13만여명의 쿠팡이츠 배달원 개인정보와 2만2000명의 고객 주문정보의 유출 사고를 겪은 쿠팡이 개인정보 당국으로부터 16억원에 가까운 과징금·과태료 처분을 받는다.
개인정보보호위원회는 지난 13일 전체회의를 열고 쿠팡에 대해 총 15억8865만원의 과징금에 1080만원의 과태료를 부과하는 처분을 내렸다고 28일 밝혔다. 이번 제재는 2021년 발생한 13만5000명의 쿠팡이츠 배달원 개인정보 유출 및 2023년 쿠팡 판매자 시스템의 2만2000명 고객 주문정보 유출사고와 관련한 건이다.
쿠팡은 2019년부터 쿠팡이츠 배달원 개인정보 보호를 위해 안심번호만 음식점에 전송하는 것으로 정책을 변경했다. 그러나 실제로는 2021년 11월까지 배달원의 실명 및 휴대전화 번호가 안심번호와 함께 음식점으로 전달된 것으로 확인됐다.
쿠팡이츠 서버에서 음식점으로 정보를 전달하는 API(응용 프로그램 인터페이스, 데이터 송수신 규격)에 배달원의 개인정보가 포함된 채로 안심번호와 함께 음식점으로 데이터가 전송됐기 때문이다. 이같은 배달원들의 개인정보는 음식점이 사용하는 오터코리아의 주문정보 통합관리 시스템에 고스란히 노출됐다.
개인정보위에 따르면 쿠팡은 2020년 11월부터 오터코리아가 API를 통해 음식 주문배달 정보를 수신하는 것을 알고 있었음에도 2021년 6월부터 오터코리아의 서버 접속을 모두 허용해줬다. 이에 음식점 주인 등이 오터코리아 시스템(오터)을 통해 배달원 정보를 모두 확인할 수 있었다. 오터코리아는 쿠팡이츠에서 전송받은 쿠팡이츠 배달원 13만5000명의 실명과 휴대전화 번호를 배달 완료 후에도 파기하지 않고 자사의 시스템에 보관한 것으로 나타났다.
이에 개인정보위는 쿠팡에 안전조치 의무 위반으로 배달원 개인정보가 유출된 사실, 개인정보 유출 통지를 지연한 사실 등에 대한 책임을 물어 과징금 2억7865만원에 과태료 1080만원을 부과했다. 또 개인정보처리 시스템의 안전한 연동과 책임 추적성을 강화하기 위한 개선방안을 마련할 것을 권고했다. 오터코리아는 개인정보 파기의무 준수 시정명령과 함께 사실공표 처분을 받았다.
이와 별도로 쿠팡은 2023년 판매자 전용 시스템에 로그인하는 과정에서 발생한 인증 문제로 해당 판매자에게만 보여야 할 2만2440명의 주문자 및 수취인의 개인정보가 서로 다른 판매자에게 유출되는 사고에 대한 조사도 받았다. 조사 결과 쿠팡은 판매자 전용 시스템의 로그인 인증 서비스에 오픈소스 프로그램을 사용하면서 2021년 5월부터는 네트워크 연결에 실패했을 때 자동으로 재연결되도록 하는 옵션기능을 활성화해 운영했다. 쿠팡은 자동 재연결 옵션을 사용하지 말아야 한다는 경고가 있었음에도 지난해 12월까지 이 옵션을 계속 유지해왔다. 이 과정에서 2만2440명의 정보가 유출되기에 이른 것이다.
이 2만2440명의 개인정보 유출에 대해 개인정보위는 쿠팡에 13억1000만원의 과징금 처분을 내렸다.
개인정보위는 “웹·앱 서비스를 통해 대규모 개인정보를 처리하는 사업자는 개인정보를 포함한 데이터 통신·연동과 오픈소스를 사용하는 로그인 인증에 대한 취약점 및 이슈를 주기적으로 점검하고 개선조치를 해야 한다”고 강조했다.