누군가 저의 개인 전화번호와 집 주소, 아파트 현관비밀번호를 알고 있다면 어떨까요? 거기에 특정시간에 집에 제 아이만 있는지를 알고 있다면 어떨까요? 나쁜 의도를 가진 사람에게 이 정보가 넘어간다면 그야말로 아찔한 일이겠죠. 그런데 불행히도 이런 개인 정보를 고스란히 가지고 있는 업체가 실제로 있었습니다. 경찰 수사를 해보니 한 업체에서만 무단으로 수집한 개인정보 6천 6백만건이 나왔습니다. 중복되는 걸 제외했는데도 2천 3백만건이 남았습니다. 한 기업에서 나온 개인정보로는 이른바 역대급 규모입니다. 대체 어떻게 가능했던 걸까요.

역대급 개인정보 유출 사건은 '배달 앱'에서 시작됐습니다.

코로나 19로 인해 음식을 배달시켜 먹는 일이 더 일상이 되고 있죠. 배달의 민족과 요기요는 배달 앱 시장을 거의 장악하고 있습니다. 두 업체의 시장 점유율만 합쳐도 이미 90%가 넘습니다. 배달을 시킬 때는 당연히 자신의 전화번호와 주소를 기본으로 남기게 되어 있습니다. 주문에 필요한 이 개인정보는 식당으로 전달이 되고 식당은 이 정보를 배달 대행 업체에 넘겨주게 됩니다.개인정보보호법은 개인정보 수집의 목적이 달성되면 개인정보는 파기하도록 하고 있습니다. 배달이 끝나면 곳곳에 남아있는 개인정보는 지워져야 한다는 겁니다. 그런데 배달 음식을 먹는데 음식에서 무엇인가 나오거나 품질에 문제가 있다며면 분쟁이 생길 수 있겠죠. 그래서 배달 앱들은 개인정보를 즉시 삭제하지는 않습니다. 취재를 해보니 배달의 민족의 경우는 배달을 완료하고 3시간이 지나면 외부에서 볼 수 없도록 이 개인정보를 모두 파기합니다. 요기요는 24시간 뒤 배달업체나 식당 주인들이 개인정보는 볼 수 없게 역시 파기합니다. 뭐 배달앱 업체의 개인보호 정책대로라면 아무 문제가 없어야 하는데...

'헛점'이 있었습니다.

식당에서 계산할 때 많이 보는 기계가 있습니다. 네모난 형태의 모니터에 카드단말기나 바코드 인식기 그리고 영수증 출력표가 달려 있는 기계가 있습니다. 보통 '포스기'라고 부릅니다. 이 기계에는 주문 매출관리 프로그램이 깔려있는데요. 여기서 배달을 위한 주문표나 영수증을 출력하게 됩니다. 이게 바로 개인정보가 새 나간 구멍이었습니다. 영수증이나 주문표에는 배달앱을 통해 들어온 정확한 전화번호와 주소, 배달시 부탁사항이 인쇄돼야겠죠. 그래서 이때는 정확한 정보가 프린터에 전달되는데 프린터에 들어가는 정보를 인위적으로 특정 업체 서버에 전달되도록 한다면 고스란히 배달용 개인정보가 빠져나가게 되는 겁니다.한 서버에서 개인정보 6,600만건이 쏟아져 나오다.

지난 7월 경찰에서 식당의 주문, 매출관리 프로그램을 이른바 포스 프로그램 개발 업체 한 곳을 압수수색했습니다. 홈페이지에 3만개 이상의 가맹점을 보유하고 있다고 홍보하고 있고, 외부 투자도 받는 중견기업이었습니다. 압수수색한 서버 분석을 해보니 이 업체 한 곳에서 2년여간 모은 6천 6백만건의 개인정보가 쏟아져 나왔습니다. 주소를 기준으로 중복정보를 추려도 2천 3백만건이 남았습니다. 배달 앱에서 주문을 할 때 들어온 개인정보들이었습니다. 주소와 전화번호가 남아있었고 어떤 앱을 통해 시켰는지 어떻게 결제했는지 정보가 고스란히 보관돼 있었습니다.더 심각해 보였던 건 따로 있었습니다.

이용자들은 배달을 편하게 하기 위해 배달 업체 측에 '메모'를 남깁니다. "1층 현관 비밀번호 0000 입니다. 조심히 오세요. 지금 집에 아이들밖에 없으니까 잘 전달해주고 가세요." 실제 이 업체의 서버에서는 이런 기록들도 그대로 저장돼 있었습니다. 이런 정보는 법에서 정의하는 '민감'정보는 아닙니다. 그렇지만 실제로는 가장 민감한 사생활 정보입니다. 악인에게 넘어갔다면 그대로 범죄로 이어질 수 있는 정보인 것이죠.그리고 이 서버에는 배달앱을 탈퇴한 사람들의 개인정보도 남아있었습니다. 이 업체는 주문 매출 관리프로그램을 비롯해 식당 업주들에게 개인정보를 포함한 주문 정보를 다시 확인할 수 있게 제공했고 월 이용료로 3만원을 받았습니다. 경찰은 불법적인 요소가 있었던 만큼 지난 2년간 가맹점주들로부터 받은 16억원을 부당 수익으로 보고 있습니다."이건 식당 업주들이 원래 알아야할 주문정보일 뿐입니다"

개인정보를 수집해온 업체 측은 이런 말을 했습니다. 개인정보가 아니다 주문정보다. 배달앱 등장 이전에는 전화 주문을 했습니다. 전화주문을 하게 되면 식당 업주들은 당연히 기록을 하게 됩니다. 전화번호와 주소 같은 것을 말이죠. 그릇도 찾으러 가야할 때도 있고 분쟁이 발생할 수도 있다. 그렇기 때문에 당연히 식당 점주들이 보관해야하는 거래 정보일 뿐이다. 오히려 배달앱이 시장을 장악하기 시작하면서 대형 배달앱들만이 관련 정보를 독점하고 있다. 우리는 업주들이 당연히 알아야할 정보를 제공해 준다. 소상공인을 도와주는 프로그램을 개발하는 것이다. 언뜻 들으면 그럴듯한 답변이기도 합니다. 하지만 개인정보보호위원회는 엄격하게 선을 그었습니다."엄중한 사안이다 직권조사가 필요하다"

개인정보는 개인정보보호법과 관련 법령에 따라 엄격히 관리됩니다. 개인정보 수집의 가장 큰 원칙은 '최소 수집'입니다. 개인정보를 수집하더라도 필요 최소한의 정보만을 수집하는 게 원칙이라는 거죠. 그리고 정보 주체의 동의를 얻어서 수집하는 것이 또 중요한 원칙입니다. 배달의 민족이나 요기요 같은 경우는 이용자들이 동의를 하고 들어가 개인정보를 남겼지만 우리가 포스 프로그램 개발사에게나 식당 업주들에게 내 개인정보를 남겨 놓겠다고 약속하지는 않았죠. 더욱이 우리집 공동 현관비밀번호가 몇 번인지 집에 아이들만 있는지 계속 기록을 보관해달라고 하는 사람은 없을 것입니다. 6천 6백만건이라는 엄청난 숫자에 앞서 개인정보 수집의 기본 원칙들을 어겼다는 설명입니다. 기본적으로 5년이하의 징역 5천만원 이하의 벌금을 받을 수 있는 형사처벌 대상 사건이라고 밝혔습니다.한발 더 나가 개인정보보호위원회는 직권조사에 착수하겠다고 밝혔습니다. 개인정보보호법에 형사처벌 외에 과징금 처벌을 따로 내릴 수 있는 특례조항이 올해 새로 만들어졌기 때문입니다. 이런 위반사항이 있을 시 관련한 매출액의 최대 3%를 과징금으로 부과할 수 있습니다. 개인정보의 무단 수집, 오남용에 대한 기업들의 책임을 더 강하게 묻고자 만들어진 조항입니다. 개인정보보호위원회는 "배달 앱의 개인 정보를 포스 프로그램을 통해 수집한 사안이 처음이고 규모도 상당히 크고 수법 자체도 상당히 엄중하다"며 직권조사 외에도 개인정보 보호의 1차 책임자인 배달 앱에 대한 대책 마련을 지시할 방침이라고 밝혀왔습니다. "배달앱"은 개인정보가 줄줄 새는 것을 몰랐을까?

배달앱 관계자들 역시 이번 사건과 관련해 경찰 참고인 조사를 받았다고 밝혔습니다. 업계 시장을 양분하고 있는 배달의 민족과 요기요 관계자들 모두 자신들은 "정보유출을 몰랐다"고 말했습니다. 그리고 배달의 민족 측은 프린터를 통해 개인 정보를 탈취해가는 이른바 '크롤링'을 막기 위해 계속해서 보안 강화를 해왔다고도 밝혔습니다. 101동 101호라는 정보를 프린터로 보낼때 막상 정보를 다른 서버로 가져가면 001동 010호 이런 방식으로 정보가 뒤죽박죽 되도록 하는 보안 강화 업데이트 했다는 것입니다. 그럼 이번 유출은 몰랐다고 하지만 적어도 이럴 가능성에 대해서는 충분히 인지하고 있었고 기술 개발까지 했다고 볼 수 있을 겁니다. 이번에 포스 업계를 취재해보니 사실 이같은 개인정보 유출과 보관은 공공연한 비밀이라는 증언도 나왔습니다. 경찰에 적발된 건은 본사 서버에 개인정보가 저장되어 있었지만 로컬이라고 부르는 식당 업주들의 포스기에 개인정보가 저장되어 있는 경우도 있고, 일부 포스업체에서는 업주 개인 포스기가 고장났을 때 다시 자료 전체를 복원하기 위해서는 백업이 필요하다며 정보를 긁어가는 경우도 있다는 겁니다. 개인정보보호위원회가 배달앱 시장 전반에 대해 적극적으로 조사를 해야하는 이유입니다.

내 정보 지키려면 어떻게?

일단 배달 앱으로 주문을 시킬 때 반드시 전화번호 안심번호 전환 서비스를 체크하셔야합니다. 앱에 따라 의무적으로 안심번호를 쓰기도 하고 선택적으로 쓰기도 합니다. 적어도 개인 전화번호 유출을 막으려면 안심번호 서비스를 적극적으로 사용하는 것 외에는 지금 단계에서 소비자들이 할 수 있는 일은 없습니다. 전혀 나의 동의와 상관없는 영역에서 일어나고 있는 개인 정보 유출이기 때문이죠. 개인정보 보호의 1차 책임자인 배달 앱들이 더 빨리 대책을 내놓아야하는 이유기도 합니다. MBC 취재에 배달의 민족과 요기요 모두 개선 대책을 내놓는다고 답했습니다. 대책이 나오면 다시 전달해드리겠습니다.

[연관기사]

[단독] 배달앱 개인 정보가 '줄줄'…"현관 비밀번호까지"