쿠팡 배달노동자가 '퇴장'을 뜻하는 레드카드를 들고 있다. (사진=연합뉴스)

[위즈경제] 이필립 기자 = 쿠팡이 약 15만 명의 개인정보를 유출해 15억여원을 물게 됐다.

개인정보보호위원회(이하 개인정보위)는 개인정보보호법을 위반한 쿠팡에 총 15억 8865만원의 과징금·과태료를 부과했다고 28일 밝혔다.

◇ 13만5천 명 배달원 개인정보 유출

쿠팡은 2019년 11월부터 음식점에 안심번호만 전달해 배달원의 개인정보를 보호하도록 정책을 변경했다. 그러나 실제로는 2년 뒤인 2021년 11월까지 배달원의 실명과 연락처를 그대로 음식점에 넘긴 것으로 드러났다.

조사 결과, 배달원의 실명과 연락처는 쿠팡의 응용프로그램인터페이스(API)를 통해 오터코리아가 운영하는 주문정보 통합관리시스템에 그대로 노출됐다. 쿠팡은 2020년 11월 이 사실을 인지하고도 오터코리아의 서버 접속을 허용했다. 이로 인해 음식점주 등은 배달원의 실명과 연락처를 계속 확인할 수 있었다.

또한 쿠팡은 2021년 11월에 이 사실을 인지했음에도 정당한 사유 없이 24시간 늦게 신고했다.

이에 개인정보위는 쿠팡에 과징금 2억7865원과 과태료 1080만원을 부과하고, 쿠팡에 개선방안을 마련하도록 권고했다.

오터코리아는 쿠팡이츠에서 전송받은 배달원의 개인정보를 계속 보관해 개인정보위로부터 시정 명령을 받았다.

◇ 2만2천여 명 고객 주문정보 유출

주문을 받은 판매자에게만 보여야 할 주문자·수취인의 개인정보가 다른 판매자에게도 유출되는 일도 있었다. 개인정보위는 쿠팡 판매자전용시스템(윙·Wing)의 인증 문제가 원인이라고 밝혔다.

쿠팡은 인증 서비스에 오픈소스 프로그램을 쓰며 2021년 5월부터 ‘네트워크 연결 실패 시 자동 재연결’ 옵션 기능을 활성화했다. 2022년 7월 해당 기능을 활성화하지 말라는 경고가 있었지만, 쿠팡은 경고 이후에도 1년 5개월가량 활성화 상태를 유지했다.

당국은 쿠팡이 오픈소스 프로그램에 대해 주기적인 취약점 점검 및 개선 조치를 하지 않은 것으로 보고 과징금 13억1000만원을 부과했다.

개인정보위는 대규모 개인정보를 처리하는 사업자들에게 “데이터 통신·연동과 오픈소스를 사용하는 로그인 인증을 주기적으로 점검하고 개선해야 한다”고 강조했다.