|
◇쿠팡이츠 배달원 개인정보, 음식점에 전송
쿠팡은 쿠팡이츠 서버에서 응용프로그램 인터페이스(API)을 통해 배달원의 개인정보가 포함된 정보를 안심번호와 함께 음식점에 전송했다. 이로 인해 음식점에서 사용하는 오터코리아의 주문정보 통합관리 시스템에서 쿠팡이츠 배달원의 실명과 휴대전화번호가 그대로 노출됐다. 오토코리아는 주문 배달 정보를 취합해 음식점에서 보여주는 시스템을 개발한 업체다.
앞서 쿠팡은 지난 2019년 11월 쿠팡이츠 배달원의 개인정보 보호를 위해 안심번호만 음식점에 전송하는 것으로 정책을 변경했다. 하지만 실제로는 2021년 11월까지 배달원의 실명과 휴대전화번호를 그대로 음식점에 전송하고 있었다는 것이 개인정보위의 설명이다.
쿠팡은 2020년 11월부터 쿠팡이츠 서버에서 API를 통해 오터코리아가 음식 주문배달 정보를 수신하는 사실을 인지한 후에도 오터코리아의 서버 접속 허용·차단을 반복하다가 2021년 6월부터는 오터코리아의 서버 접속을 모두 허용했고, 음식점주 등이 오터 프로그램에서 배달원의 실명과 휴대전화번호를 확인할 수 있게 했다.
아울러 쿠팡은 2021년 11월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 24시간을 경과해 유출 통지를 지연한 것으로 확인됐다.
개인정보위에 따르면 오터코리아는 쿠팡이츠에서 전송받은 쿠팡이츠 배달원의 실명과 휴대전화번호를 배달 완료 후에도 파기하지 않고 자사의 오터 시스템에 약 13만5000명의 배달원 개인정보를 계속 보관했다.
이에 개인정보위는 쿠팡에 안전조치 의무를 위반해 배달원 개인정보가 유출된 사실과 개인정보 유출 통지를 지연한 것에 대한 책임을 물어 과징금 2억7865만원, 과태료 1080만원 부과 처분을 내렸다. 배달원의 개인정보를 파기하지 않은 오터코리아에는 개인정보 파기 의무를 준수하도록 시정 명령했다.
김해숙 개인정보위 조사2과장은 이날 오전 정부서울청사에서 열린 브리핑 자리에서 “쿠팡은 우리 위원회에 사소한 오류가 발생한 것이라고 주장하고 있다”면서 “하지만 위원회 조사 결과 2년 간 배달원의 실명과 휴대전화번호가 계속 전달되고 있었기에 사소한 오류나 과실로 보기는 어렵다고 판단했다”고 설명했다.
◇고객 2만여명 주문정보, 다른 오픈마켓 판매자에 노출
또한 쿠팡이 운영하는 판매자 전용 시스템 ‘윙’의 로그인 과정에서 발생한 인증 문제로 인해 해당 판매자에만 보여야 할 2만2440명의 주문자와 수취인의 개인정보가 서로 다른 판매자에도 노출되는 사고가 발생했다. 노출된 정보에는 주문상품 내역과 가격 정보, 배송지 주소 등이 포함됐다. 이와 관련 개인정보위는 과징금 13억1000만원 부과 조치를 의결했다.
조사 결과 쿠팡은 윙의 로그인 인증 서비스에 오픈소스 프로그램을 사용하면서 2021년 5월부터 네트워크 연결 실패 시 자동 재연결되도록 하는 옵션 기능을 활성화해 운영했다.
세션(네트워크 상 두 사용자 사이에서 서비스 구현을 위해 필요한 자원을 하나로 모을 수 있는 연결) 문제 발생 우려로 인해 해당 옵션을 비활성화해야 한다는 경고가 있었음에도 불구하고 쿠팡은 지난해 12월까지 해당 옵션을 활성화 상태로 유지했다. 사용 중인 오픈소스 프로그램 안전성 이슈에 대해 주기적인 취약점 확인·점검 및 개선 조치를 하지 않은 사실도 확인됐다.
개인정보위 관계자는 “웹과 애플리케이션(앱) 서비스를 통해 대규모 개인정보를 처리하는 사업자는 개인정보를 포함한 데이터 통신·연동과 오픈소스를 사용하는 로그인 인증에 대한 취약점 및 이슈를 주기적으로 점검하고 개선 조치를 해야 한다”고 강조했다.