개인정보위, 안전조치 의무를 위반한 쿠팡에 15억 9,945만 원 과징금·과태료 부과
개인정보위, 안전조치 의무를 위반한 쿠팡에 15억 9,945만 원 과징금·과태료 부과
개인정보위, 안전조치 의무를 위반한 쿠팡에 15억 9,945만 원 과징금·과태료 부과- 소프트웨어 안전조치 소홀로 배달원의 실명·전화번호를 그대로 음식점에 전송, 오픈마켓 주문정보를 다른 판
www.korea.kr
241128_(석간) 개인정보위, 안전조치 의무를 위반한 쿠팡 제재(조사2과, 조사3팀)_.pdf
0.30MB
- 사건 개요
- 개인정보보호위원회(이하 개인정보위)는 쿠팡의 개인정보 보호법 위반 사항을 조사해 총 15억 9,945만 원의 과징금 및 과태료를 부과
- 쿠팡의 배달원 개인정보 및 고객 주문 정보 유출 사례 발생
- 배달원 개인정보 유출 사례
- 쿠팡이츠 배달원의 개인정보(실명, 전화번호)가 음식점에 전송됨
- 정책 변경(2019년): 안심번호만 전송
- 문제 발생(2021년): API(Application Programming Interface) 설정 오류로 인해 실명과 전화번호 함께 전송
- 개인정보 유출 사실을 인지하고도 통보 지연
- 오터코리아(Otter) 시스템을 통해 배달 완료 후에도 개인정보를 파기하지 않고 지속 보관
- 약 13만 5천 명의 개인정보 미파기
- 쿠팡이츠 배달원의 개인정보(실명, 전화번호)가 음식점에 전송됨
- 고객 주문 정보 유출 사례
- 쿠팡의 판매자 시스템(Wing)에서 인증 문제로 고객 개인정보가 다른 판매자에게 노출
- 문제 원인
- 오픈소스(Open Source) 사용 중 네트워크 재연결 옵션 기능 활성화
- 해당 기능의 세션(Session) 취약점 경고를 무시하고 2023년까지 유지
- 결과: 약 2만 2천 건의 주문자 및 수취인 개인정보가 노출
- 개인정보위의 조치
- 쿠팡에 과징금 및 과태료 부과
- 배달원 유출 관련: 과징금 2억 7,865만 원, 과태료 1,080만 원
- 고객 주문 정보 유출 관련: 과징금 13억 1,000만 원
- 개인정보 파기 의무를 준수하도록 오터코리아에 시정 명령
- 쿠팡 및 관련 사실 개인정보위 홈페이지에 공표
- 쿠팡에 과징금 및 과태료 부과
- 문제점 분석
- 개인정보 보호를 위한 안전조치 미흡
- API 통신 보안 실패
- 오픈소스 소프트웨어 사용 시 취약점 관리 소홀
- 개인정보 파기 및 유출 통지 의무 위반
- 기술적·관리적 보호 조치에 대한 주기적 점검 부족
- 개인정보 보호를 위한 안전조치 미흡
- 시사점
- 데이터 통신 및 연동 시스템에 대한 정기적인 보안 점검 실시
- 오픈소스 프로그램 사용 시 취약점 관리 및 옵션 설정 주의
- 개인정보 파기 정책 철저 준수 및 유출 시 즉각적이고 투명한 통지 절차 수행
- 기업의 개인정보 보호 책임 강화 및 내부 보안 관리 체계 개선 필요
'Kant's IT > 개인정보위원회 제재 사항' 카테고리의 다른 글
| 개인정보위원회 제재 현황 리스트('24.06.27 ~ '24.08.29) (0) | 2024.09.17 |
|---|---|
| 2024.06.27. 개인정보위, 개인정보보호 법규 위반 사업자 제재 (1) | 2024.09.17 |
| 2024.07.25. 알리익스프레스에 개인정보 보호법위반으로 19억7,800만원 과징금 부과 (0) | 2024.09.17 |
| 2024.08.29. 개인정보위, 안전조치 의무를 위반한3개 사업자 제재 (0) | 2024.09.17 |