2만 고객·13만 배달원 정보 유출…쿠팡 16억 과징금

판매자 시스템 인증 문제
확인 점검·개선 조치 방관

연합뉴스

쿠팡이 2만여명의 고객 정보와 13만여명의 배달원 정보를 유출해 16억원의 과징금 처분을 받았다.

개인정보보호위원회는 28일 개인정보 보호법을 위반한 쿠팡에 총 15억8865만원의 과징금·과태료를 부과하기로 의결했다고 밝혔다.

개인정보위는 유출 신고에 따라 2023년 쿠팡 판매자 시스템을 통한 고객 주문정보 유출 사고와 2021년 쿠팡이츠 배달원 개인정보 유출 사고를 조사했다.

조사 결과 쿠팡이 운영하는 판매자 전용시스템 윙(Wing) 로그인 과정에서 발생한 인증 문제로 해당 판매자에게만 보여야 할 2만2440명의 주문자의 개인정보가 서로 다른 판매자에게도 유출됐다. 유출된 정보는 주문자 이름, 주문 내역, 상품 가격 정보, 배송지 주소 등이다.

쿠팡은 윙 로그인 인증 서비스에 오픈소스 프로그램을 사용하면서 2021년 5월부터 네트워크 연결 실패 시 자동 재연결되도록 하는 옵션 기능을 활성화했다. 2022년 7월에는 기술적인 문제로 해당 옵션 기능을 사용하지 않도록 경고가 있었지만 쿠팡은 2023년 12월까지 이 기능을 활성화 상태로 유지했다. 오픈소스 프로그램 안전성 이슈에 대해 주기적인 취약점 확인·점검 및 개선 조치를 하지 않은 것이다.

이에 개인정보위는 쿠팡에 과징금 13억1000만원을 부과하고 개인정보위 홈페이지에 그 사실을 공표하기로 했다.

아울러 쿠팡은 2019년 11월부터 쿠팡이츠 배달원의 개인정보 보호를 위해 안심번호만 음식점에 전송하는 것으로 정책을 변경했으나 실제로는 2021년 11월까지 배달원의 개인정보를 음식점에 보냈다. 이에 따라 음식점에서 사용하는 오터코리아의 주문정보 통합관리시스템에서 쿠팡이츠 배달원의 실명과 휴대전화 번호가 그대로 노출됐다.

쿠팡은 2020년 11월부터 쿠팡이츠 서버에서 응용프로그램인터페이스(API)를 통해 오터코리아가 음식 주문배달 정보를 수신하는 사실을 인지했다. 그러나 이후에도 오터코리아의 서버 접속 허용·차단을 반복하다가 2021년 6월부터는 오터코리아의 서버 접속을 모두 허용해 유출 사태로 이어졌다.

쿠팡은 2021년 11월23일 개인정보 유출 사실을 인지했지만 정당한 사유 없이 24시간을 경과해 유출 통지를 지연한 사실도 있었다. 오타 코리아는 쿠팡이츠에서 전송받은 13만5000명의 배달원의 개인정보를 배달 완료 후에도 파기하지 않고 계속 보관하고 있었다.

개인정보위는 쿠팡에 안전조치 의무를 위반해 배달원 개인정보가 유출된 사실과 개인정보 유출통지를 지연한 것에 대한 책임을 물어 과징금 2억7865만원, 과태료 1080만원을 부과했다. 아울러 개인정보처리 시스템의 안전한 연동을 위해 개선방안을 마련하도록 권고했다.

산업IT부 최유리 기자 yrchoi@asiae.co.krⓒ 경제를 보는 눈, 세계를 보는 창 아시아경제
무단전재, 복사, 배포 등을 금지합니다.

오늘의 주요 뉴스

헤드라인

많이 본 뉴스