Divided by Zero에 오신 걸 환영합니다. IT테크, 스타트업 그리고 자본시장에 대한 2차적 사고를 공유합니다.
"여성들을 위한 안전한 데이팅 공간"
아주 매력적인 슬로건이죠. 이 말을 앞세워 혜성처럼 등장해서 미국 앱스토어 차트를 석권하며 400만 사용자를 끌어모았던 데이팅 조언 앱 티(Tea). 하지만 이 앱은 지난주, 불과 며칠 만에 역사상 최악의 데이터 유출 스캔들 중 하나를 남기며 산산조각 났습니다.
단순한 해킹 사고였을까요? 아닙니다. 이건 정교한 사이버 공격의 결과가 아니라, 기본조차 지키지 않은 총체적 부실과 안전을 팔아 익명성을 보장한다는 근본적으로 모순된 사업 모델이 빚어낸, 어쩌면 예견된 참사에 가깝습니다. 사용자들의 운전면허증 사진과 셀카, 심지어 낙태나 불륜 같은 극도로 민감한 개인사까지 담긴 110만 건의 메시지가 인터넷에 속수무책으로 노출되었죠.
과연 이 앱에서는 무슨 일이 있었던 걸까요?
며칠 만에 무너진 안전한 공간
지난주부터 티 앱에 닥친 재앙은 그야말로 속전속결이었습니다.
- 7월 25일 (금): 첫 번째 유출. 익명 커뮤니티 포챈(4chan)에 티 앱의 데이터베이스로 바로 연결되는 링크가 올라옵니다. 암호도, 암호화도 없이 그냥 '공개'되어 있던 구글 파이어베이스 저장소였죠. 이로 인해 사용자 인증을 위해 제출했던 운전면허증 사진과 셀카 등 1만 3천여 장을 포함한 총 7만 2천여 장의 이미지가 유출됩니다. 회사는 "2024년 2월 이전 가입자에게 영향을 미친 오래된 시스템의 문제"라며 사태를 축소하려 했죠
- 7월 28일 (월): 재앙의 시작, 110만 건의 개인 메시지 유출. 보안 전문가 카스라 라흐제르디(Kasra Rahjerdi)가 완전히 다른 보안 취약점을 폭로했습니다. 인증된 사용자는 누구나 자신의 API 키만으로 다른 모든 사용자의 개인 메시지(DM) 데이터베이스 전체에 접근할 수 있었다는 충격적인 사실이었죠. 이로 인해 2023년 2월부터 유출 바로 그 주까지 오고 간 110만 건 이상의 DM이 노출되었습니다. 여기에는 낙태, 불륜, 가정 폭력 같은 극도로 민감한 대화와 함께 전화번호, SNS 프로필 같은 개인식별정보(PII)가 고스란히 담겨 있었습니다. 회사의 오래된 시스템이라는 변명은 거짓으로 드러났죠
- 7월 28일 (월) 이후: 2차 가해와 소송. 유출된 데이터는 곧바로 사용자들을 향한 무기가 되었습니다. 사용자들의 위치 정보가 담긴 지도까지 나도는 와중 결국 7월 29일, 캘리포니아에서 첫 번째 집단소송이 제기됩니다. "예방 가능했던 사이버 공격으로 막대한 피해를 입었다"는 이유였죠
사이버 보안 전문가들은 "이건 기본적인 사이버 보안 수칙조차 지키지 않은 것"이라며, "빠른 성장에 눈이 멀어 사용자 안전을 내팽개친 결과"라고 입을 모으는데요. 이들의 분석처럼 티의 붕괴는 기술적으로 막기 힘든 사고가 아니라, 안전에 대한 최소한의 투자조차 하지 않은 명백한 인재(人災)였습니다.
애초에 잘못된 설계였을까?
기술적 결함도 문제지만, 티의 비극은 어쩌면 사업 모델의 근본적인 모순에서부터 시작되었는지도 모릅니다.
티 앱의 시작은 숭고했습니다. 창업자는 자신의 어머니가 캣피싱(온라인 신분 사칭 사기)을 당하고 범죄 기록이 있는 남성과 데이트했던 경험을 막고 싶었다고 밝혔죠. 그래서 여성들이 익명으로 데이트 상대 남성에 대한 정보("red flags" 와 "green flags")를 공유하고, 신원 조회나 성범죄자 기록 조회까지 할 수 있는 '여성들만의 안전한 정보 공유 공간'을 만들었습니다. 이 아이디어는 시장의 폭발적인 반응을 얻었고, 앱은 순식간에 400만 사용자를 돌파하며 앱스토어 1위에 올랐죠.
하지만 바로 이 '익명성'과 '안전'이라는 두 가지 가치가 서로 충돌하면서 문제가 시작됐습니다.
- '익명'과 무책임 사이: 익명성은 사용자들이 보복의 두려움 없이 자유롭게 정보를 공유하도록 돕는 방패 역할을 했습니다. 하지만 동시에, 확인되지 않은 소문이나 악의적인 비방이 아무런 책임 없이 퍼져나갈 수 있는 무기가 되기도 했죠. 이 때문에 티는 "남성 혐오 사이트", "사이버 자경단 놀이"라는 비판에 직면했고, 앱에 대한 반감을 가진 적대적인 세력을 스스로 만들어냈습니다. 실제로 포챈이나 레딧 같은 커뮤니티에서는 티를 공격해 사용자들의 신상을 털자는 움직임이 공공연하게 일어났죠
- '안전'을 위한 신상정보: 더 큰 문제는, 이 안전한 익명 공간에 들어가기 위한 입장권이 바로 자신의 신상 정보였다는 점입니다. 티는 여성 사용자만 가입시키기 위해 운전면허증이나 셀카 같은 민감한 개인정보를 요구했습니다. 결국 사용자들의 안전은, 회사가 이 데이터를 얼마나 철저하게 지켜내느냐에 전적으로 의존하는 아슬아슬한 구조 위에 세워진 셈이죠
결국 티는 "당신의 안전을 위해, 당신의 가장 민감한 정보를 내놓으세요"라는 근본적으로 위험한 거래를 제안한 겁니다. 그리고 그 정보를 지킬 최소한의 능력조차 갖추지 못했죠. 보안이 뚫리는 순간 사용자들을 보호한다던 방패는 공격 무기로 바뀌었죠. 이 참사는 우연이 아니라 잘못된 설계가 낳은 필연적인 결과였던 셈입니다.
역사는 반복
사실 티의 몰락은 이례적인 일은 아닙니다. 익명 기반 소셜 앱의 흥망성쇠는 놀라울 정도로 비슷한 패턴을 반복합니다.
- Yik Yak (2013-2017): 대학가를 중심으로 인기를 끌었던 익명 게시판 앱이죠. 사이버불링, 인종차별, 폭탄 테러 위협의 온상이 되면서 몰락했습니다. 문제를 해결하기 위해 실명제를 도입했지만, 그러자 익명성이라는 핵심 재미를 잃은 사용자들이 모두 떠나버렸습니다
- Sarahah (2016-2018): "익명으로 건설적인 피드백을 주고받자"는 취지로 시작했지만, 10대들 사이에서 끔찍한 사이버불링과 자살 조장 메시지가 오가는 도구로 변질되었습니다. 결국 부모들의 청원으로 앱스토어에서 퇴출당했죠
이들의 역사는 익명 앱이 따르는 예정된 실패의 수순을 보여줍니다. ①이상적인 출시 → ②바이럴 성장 → ③악의적 무기화 → ④무능한 대처 → ⑤붕괴.
티 역시 이 공식을 그대로 따랐습니다. 물론 방식은 차이는 있었죠. 익명과 사라하가 주로 플랫폼 내부의 행동(사이버불링 등) 문제로 무너졌다면, 티는 플랫폼 외부의 기술적 공격에 의해 치명타를 입었습니다. 결국, 익명 앱은 내부의 독성을 관리해야 할 뿐만 아니라, 그 독성 때문에 발생한 외부의 적들로부터 자신들의 데이터까지 지켜내야 한다는 것이죠.
안전을 말하기 전에 책임부터
티의 참사는 단순히 한 스타트업의 실패 스토리는 아닙니다. 이것은 빠른 성장이라는 지상 과제 앞에 사용자 안전과 데이터 보호라는 기본적 책임을 내팽개친 테크업계의 민낯을 보여준 것이기도 하죠.
이런 비극이 반복되지 않으려면 무작정 자율 규제에 맡길 수는 없어 보입니다.
익명성을 기반으로 하면서, 운전면허증 같은 민감한 개인정보를 수집하고, 데이팅처럼 사회적으로 민감한 영역에서 사업을 하는 고위험 플랫폼에 대해서는 더 높은 수준의 보안 및 관리 책임을 법적으로 부과해야할 필요도 있어보이죠.
물론, 익명성은 정치적 탄압을 받는 운동가나 내부 고발자, 가정 폭력 생존자 등에게는 꼭 필요한 표현의 자유를 보장하는 중요한 도구이기도 합니다. 하지만 티의 실패는 그 익명성이 무분별하게 상업적 이익과 결합하고 최소한의 안전장치조차 갖추지 못했을 때 얼마나 끔찍한 결과를 낳을 수 있는지를 명확히 보여줍니다.
안전한 공간이라는 약속은 허술한 코드와 지켜지지 않는 정책 위에 세워질 수 없습니다. 어쩌면 익명성이라는건 스타트업이 담기에 너무 큰 사회적인 그릇일 수도 있어 보이네요.
의견을 남겨주세요