최장혁 개인정보보호위원회 부위원장이 27일 오후 서울 종로구 정부서울청사에서 개최된 2024년 제20회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. [개인정보보호위원회 제공]

[헤럴드경제=권제인 기자] 고객 2만2000명과 쿠팡이츠 배달원 13만5000명의 개인정보를 유출한 쿠팡이 과징금 15억여 원을 물게 됐다.

28일 개인정보보호위원회는 전날 서울 종로구 정부서울청사에서 개최된 제20회 전체회의에서 쿠팡에 고객 주문정보 유출로 과징금 13억1000만원을 부과하고, 배달원 개인정보 유출로 과징금 2억7865만원과 과태료 1080만원을 부과했다고 밝혔다.

개인정보위 조사에 따르면 2023년 쿠팡이 운영하는 판매자 전용 시스템(Wing) 로그인 과정에서 인증문제가 발생해 주문자 및 수취인 2만2440명의 개인정보가 서로 다른 판매자에게도 유출됐다.

쿠팡은 오픈소스 프로그램의 안정성에 대해 주기적으로 취약점 확인, 점검 및 개선 조치를 하지 않은 것으로 확인됐다.

쿠팡은 판매자 전용 시스템의 로그인 인증 서비스에 오픈소스 프로그램을 사용하면서 2021년 5월 네트워크 연결 실패 시 자동으로 재연결되도록 하는 옵션 기능을 활성화했다. 이후 2022년 7월 해당 옵션 기능에 문제가 발생해 기능을 사용하지 말라는 경고가 있었지만, 쿠팡은 2023년 12월까지 해당 옵션을 활성화 상태로 유지했다.

또한, 쿠팡은 쿠팡이츠 배달원의 개인정보 보호를 위해 2019년 11월 안심번호만 음식점에 전송하는 것으로 정책을 변경했지만, 실제로는 2021년 11월까지 배달원의 실명과 휴대전화 번호를 그대로 전송했다.

쿠팡이츠 서버에서 음식점으로 정보를 전달하는 응용 프로그램 인터페이스(API)에 배달원의 개인정보가 포함된 채로 안심번호가 음식점에 전송됐고, 음식점에서 사용하는 오터코리아의 주문정보 통합관리시스템에는 쿠팡이츠 배달원의 실명과 휴대전화 번호가 그대로 노출됐다.

쿠팡은 2020년 11월 해당 사실을 인지한 후에도 오터코리아가 서버에 접속하도록 허용과 차단을 반복했고, 2021년 6월부터는 서버접속을 모두 허용했다. 이에 따라 음식점주는 ‘오터(Otter)’ 프로그램을 통해 배달원의 실명과 휴대전화번호를 모두 확인할 수 있게 됐다.

쿠팡은 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 24시간을 경과해 유출 통지를 지연하기도 했다.

아울러 오터코리아는 쿠팡이츠에서 전송받은 배달원의 실명과 휴대전화를 배달 완료 후에도 파기하지 않고 자사 오터 시스템에 13만5000명의 개인정보를 계속 보관하고 있었다. 이에 따라 개인정보위는 오터 코리아에 개인정보 파기 의무 준수하도록 시정명령했다.

쿠팡은 2021년 11월 응용프로그램 인터페이스(API)를 통해 배달원 개인정보가 음식점으로 전송되지 않도록 개선을 완료했다.