 내 개인정보를 보면 내가 바라는 것, 두려워하는 것, 내 성적 취향 등 가장 내밀한 비밀까지 모두 알 수 있다"며 "틴더는 나를 너무나도 잘 알았다. 틴더는 내가 567번, 568번, 569번 데이트 신청자에게 똑같은 내용의 농담을 복사해서 붙여넣기를 했다는 사실이나 새해 하루 동안 16명과 연락을 주고받았다는 사실도 알고 있었다"고 밝혔다.

프랑스의 프리랜서 저널리스트 주디스 뒤포타이. [트위터]

뒤포타이는 2013년부터 틴더를 이용하기 시작해 총 920회 이 앱을 켰고 870명에게 데이트 신청을 보냈다. 그동안 데이트 상대들과 주고받은 메시지는 1700건이었다. 뒤포타이는 "내 개인정보들을 살펴보면서 죄책감이 들었다. 내가 이렇게 많은 정보를 자발적으로 공개했다는 사실에 놀랐다"고 토로했다.

전문가들은 틴더가 보내온 800장의 개인정보는 빙산의 일각이라고 경고했다. 카네기멜론대의 알레산드로 아퀴스티 정보기술학과 교수는 "틴더는 우리의 행동을 바탕으로 훨씬 많은 것들을 학습한다"고 설명했다. 아퀴스티에 따르면 틴더는 우리가 데이트 신청을 했던 사람 중에 어떤 인종이 많은지, 어떤 사람이 우리에게 호감을 나타내는지, 우리가 가장 많이 사용한 단어는 무엇인지, 다른 사람이 우리 사진을 보고 데이트 신청을 보내기까지 시간이 평균 얼마나 걸리는지 등에 대한 데이터를 모두 가지고 있다.

미국 워싱턴대의 올리버 케이스 교수는 가디언에 "뒤포타이의 사례가 두렵기는 하지만 놀라운 일은 아니다"라며 "우리가 스마트폰으로 이용하는 모든 앱들이 같은 종류의 데이터를 수집하고 있다. 페이스북은 아마 각 이용자에 대해 수천 장 규모의 개인 정보를 갖고 있을 것"이라고 설명했다.

틴더 측은 "전 세계 이용자들의 경험에 맞춰 서비스를 개인화하기 위해 데이터를 수집한다"며 "데이트 상대를 찾아주는 틴더의 기술은 역동적이며 이용자들의 다양한 요소들을 고려한다"고 설명했다. 각 개인에 맞는 서비스를 제공하려면 개인정보가 필요하다는 주장이다.

개인정보 보호 운동가인 폴올리버 드하예는 "업체가 수집한 우리의 개인정보는 틴더가 데이트 상대를 찾아주는 데 쓰이기도 하지만 우리가 구인구직 소셜미디어 링크드인에서 일자리를 찾을 때도, 자동차 보험 가격을 산정할 때도, 대출을 받을 때나 광고를 볼 때도 영향을 미친다"며 "결국 개인정보가 우리 존재 전체에 영향을 미치게 될 것"이라고 우려했다.

문제는 이런 데이터들이 해킹당하거나 악용될 우려가 있다는 점이다. 뒤포타이는 "내 정보가 해킹당해 공개되면 엄청난 수치심이 느껴질 것"이라며 "틴더 측의 누군가가 내 개인정보 800장을 보내기 전에 그 자료들을 들여다 봤을 가능성이 있다고 생각만 해도 몸이 움츠러든다"고 밝혔다.

틴더 측은 회원가입 시 약관을 통해 이용자들에게 "회원의 개인정보, 대화 내용, 여타 의사소통 정보의 보안이 항상 지켜질 것으로 기대해선 안 된다"고 통보하고 있다. 실제로 주변 틴더 회원들의 정보를 수집하는 '틴더 스크레이퍼' 같은 프로그램을 이용하면 데이트 신청을 하지 않고도 다른 회원들의 이름, 나이, 학력, 직업, 소셜미디어 계정 등을 확인할 수 있다.

올해 초엔 백인 우월주의자로 알려진 한 덴마크 연구자가 틴더의 모회사 매치컴퍼니가 소유한 온라인 데이트 웹사이트 OK큐피드에서 수집한 개인정보를 이용해 지능과 종교의 상관관계를 연구한 자료를 발표하는 일도 있었다.

각국 정부는 이처럼 업체들이 무분별하게 개인정보를 수집하고 악용하는 사례를 막기 위한 규제 마련에 고심하고 있다. 유럽연합(EU)과 영국, 프랑스 등 유럽 개별 국가들은 1990년대 후반부터 개인정보보호지침을 통해 시민들을 보호하고 있다. 뒤포타이의 요구에 틴더가 800장에 달하는 개인정보를 내줄 수밖에 없었던 것도 EU의 개인정보보호지침과 영국, 프랑스 당국의 관련 법 때문이다.

EU 의회는 지난 2012년부터 4년간 치열한 논의를 거듭한 끝에 지난해 4월 기존의 EU 개인정보보호지침과 개별 국가들의 규제를 통합·강화한 포괄적정보보호법(GDPR)을 통과시켰다. 1년의 유예기간을 거쳐 지난 5월부터 EU 28개국 500만 시민에 적용되고 있는 GDPR은 정보 주체가 요구할 경우 모든 개인정보 이용 내역을 공개해야 하며, 삭제를 원할 때는 시스템상에서 모든 정보를 제거해야 한다.

각국의 법 제정에 가이드 역할을 하는 지침과 달리 GDPR은 모든 EU 회원국에서 법적 구속력을 가지며, 이를 위반한 기업에겐 최대 2000만 유로(268억2000만원)의 벌금 등 강력한 제재가 뒤따른다.

국내법에도 이와 유사한 조항이 있다. 정보통신망법에 따르면 기업은 소비자의 요청이 있을 경우 보유 중인 개인정보, 이용자 개인정보를 이용하거나 제3자에게 제공한 현황, 개인정보 수집·이용·제공에 대한 이용자 동의 세부 내역 등 3가지를 제공해야 한다. 또 개인정보보호법에 따르면 요청받은 자료는 10일 이내에 제공해야 하며 표준 개인정보보호 지침에 따라 기업은 개인정보 열람과 관련한 부서를 둬야 한다.

그러나 경제정의실천시민연합(경실련), 진보네트워크센터 등 시민사회단체가 지난 6일 발표한 개인정보 열람 실태조사 결과에 따르면 조사 대상 기업 29곳 중 관련 법을 제대로 지키는 업체는 단 한 곳도 없었다. 경실련 측은 "개인정보 열람권 보장을 위한 시스템을 마련하고 법에 부여된 개인정보 결정권이 제대로 행사될 수 있도록 제도를 개선해야 한다"고 강조했다.

이기준 기자 foridealist@joongang.co.kr