개인정보위, '15만 개인정보 유출' 쿠팡에 과징금 16억 부과
안심번호 정책 도입 후 2년 간 지속
2만여명 고객 주문 정보도 노출
배달원과 고객의 개인정보 15만여건을 유출한 쿠팡이 16억 원에 이르는 과징금 및 과태료 부과 처분을 받았다.
개인정보보호위원회는 지난 27일 제20회 전체회의를 열고 개인정보보호법을 위반한 쿠팡에 총 15억8,865만 원의 과징금·과태료를 부과하기로 의결했다고 28일 밝혔다.
음식 배달 서비스 '쿠팡이츠'에서 2021년 약 13만5,000명의 배달원 개인정보가 유출된 사고와 2023년 약 2만2,000명의 고객 주문 정보가 유출된 사고를 개보위가 조사한 결과, 쿠팡은 2021년 11월까지 배달원의 실명과 연락처를 음식점에 넘긴 것으로 파악됐다.
쿠팡은 쿠팡이츠 서버에서 응용프로그램 인터페이스(API)를 통해 배달원의 개인정보가 포함된 정보를 안심번호와 함께 음식점에 전송했다. 이 때문에 음식점이 사용하는 주문·배달 정보 통합관리시스템 '오터코리아'에서 쿠팡이츠 배달원의 실명과 연락처를 확인할 수 있었다.
앞서 쿠팡은 2019년 11월 쿠팡이츠 배달원의 개인정보를 보호하기 위해 안심번호만 음식점에 전송하는 것으로 정책을 변경했지만, 실제로는 2021년 11월까지 음식점에 노출했다는 게 개보위 설명이다. 쿠팡은 2021년 11월 개인정보 유출 사실을 인지한 뒤 24시간 이내에 유출 사실을 통지해야 하는 규정도 지키지 않았다.
이에 개보위는 안전조치 의무를 위반하고 배달원 개인정보를 유출한 사실과 유출 통지 지연 책임을 물어 쿠팡에 과징금 2억7,865만 원, 과태료 1,080만 원 부과 처분을 내렸다. 배달원 개인정보를 보관한 오터코리아에는 개인정보 파기 의무를 준수하도록 시정 명령을 내렸다.
또 개보위 조사 결과 지난해 쿠팡을 이용한 고객 중 2만2,440명의 주문 정보가 다른 판매자에게 노출된 사실도 드러났다. 쿠팡은 판매자 전용시스템 '윙'의 로그인 인증 서비스에 안전성이 취약한 오픈소스 프로그램을 사용했고, 그 결과 고객이 상품을 주문한 판매자가 아닌 다른 판매자도 고객의 이름과 주문 내역·가격정보·배송지 주소 등을 볼 수 있었다. 이에 개보위는 쿠팡에 과징금 13억1,000만 원을 부과하고, 개보위 홈페이지에 그 사실을 공표하기로 했다.
김해숙 개보위 조사2과장은 "쿠팡은 사소한 오류가 발생한 것이라고 주장하지만, 위원회 조사 결과 2년간 배달원의 실명과 휴대전화번호가 계속 전달됐기 때문에 사소한 오류나 과실로 보기는 어렵다고 판단했다"고 설명했다. 이어 "웹과 모바일애플리케이션(앱)을 통해 대규모 개인정보를 처리하는 사업자는 로그인 인증에 대한 취약점을 주기적으로 점검하고 개선해야 한다"고 강조했다.
권정현 기자 hhhy@hankookilbo.com
관련기사
-
-
-
-
-