오늘은 어제 전체회의에서 의결된 쿠팡의 유출 사고 2건에 대한 내용을 보고드리겠... 말씀드리겠습니다.
쿠팡이 지난 2021년에 개인정보가 약 13만 건이 유출된 사건이 하나 있었습니다. 이때 유출된 사건은 배달원의 정보가 유출된 사건이었고요. 또 하나의 유출 사건은 2023년에 약 2만 2,000명의 개인정보가 유출된 사건이었는데 이거는 쿠팡 오픈마켓에서 관리하고 있는 오픈마켓 정보를 관리하는 판매자 시스템에서 개인정보가 유출된 사건입니다.
그래서 2개의 유출 사건에 대해서 저희는 총 15억 8,865만 원의 과징금과 과태료를 부과하였고, 또 이 과정에서 같이 연결되어 있는 ‘테크놀로지인프라스트럭처코리아’라고 해서 아까 배달원 정보를 중간에서 가져가고 있는 시스템 회사에 대해서도 개인정보 파기 의무를 준수하도록 시정명령을 하는 것으로 전체 내용이 의결되었습니다.
각각에 대해서는 먼저 간단하게 설명드리겠습니다.
첫 번째, 쿠팡이츠 배달원 정보가 유출된 사건입니다.
여기에는 아까 말씀드렸듯이 쿠팡뿐만이 아니라 테크놀로지인프라스트럭처코리아라고 해서 주문 정보를 음식점에 제공해 주는 중간 시스템을 개발해 주는 업체가 있었습니다. 저희가 여기서 개발한 시스템을 오토코리아라고 하고 있는데 이 2개 업체가 관련된 내용이고요.
자세한 내용을 살펴보면 쿠팡은 그러니까 2019년 11월부터 개인정보, 이용자의 개인정보뿐만 아니라 배달원의 개인정보도 잘 보호하겠다는 취지로 음식점에 배달원의 이름이나 전화번호를 전달하지 않고 안심번호만 전달해서 음식점에서 배달원과 통화할 때는 안심번호로만 통화를 할 수 있게 하겠다, 라고 정책을 변경하고 그때부터 시스템을 변경하였습니다.
그런데 실제로는 2021년 이 사고가 발생할 때까지 안심번호를 전송하는 것과 함께 그 배달원의 실명과 휴대전화 번호를 같이 그대로 전송하고 있었고 그러다 보니 쿠팡의 배달원 정보를 전송받고 있던 오토코리아에서도 안심번호뿐만 아니라 실명과 전화번호를 같이 전송받으면서 오토코리아가 음식점에 제공하고 있던 시스템에서는 안심번호가 아니라 배달원의 실명과 휴대전화 번호가 그대로 노출되어서 이걸 저희가 유출로 판단한 그런 사건이 되겠습니다.
이 과정에서 저희가 중요하게 생각했던 점은 쿠팡과 오토코리아 또는 쿠팡과 음식점에 있는 시스템 간에 API를 통해서 정보를 주고받고 있었는데 이 API에 필요 없는 과다한 개인정보를 포함해서 전송한 부분에 대해서 문제가 심각하다, 라고 저희는 판단한 그런 사항이 되겠습니다.
그다음에 이 과정에서 오토코리아는 쿠팡과 주기적으로 정보를 주고받고 있었는데 오토코리아가 이 전송받은 배달원의 정보를 파기하지 않고, 보통 일반적인 배달시스템에서는 배달이 완료되고 최소 하루 정도, 짧게는 2~3시간 이후에는 이 배달원의 정보가 아예 보이지 않게 처리를 했었습니다.
그런데 이 오토코리아는 이 받은 정보를 2년 동안 그대로 전부 다 서버에 저장하고 있어서 이 부분에 대해서는 저희가 오토코리아에 대해서 이런 정보들을 주기적으로 파기하라, 라는 시정명령을 같이 하게 되었습니다.
또 하나는 조금 전에 말씀드렸던 쿠팡과 오토 간에 API로 통신한다, 라고 했는데 쿠팡과 API로 통신하고 있는 여러 업체들이 있어서 이런 여러 업체들과는 안전하게 연동을 해서 또는 이게 누가 통신을 하고 있는지 책임 추적성을 확인할 수 있도록 개선 방안을 마련하도록 그 사실을 쿠팡에는 개선 권고를 같이 하게 되었습니다.
이게 첫 번째 사건이고 두 번째 사건은 쿠팡의 판매자 시스템이라고 있습니다. 판매자 시스템은 뭐냐 하면 쿠팡이 오픈마켓이다 보니까 쿠팡 오픈마켓에 입점한 판매자들이 여러 명이 있을 텐데 이 판매자들이 들어와서 쿠팡에서 주문된 내역이라든지 쿠팡에 올리는 상품이라든지 이런 걸 관리하는 그런 시스템이 되는데요.
이 쿠팡의 판매자 시스템에 판매자들이 로그인하는 과정에서 오류가 발생하면서 다른 판매자의 정보를 볼 수 있게 되었고 그러다 보니까 다른, 해당 판매자에게만 보여야 될 주문자 정보, 약 2만 2,440명의 주문자 정보가 다른 사람한테 보여지는 이런 유출 사고가 발생하게 되었습니다.
그래서 이거를 저희가 조사해 보니까 이 판매자가 쓰고 있는 판매자 전용 시스템에 로그인하고 있는 과정에서 오픈소스를 사용하고 있었습니다. 그런데 이 오픈소스를 사용하는데 이 오픈소스가 안전성이 조금 떨어지다 보니까 2021년 5월부터 네트워크를 연결했다가 재가동하는 과정에서 문제가 있을 수 있다, 그래서 이거에 대한 옵션을 활성화하지 말아 달라, 라는 공식적인 문제 제기가 2021년 7월부터 있었는데 이 옵션을 쿠팡은 계속 활성화한 상태로 활용을 하고 있어서 그 부... 활성화된 상태를 유지하다 보니까 이 오픈소스 프로그램에서 문제가 발생해서 이런 유출 사고가 발생한 그런 케이스가 되겠습니다.
그래서 이거에 대해서 저희는 쿠팡에게 과징금 13억 1,000만 원을 부과했고 그 사실을 저희 홈페이지에 공표하는 것으로 결정하였습니다.
그래서 저희 개인정보위원회는 이렇게 웹이나 앱 같은 서비스를 대규모로, 서비스를 이용해서 대규모로 개인정보를 처리하는 사업자가 데이터를 서로 서비스 간에 주고받거나 또는 로그인을 하거나 이런 과정에서 취약점이 없도록 주기적으로 점검하고 개선하도록 해야 한다, 라는 점을 다시 한번 말씀드립니다.
감사합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 지지난주에도 전체회의 때 이거 논의했던 거로 알고 있는데 그때 결론을 못 내서 이번까지 넘어왔던 이유가 뭔가요?
<답변> 그때 저희가 결론을 못 내린 것이 아니고요. 그때 저희 위원님들이 아홉 분이십니다. 아홉 분이고 정족인원이 아홉 분에서 과반이 넘어야 성원이 돼서 이 회의가 진행되는데 그 당일에 저희가 논의 과정이 조금, 다른 안건도 있고 해서 길어지면서 이 부분에 대해서 논의하는 중간에 일부 위원님들께서 일정이 있으셔서 회의가 중간에 중단되면서 발생한 일이지, 특별한 이슈가 있어서 이게 보류가 됐던 그런 사안은 아닙니다.
<질문> 오토코리아와 쿠팡의 관계가 어떻게 되는지 궁금한데요. 만약에 그냥 단순히 외주를 준 거라면 쿠팡 외 오토의 시스템을 이용하는 다른 곳은 또 없는지, 그리고 그곳에서 또 정보 유출 사고가 있었던 건 없는지 궁금하고요.
두 번째, 판매자 시스템을 통해서 고객 정보 유출된 사건에 대해서 주문자 정보라는 거는 주문내역 외에 또 다른 어떤 정보가 포함이 되는 건지 궁금합니다.
<답변> 먼저, 첫 번째부터 말씀을 드리면 오토코리아는 어떤 걸 하고 있는 거냐 하면 배달... 주문 배달 정보를 취합을 해서 음식점에서 보여주는 시스템을 개발하는 업체입니다. 그런데 저희 배달 중개해 주는 주문 중개 서비스들이 쿠팡만 있는 것이 아니라 배달의민족도 있고 요기요도 있고 이거를 음식점 입장에서 보자면 한 군데서 세 군데와 계약을 하고 있을 때 3개의 시스템을 다 띄워놓고 봐야 되니까 좀 불편하잖아요. 그래서 이런 걸 통합해서 보여줄 수 있는 시스템을 만들어서 납품하는 업체 중의 하나가 오토코리아였고요.
그래서 저희가 쿠팡과 오토코리아는 직접적인 관계는 없고, 오토코리아가 자체적으로 시스템을 만들어서 쿠팡 서버에 접속해서 이 정보들을 가져간 것인데 그 과정에서 오토코리아는 음식점이, 음식점에 서비스를 하다 보니까 음식점에 부여된 아이디와 비밀번호를 이용해서 쿠팡 시스템에 접속하는 거고, 저희 오픈마켓에서는 셀러툴이라고 해서 판매자들이 여러 오픈마켓에 상품들을 올리고 판매할 때 이걸 한 시스템에서 통합해 주는 시스템들이 그런 게 있습니다. 이것도 동일한 성격의 시스템으로 보면 될 것 같고요.
두 번째, 판매자 시스템에서 보였던 주문자 정보는 저희가 알고 있는, 저희가 주문을 하고 나면 제가 누구고 제 이름, 그다음에 주문 상품 내역, 그다음에 그거에 대한 가격정보, 그다음에 배송지 주소 이런 것들이 전송되잖아요. 그런 정보를 봤다, 라고 생각하시면 될 것 같습니다.
<질문> 과징금 규모가 쿠팡 매출액 비해서 생각보다 많이 적은 것 같은데 이게 어떻게 산출된 건가요?
<답변> 일단 첫 번째, 주문 중개 같은 경우는 배달 수수료가 기본이다 보니까, 이게 구법 기준이라서 관련 매출액 기준입니다. 그래서 구법에서 이 시스템이 배달 중개 시스템이라서 그 배달 중개 시스템에서 발생한 수수료를 기준으로 판단해서 산출된 것이고요.
두 번째, 판매 시스템도 저희 기준이 이 신법 기준에서도 전체 매출액에서 관련 없는 매출액을 제외하다 보니까 여기서 관련된 매출액의 범위가 판매자 시스템이어서 여기 주문 중개를 하는 이런 오픈마켓에서는 판매자가 판매한 제품에 대한 수수료가 기본적으로 매출액이 됩니다. 그래서 그 판매자들이 발생시킨 매출에서 발생한 수수료로 산정한 것입니다.
<질문> ***
<답변> 네, 맞습니다.
<질문> ***
<답변> 네, 맞습니다.
<질문> ***
<답변> 이게 배달 중개수수료로 한정한 것이기 때문에 배달 중개수... 이게 시스템이 쿠팡이츠 시스템으로 갔을 때 그거는 조금 산정을 해봐야 되는데 크게 차이가 날 것 같지는 않습니다.
이거 두 시스템 다 저희가 논의하는 과정에서 일단 첫 번째 시스템 같은 경우는 안심번호라는 것이 저희가 의무적으로 꼭 도입해야 되는 것은 아닌데 쿠팡 입장에서는 조금 더 개인정보를 잘 보호해 보겠다는 취지에서 도입했다가 문제가 생긴 것이고, 그런데 그 문제가 된 정보들이 저희가 일반적으로 예측할 수 있는 정보, 어떻게 보면 배달을 하려면 기본적으로 배달원의 정보가 전달돼야 된다, 라고 쿠팡에서 많이 얘기했고 그 부분이 조금 많이 감안이 되어서 감경이 조금 된 부분이 있습니다.
<질문> ***
<답변> 불가항력이라는 거는 제가 어떤 부분을 불가항력이라고 생각하는지는 잘 모르겠습니다. 왜냐하면 저희한테 주장한 거는 '이건 사소한 오류였다.'라고 일단 주장하고 있는데 저희가 봤던 것은 이게 2년간 계속, 2년간 실명하고 휴대전화 번호가 전달되고 있었기 때문에 그걸 사소한 오류로 보기는, 과실이나 오류로 보기는 어려웠다, 라고 저희는, 어렵다, 라고 판단했습니다.
<답변> (사회자) 더 이상 질문 없으시면 이상으로 오늘 브리핑 마치도록 하겠습니다. 참석해 주셔서 감사합니다.