"신분증·재산내역서 등 정보유출 숨겨"…개인정보위, 데이팅앱 '골드스푼' 형사고발

골드스푼 운영사 '트리플콤마'에 과징금·과태료 총 1억4839만원 부과조치

윤정태 개인정보위 조사2과장이 23일 정부 서울청사에서 제4회 전체회의 관련 브리핑을 하고 있다.[사진=개인정보위]

개인정보보호위원회가 14만명 이상 이용자의 개인정보를 유출한 데이팅 애플리케이션 '골드스푼' 운영사에 과징금·과태료 총 1억4839만원 부과 조치를 내렸다. 또 개인정보 침해 정도가 심각하다는 점을 고려해 해당 운영사를 수사기관에 고발하기로 했다.

개인정보위는 23일 제4회 전체회의에서 지난해 10월 개인정보 유출 사고를 겪은 골드스푼 운영사 트리플콤마에 과징금 1억2979만원, 과태료 1860만원을 부과하기로 결정했다.

골드스푼은 의사·변호사 등 전문직 종사자, 연매출 50억원 이상 사업가 등을 회원으로 두고 있다. 소위 '상위 1% 인맥 커뮤니티' 운영을 내세운다. 가입을 위해선 전문직 자격증, 연봉 원천징수 영수증, 부동산 등기 서류 등 사용자 본인의 자산 현황을 인증하는 절차를 거친다.

개인정보위 조사결과 작년 골드스푼에서 유출된 정보는 회원 14만3435명의 이름, 나이, 사진, 학교, 직업, 핸드폰 번호(지인 포함), 종교, 이메일 주소부터 신분증과 재산내역서, 가족관계 증명서 등 인증 서류와 게시글을 포함한다.

◆ 트리플콤마, 클라우드 관리자 계정 관리 '미흡'…이용자에 개인정보 유출 공지 안해
 
개인정보위는 사이버 공격자(해커)가 앱 취약점을 악용해 관리자 계정을 탈취한 것으로 추정하고 있다. 해커가 이 계정으로 골드스푼이 운영되는 클라우드 서비스인 아마존웹서비스(AWS)에 접속, 회원들의 데이터에 접근했다는 설명이다.

윤정태 개인정보위 조사2과장은 23일 온·오프라인 방식으로 진행된 브리핑에서 "(해커가) 관리자의 접속 키를 확보하고 이를 통해 골드스푼 AWS에 접속한 뒤, 데이터베이스(DB) 파일이나 증빙 서류 등을 백업받았다"고 말했다. 접속 권한을 인터넷주소(IP)로 제한하는 등의 기술·관리적 보호 조치가 미흡했다는 지적이다.

또 개인정보위에 따르면, 트리플콤마는 대규모 개인정보가 유출된 사실을 알고도 이를 이용자에게 개별 통지하지 않았다.

윤 과장은 "트리플콤마의 안전조치 소홀로 개인정보가 유출되고 해커에 의해 일부 이용자 개인정보가 공중에 노출되면서 이용자의 사생활이 현저하게 침해됐다"고 말했다. 이어 "위반 행위의 대상이 된 개인정보 유형과 침해 정도 등을 고려해 트리플콤마를 수사기관에 고발하기로 결정했다"고 강조했다.

아울러 트리플콤마는 탈퇴한 회원의 개인정보를 파기하지 않고, 장기간 서비스를 이용하지 않은 회원의 개인정보를 파기하거나 별도 보관하지 않은 것으로 조사됐다.

양청삼 개인정보위 조사조정국장은 "개인 신상과 재산정보 등 유출시 사생활 침해 우려가 높은 개인정보를 처리하는 정보통신 서비스 제공자의 경우, 그에 상응하는 이용자 개인정보 보호 체계를 마련하고 기술·관리적 보호 조치를 철저하게 적용해야 한다"면서 "데이팅앱 등 유사 서비스에서 이번 사례와 같은 사고가 발생하지 않도록 관련 사업자를 대상으로 법적 의무사항을 안내한 후 자체 점검토록 하는 등 필요한 조치를 하겠다"고 말했다.