‘사이버불링 방지’와 데이터 보존의 역설
여성 전용 커뮤니티 앱 ‘Tea’가 이미지 데이터 유출 사고를 공식 인정했다.
유출된 7만2,000장의 사진 중 약 1만3,000장은 사용자 인증을 위한 셀카와 신분증 이미지였다.
이번 사건은 단순 해킹을 넘어, 플랫폼 초기 설계의 보안 미비와 법적 요건 사이에서 균형을 잃은 데이터 보존 방식이 불러온 구조적 위기다.
“2월 이전 가입자 이미지 유출… 셀카·ID 포함 총 7만 장 이상”
2025년 7월 25일 오전 6시 44분(미국 태평양시 기준), 여성 커뮤니티 플랫폼 ‘Tea’는 시스템 내 ‘비인가 접근’을 감지하고 즉시 조사를 착수했다. 외부 사이버보안 전문가들과 함께 조사한 결과, 2024년 2월 이전 가입자의 이미지 데이터 약 7만2,000장이 무단으로 유출된 사실이 밝혀졌다. 이 중 1만3,000장은 사용자 본인 인증을 위해 제출된 셀카 및 신분증 사진, 나머지 5만9,000장은 앱 내 게시물, 댓글, 메시지에서 노출된 이미지였다.
“이 데이터는 사이버불링 조사와 법 집행기관 요구사항에 따라 보관되던 아카이브에서 유출됐다.”
— Tea 공식 성명
‘레거시 시스템’이 만든 보안 사각지대
이번 유출은 Tea의 초기 저장소(레거시 스토리지)에 남아있던 콘텐츠에서 발생했다. 회사 측은 2024년 2월을 기점으로 보안이 강화된 새로운 시스템으로 마이그레이션을 진행했지만, 이전 콘텐츠 중 일부가 이전되지 않고 기존 구조에 남아 있었다는 점이 확인됐다.
유출 방식 요약:
초기 개발 당시 사용된 이미지 저장 링크(식별자 링크)에 접근 가능
해당 링크가 제대로 폐기되지 않음
인증되지 않은 외부 접근자에 의해 이미지 원본이 대량 노출
결국, Tea 측은 기술적 실수로 이전 시스템에서의 데이터 삭제 및 보안 통제 이행을 간과했다고 볼 수 있다.
‘사이버불링 방지’와 데이터 보존의 역설
Tea 측은 해당 이미지가 “사이버불링 관련 수사 협조”를 위해 보관된 자료라고 밝혔다. 플랫폼의 여성 전용 운영 정책을 위해 2023년까지 셀카+신분증 인증을 의무화했고, 이는 부정가입 및 괴롭힘 방지를 위한 조치였다.
그러나:
ID 저장은 개인정보보호 규제와 상충 위험이 있음
법적 근거 없는 장기 보관은 GDPR 등 국제적 기준에 위배 가능
사진이 사용자의 계정 정보와 직접 연결되지 않았다 해도, 식별 가능한 생체정보가 유출된 점에서 심각한 프라이버시 침해 소지가 있다
피해 범위와 사용자 반응: "계정 삭제해야 하나?"
Tea는 “이메일 주소나 전화번호는 유출되지 않았다”고 밝히며, “2024년 2월 이후 가입자는 이번 유출과 무관하다”고 선을 그었다.
하지만, 다음과 같은 불안이 증폭되고 있다:
ID 유출 우려로 인한 사칭 범죄 가능성
이미지 기반 딥페이크 악용 가능성
“삭제된 줄 알았던 셀카가 여전히 보관되고 있었다”는 신뢰 붕괴
현재 Tea는 계정 삭제 및 데이터 삭제 요청을 받고 있으며, 별도 메일(accounthelp@)로 신청을 받고 있다고 밝혔다.
이번 사고는 단지 이미지 유출의 문제가 아니다.
▶ Tea의 사례는 '개발 초기 안전장치'를 얼마나 면밀히 설계하고 폐기까지 신경 썼는가를 묻는다.
▶ 더불어, 법률과 기술, 윤리의 경계에서 어떤 데이터를 남기고 어떤 데이터를 지워야 하는가에 대한 철학적 질문을 던진다.
“ID 보관은 반드시 최소화·암호화해야 하며, 사용 목적이 종료되면 자동 삭제되도록 설계되어야 한다.”
“사용자가 ‘삭제했다고 믿는’ 데이터는 실제로 삭제되어야 한다. 투명한 데이터 관리가 플랫폼 신뢰를 결정짓는다.”
신뢰는 '보이지 않는 보안 설계'에서 시작된다
이번 Tea 유출 사태는 단순한 해킹 사건이 아니다. 초기 기술 설계 미비, 법적 요구에 의존한 안이한 보존 정책, 이후 보안 시스템 전환 시의 관리 소홀이 복합적으로 맞물리며 발생한 플랫폼 신뢰 붕괴의 전형적인 사례다.
기술의 발전만큼이나 사용자 프라이버시에 대한 플랫폼의 철학과 투명성이 요구된다. 신뢰는 말이 아니라, 보이지 않는 코드와 보안 설계에서 시작된다.
[저작권자ⓒ META-X. 무단전재-재배포 금지]
