개인정보보호위원회(이하 개인정보위)는 개인정보보호법 위반으로 쿠팡과 오터코리아에 총 15억8865만원의 과징금과 과태료를 부과하고, 시정 명령을 내렸다고 28일 밝혔다.
쿠팡은 쿠팡이츠 배달원 개인정보와 판매자시스템(Wing) 고객 정보를 부적절하게 처리한 점이 적발됐으며, 오터코리아는 개인정보 파기 의무를 위반해 처분을 받았다.
쿠팡은 안심번호 정책 도입 이후에도 배달원의 실명과 전화번호를 음식점에 전송해 13만5000명의 개인정보가 유출되는 사고를 일으켰다. 이는 응용프로그램 인터페이스(API) 설정 오류와 함께, 오터코리아가 운영하는 주문정보 통합관리시스템을 통해 개인정보가 그대로 노출된 데서 비롯됐다.
쿠팡은 개인정보 유출 사실을 인지한 뒤 법적 통지 기한(24시간)을 초과해 통지를 지연한 것으로 확인됐다. 이에 따라 개인정보위는 쿠팡에 과징금 2억7865만원과 과태료 1080만원을 부과했다. 오터코리아에는 배달원 개인정보를 파기하지 않고 장기간 보관한 점에 대해 개인정보 파기 의무를 준수하도록 시정 명령을 내렸다.
쿠팡의 판매자 전용시스템(Wing) 로그인 과정에서는 2만2440명의 주문자 및 수취인의 개인정보가 노출됐다. 이는 로그인 인증 서비스에 사용된 오픈소스 프로그램의 취약점 관리 미흡과 네트워크 재연결 옵션 설정 오류 때문이었다. 쿠팡은 해당 문제를 방치해 오픈소스 사용 시 주기적인 점검 및 취약점 개선 의무를 위반한 것으로 조사됐다.
이에 따라 개인정보위는 쿠팡에 과징금 13억1000만원을 부과하고 관련 사실을 홈페이지에 공표하도록 명령했다.
개인정보위는 대규모 개인정보를 처리하는 사업자들에게 데이터 통신·연동과 오픈소스 사용 시 취약점 점검 및 개선 조치를 철저히 할 것을 요구했다. 특히, 민감한 개인정보를 다루는 기업은 시스템 설정 오류를 예방하고, 개인정보 유출 방지를 위한 보안 강화를 지속적으로 추진해야 한다고 강조했다.