개인정보위, 쿠팡, 개인정보 유출로 과징금 16억원 부과 

[이코노믹데일리] 쿠팡이 배달원과 주문자 등 약 16만 명의 개인정보를 유출한 사고로 개인정보보호위원회로부터 15억8865만 원의 과징금과 과태료 처분을 받았다.  

개인정보보호위원회(이하 개인정보위)는 27일 열린 전체회의에서 쿠팡의 개인정보 보호법 위반에 대해 이 같은 제재를 의결했다고 밝혔다. 이번 사건은 2021년 발생한 약 13만5000명의 쿠팡이츠 배달원 정보 유출과 2022년 약 2만2000명의 주문자 정보 유출 사고를 조사한 결과에 따른 조치다.  

조사 결과 쿠팡이츠는 배달원 개인정보 보호를 위해 안심번호만 음식점에 제공한다고 밝혔지만 실제로는 배달원의 실명과 휴대전화번호가 포함된 정보를 전송한 것으로 확인됐다. 특히 음식점에서 사용하는 주문관리 프로그램을 통해 이 정보가 노출됐고 일부 시스템에서 배달 완료 후에도 개인정보가 파기되지 않고 보관된 사실이 드러났다.  

개인정보위는 쿠팡이 개인정보 유출 사실을 알고도 법정 기한인 24시간 내 통지를 하지 않았다는 점도 문제 삼았다.  

쿠팡은 운영하는 판매자 전용 시스템에서도 로그인 인증 과정의 오류로 약 2만2440명의 주문자와 수취인 정보를 잘못된 판매자에게 노출하는 사고를 일으켰다. 쿠팡은 오픈소스 프로그램을 사용하면서 취약점 점검과 개선 조치를 하지 않은 것으로 드러났다.  

이에 개인정보위는 쿠팡에 총 15억8865만 원의 과징금과 과태료를 부과했다. 개인정보 처리 시스템의 안전성을 높이기 위한 개선 방안도 권고했다.  

배달원 정보를 보관했던 주문관리 프로그램 개발사 오터코리아는 개인정보를 파기하지 않고 저장해온 것으로 확인됐다. 이에 개인정보위는 오터코리아에 개인정보 파기 의무를 준수하도록 명령하고 관련 사실을 공표하도록 했다.  

개인정보위 관계자는 “대규모 개인정보를 처리하는 사업자는 데이터 통신과 로그인 인증 시스템의 취약점을 주기적으로 점검해야 한다”고 강조했다.  

한편 쿠팡은 "외부 업체의 과실이나 일시적 소프트웨어 오류로 발생한 사고"라며 "재발 방지를 위한 모든 조치를 완료했다"고 밝혔다.