올해 초 고려대 학생 A 씨와 B 씨는 ‘선우밥(선배, 우리 밥 약속해요)’ 팀이라는 재학생 대상 웹서비스를 개발했다. 이 서비스를 이용하면 밥 약속(밥약)이 필요한 이들은 글을 작성하거나 밥약 신청 시 수락을 기다릴 수 있다. 상대가 매칭된 후 약속을 확정해 식사를 함께하는 방식이다.
서비스가 개시된 이후 선우밥 팀이 만든 ‘밥약’ 서비스는 개인정보 침해 논란에 휩싸였다. 고려대에 이어 다른 대학으로 서비스를 확장하던 중 성신여대 재학생들의 개인정보를 침해했기 때문이다.
21일 이투데이 취재 결과, 선우밥 팀은 성신여대 재학생들의 △아이디 △비밀번호(난수처리해 데이터베이스(DB)에 저장) △이름 △학교 △학과 △입학 연도 △자기소개 △학교 상태 △MBTI(성격유형진단검사) △고민 △좋아하는 음식 및 식당 △전체 학교 공개 여부 등 다양한 개인정보를 자체 DB에 저장한 것으로 나타났다.
이는 성신여대 재학생 C 씨와 고대생 D 씨가 밥약 서비스로 매칭되면서 알려졌다. C 씨는 본인의 개인정보가 이와 같은 방식으로 활용될지 전혀 예상하지 못했다고 밝혔다.
문제는 선우밥 팀이 해당 서비스와 관련해 성신여대 측과 기술적 협의를 거치지 않았다는 점이다. 사용자 동의 없이 개인정보를 수집하고, 개인정보 처리방침도 고지하지 않았다.
성신여대 재학생들은 즉각 반발하고 나섰다.
개인정보보호법 제30조에 따르면 개인정보처리자는 △개인정보의 처리 목적 △개인정보의 처리 및 보유 기간 △개인정보의 제3자 제공에 관한 사항(해당되는 경우) 등을 정하고 정보 주체에게 공개해야 한다. 위반 시 동법 제75조에 따라 1000만 원 이하의 과태료가 부과된다.
개발팀 관계자는 논란에 대해 “사업이나 유료화를 생각하고 진행했던 서비스가 아니었다”며 “개인정보처리방침 등을 넣는 경험도 없어 미처 확인하지 못했고, 인증하기 기능이 있다면 확실하게 보장된 학과 친구들, 학교 친구들을 만날 수 있어서 좋겠다는 생각만 했다”고 밝혔다.
개인정보보호위원회 관계자는 “개인정보 보호에 대한 인식이 낮고, 유료화 수익 사업이 아닌 만큼 문제가 없을 것이라고 여겼을 것”이라며 “개인정보 수집 동의를 받지 않는 경우 문제될 소지가 있다”고 지적했다.
논란이 커지자 선우밥 팀은 이용자들의 지적을 수용, 타 학교의 DB를 모두 폐기하고 고려대에만 서비스를 제공하고 있다.