"무려 8년"… '주문자 정보 무단이용' 바로고 등 2개사 제재처분

/사진=개인정보보호위원회

배달 주문자의 전화번호를 입력하면 주문자가 이전에 다른 음식점에서 이용했던 배달지 주소까지 자동 조회되도록 개인정보 시스템을 방만하게 운영했던 바로고 등 2개사가 당국 제재를 받았다.

개인정보보호위원회는 28일 정부서울청사에서 전체회의를 열고 바로고에 시정명령 및 해당사실 공표를, 디아스타코리아에 과징금 8298만원 및 과태료 360만원에 시정명령, 결과공표 등 처분을 의결했다며 이같이 밝혔다.

배달대행 프로그램 '바로고'를 운영하고 있는 회사이기도 한 주식회사 바로고는 음식점 주문배달을 대행하기 위해 개인정보를 처리하는 수탁자로서 주문배달 정보는 해당 음식점의 배달 업무에만 사용해야 했다.

그러나 2014년 4월부터 올 4월까지 8년에 걸쳐 바로고는 음식점에서 주문 이력이 없는 주문자의 전화번호만 입력하면 해당 주문자가 다른 음식점에서 이전에 이용했던 배달지 주소까지 자동으로 조회·출력되도록 한 사실이 적발됐다.

여행·숙박 중개 홈페이지 '디 아스타'(The Asta)를 운영하는 디아스타코리아는 해킹공격으로 이용자 예약내역이 유출되는 사고가 있었다. 조사 결과 해커는 쿠키변조 보안 취약점을 이용해 관리자 권한을 획득한 후 관리자 페이지에 무단접속해 개인정보를 유출한 것으로 나타났다.

디아스타코리아는 개인정보 처리시스템을 운영하면서 취약점 점검을 소홀히 하고 안전성 확보를 위한 적절한 개선조치를 하지 않았던 점도 적발됐다.

양청삼 개인정보위 조사조정국장은 "음식점, 판매점, 부동산 등으로부터 개인정보 업무를 위탁받아 처리하는 수탁자는 위탁받은 업무 범위를 초과해 개인정보를 이용해서는 안된다"며 "향후 수탁자의 개인정보보호 법규 위반에 대해 과징금·과태료를부과할 수 있도록 한 보호법 개정안이 입법 완료되면, 수탁자의 개인정보보호에 대한 책임성이 한층 강화될 것"이라고 했다.