개인 거래내역 누구나 볼 수 있다? 스타트업도 보안주의보

“2020년 5월에는 이렇게 거래했어요” 당근마켓 이용자 A씨는 5월 거래 내역이 남긴 ‘당근가계부’를 받았다. 당근가계부는 당월 거래 건수와 총 거래액, 무료 나눔 내역을 정리해서 제공하는 일종의 월간 리포트다. 당근가계부에서는 같은 지역 주민들의 총 거래건수와 나눔, 중고거래로 인한 환경 영향까지 확인할 수 있다.

A씨는 지인에게 활동 내역을 공유하게 위해 URL을 복사했다. 그러던 중 공유 URL에 특정 숫자가 포함돼 있다는 사실을 알게됐다. 호기심에 다른 숫자를 넣어본 A씨는 다소 놀랐다. 숫자만 바꾸면 다른 사용자의 월별 거래 정보도 확인할 수 있었다. URL에 포함된 특정 숫자는 당근마켓 회원가입 시 얻는 고유번호로 특정 사용자 활동 내역을 조회하는 것도 가능했다.

이러한 사실이 한 커뮤니티를 통해 알려지면서 정보 공개 범위를 조율해야 한다는 목소리가 나왔다. 구체적인 판매물품은 사용자 개인만 볼 수 있지만 공개 동의 없이 개인 거래활동을 누구나 볼 수 있다는 점이 거부감을 불러일으킨다는 이유에서다. 특히 링크로 접속하면 당근마켓 회원이 아니더라도 내역을 확인할 수 있다는 점에 우려를 표했다.
한 당근마켓 이용자는 “누군가 내 거래활동을 본다면 민망할 것 같다”며 “판매 정보를 알리고 싶지 않아서 판매상품을 ‘숨기기’ 처리하는 경우도 있는데 당근마켓 가입 이후 월별 거래액수와 건수, 사는 지역까지 아무나 볼 수 있는 건 찜찜한 부분”이라고 밝혔다. 별다른 문제가 되지 않는다는 반응도 있다. 사용자 판매내역은 프로필에서 확인할 수 있는 공개 정보로 총 판매 건수나 금액은 따로 조회하지 않아도 유추 가능하다는 이유에서다.
불특정인이 타인의 거래 정보를 공유하는 것에 대한 이용자 반응은 엇갈리고 있지만 전문가는 기술적 보완이 필요하다고 입을 모았다. 업계 관계자는 “굳이 모든 정보를 비밀로 해야할 필요는 없지만 어떤 정보를 담고 있느냐에 따라 보안을 추가해야할 것 같다”며 “고유키 값을 바꿀 때 아무나 볼 수 없도록 유니크한 키 값을 같이 보내는 방식으로 보완할 필요가 있다”고 말했다.
김태림 법무법인 비전 변호사는 “당근가계부를 확인할 때 사용되는 식별번호가 회원가입 시 휴대폰 인증으로 부여된 번호지만 실제 거래했던 사람 외에는 상대방을 특정할 수 없어 사용자 개인 정보 수집 제한을 다루는 정보통신망법 23조에 저촉되는 부분은 없다고 판단된다”며 “현재 당근마켓 사용자가 폭발적으로 증가하고 있고 여러 단계를 통해 정보가 악용될 가능성을 고려할 때 이를 사전에 방지하기 위한 기술적 조치가 필요하다”고 전했다.

취재가 시작되자 당근마켓도 뒤늦게 입장을 내놨다.  당근마켓 관계자는 “이용자의 대화명과 회원가입 시 임의로 부여한 고유 숫자, 판매내역, 활동지역, 매너온도 등은 이미 공개가 된 내용”이라며 “당근가계부 역시 특별 정보를 식별할 수 있는 민감 정보가 포함되어 있지 않다고 봤다”고 말했다. “하지만 정보가 공개되는 것을 불편하게 생각하는 이용자들이 있어서 현재는 내역을 볼 수 없도록 수정, 배포 완료한 상태”라는 입장이다. 관련 문의 후 당근마켓은 사용자 고유번호가 적힌 링크를 더 이상 사용할 수 없도록 조치했다.

수정 후 모습. 링크 내 사용자 고유숫자 대신 임의의 알파벳이 사용됐다.
한편 당근마켓은 2015년 출시 이후 앱 누적 다운로드 수 1,900만, 누적 가입자 수 1,000만 명을 돌파한 지역 기반 모바일 중고거래 서비스다. 중고거래뿐 아니라 소상공인 동네 주민을 대상으로 한 지역광고 서비스를 운영하고 있다. 4월 활성 이용자 수는 700만으로 모바일 중고거래 서비스를 넘어 지역 생활 플랫폼으로 확장하고 있다.