[디지털데일리 이종현기자] ‘상위 1%를 위한 소개팅 앱’을 표방한 ‘골드스푼’의 운영사 트리플콤마가 제재를 받았다. 작년 10월경 해킹으로 가입자 14만3435명의 개인정보가 고스란히 유출됐는데, 조사 결과 안전조치가 이뤄지지 않은 데다 탈퇴 이용자의 정보를 파기하지 않았고, 피해 사실조차 알리지도 않은 것으로 확인됐다.

23일 개인정보보호위원회(이하 개인정보위)는 제4회 전체회의를 열고 트리플콤마에 1억2979만원의 과징금, 1860만원의 과태료를 부과하기로 결정했다.

트리플콤마의 골드스푼은 가입시 ▲차량(수입차량/슈퍼카) ▲직업(의사, 변호사, 5급 이상 공무원 등 전문직/매출 50억원 이상 기업 대표) ▲고학력(서연고대, 카이스트, 아이비리그, MIT 및 스탠포드 등) ▲소득(20대 6000만원/30대 7000만원/억대 연봉) ▲개인자산(5억원/20억원 이상) ▲집안자산(부모 직업/가족자산 100억원 이상) 등의 개인정보를 요구한다.

남성/여성 모두 각 조건 중 1개 이상만 인증된다면 가입이 가능하다. 다만 여성회원의 경우 외모(프로필 사진)만으로도 가입할 수 있다.

개인정보위는 골드스푼이 신분증, 가족관계증명서나 종교 정보 등을 수집한 것이 개인정보보호법에서 허용한 범위를 벗어났다고 꼬집었다. 예외적 사유만 있는 경우에만 처리할 수 있는 고유식별정보 및 민감정보를 과도하게 수집했다는 지적이다.

해킹은 기본적인 보안 조치 미흡으로 인한 것으로 나타났다. DB 암호화가 이뤄지지 않아 이름, 나이, 전화번호, 지인 전화번호, 이메일, 직업, 종교, 사진, 회사, 학교정보, 신분증, 가족관계증명서, 게시판 글 등이 모두 유출됐다.

또 서비스를 탈퇴한 개인정보를 파기하지 않은 것으로 조사됐다. 장기간 서비스를 사용하지 않은 이용자 개인정보를 파기하거나 분리해 별도로 보관해야 하는 기술적·관리적 조치도 이뤄지지 않았다.

현행법에서는 개인정보 유출시 피해자에게 이를 안내하도록 의무화하고 있으니 트리플콤마는 이를 이행하지도 않은 것으로 나타났다.

개인정보위는 해커가 골드스푼에서 훔쳐낸 개인정보를 바탕으로 이용자 협박 등 2차 피해까지 발생했다고 밝혔다. 트리플콤마의 안전조치 소흘로 이용자의 개인정보가 노출되는 등 사생활이 현저하게 침해됐다는 설명이다.

양청삼 개인정보위 조사조정국장은 “정보통신서비스 제공자는 유출시 사생활 침해 우려가 높은 개인정보를 처리할 경우 그에 상응하는 수준의 개인정보보호 체계를 마련할 필요가 있다”고 강조하며 “앞으로는 데이팅 앱 등 유사 서비스에서 이번 사례와 같은 사고가 발생하지 않도록 관련 사업자를 대상으로 법적 의무사항을 안내하고 자체 점검토록 하겠다”고 말했다.

한편 이번 건은 개인정보위가 2020년 8월 통합 출범한 후 두 번째로 고발한 사건이다. 첫 번째는 최소 330만명 이상의 개인정보가 유출된 것으로 추정되는 페이스북(현 메타)이다.