개인정보위, 쿠팡에 과징금 15억원…"정보 유출 대응 부실"

오터코리아, 개인정보 관리 위반 시정 명령…쿠팡 "일시적 오류로 발생"

컴퓨팅입력 :2024/11/28 13:59

개인정보보호위원회가 쿠팡의 개인정보 유출 사고에 대한 과징금·과태료 15억8천865만원 부과를 의결했다. 개인정보 파기 의무를 위반한 오터코리아에는 시정 명령을 내렸다.

개인정보위는 쿠팡의 배달원·고객 주문정보 유출 사고를 조사한 결과를 이같이 28일 발표했다. 개인정보 유출 사고는 쿠팡이 개인정보 안전조치를 제대로 시행하지 않은 점이 원인인 것으로 밝혀졌다.

쿠팡이츠 배달원 개인정보 유출 사고는 안심번호 대신 실명과 휴대전화번호가 음식점에 전송되면서 발생했다. 쿠팡은 2019년 정책 변경 이후에도 2021년까지 배달원 정보를 전송했고, 오터코리아의 주문관리시스템을 통해 정보가 노출됐다.

고학수 개인정보보호위원회 위원장. (사진=개인정보보호위원회)

쿠팡 판매자시스템에서는 네트워크 연결 실패 시 자동 재연결 옵션을 활성화한 상태로 운영됐다. 이로 인해 판매자 2만2천여 명 주문자·수취인 정보가 다른 판매자에게 노출되는 사고가 일어났다.

개인정보위는 쿠팡에 배달원 정보 유출과 고객 주문정보 유출에 대해 과징금을 부과하고 개인정보처리시스템의 안전조치 강화를 권고했다. 오터코리아는 개인정보 파기 의무 위반에 대한 시정 명령을 받았다.

쿠팡은 배달원 정보 유출 문제를 2021년 11월 개선했으나 고객 정보 유출 사고에서는 오픈소스 프로그램 취약점 관리를 소홀히 해 2023년까지 안전성 문제를 방치한 것으로 드러났다.

관련기사

이에 쿠팡은 "수 년 전 외부 업체의 과실이나 소프트웨어의 일시적 오류로 인해 발생한 건"이라며 "재발방지를 위해 필요한 모든 조치를 완료했다"고 입장을 밝혔다.

개인정보위 최장혁 부위원장은 "대규모 개인정보를 다루는 사업자는 데이터 통신과 오픈소스 취약점을 주기적으로 점검하고 개선해야 한다"고 강조했다.