Home > 전체기사

탈퇴 회원에게 문자 보낸 ‘요기요’, 개인정보 관리는 ‘몰라요’

  |  입력 : 2016-05-24 17:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
탈퇴 이후에 마케팅 용도로 개인정보 활용시 정통망법 위반에 해당
요기요 “가입시 발송예약 걸려 탈퇴 회원에게 전송...고객정보 파기에 더욱 만전”


[보안뉴스 민세아] #지난 5월 6일, A씨는 배달음식 전용 어플리케이션(이하 앱)인 요기요를 처음 이용할 경우 1만원을 즉시 할인해 준다는 소식을 접했다. 요기요를 이용한 경험이 없던 A씨는 바로 앱을 다운로드받고 회원가입을 한 후 이벤트를 통해 주문을 시도했다. 그러나 성공적으로 주문을 마친 A씨는 잠시 후 업체에서 주문을 취소했다는 문자를 받았다. 업체에서 일방적으로 주문을 취소한 것이다. 조금 있다가 다시 주문을 시도했지만 결과는 똑같았다. A씨가 요기요에 직접 전화해서 물어본 결과 이벤트가 끝났다는 말을 들었다. 기분이 나빠진 A씨는 바로 회원탈퇴를 하고, 요기요에 연락을 취해 자신의 개인정보를 모두 폐기해달라고 요청했다. 그런데 며칠 후 A씨의 폰에 요기요에서 간단한 설문을 부탁한다는 문자가 날아왔다.


탈퇴한 회원 개인정보로 가는 설문조사, 문제 없나?
현재 정보통신망법 제29조에 따라 고객이 서비스에서 탈퇴할 경우 사이트의 개인정보 수집 및 이용목적이 사라지게 된다. 이 때문에 업체는 보유하고 있는 개인정보를 지체 없이 파기해야 한다.

당시 요기요에 가입한 A씨는 “이벤트를 통해 주문한 시각은 낮 12시를 조금 넘긴 시간이었다. 이벤트가 끝났다면 웹사이트나 앱에 바로 고지해줘야 하는 것 아니냐. 오히려 이벤트를 빙자해 개인정보를 수집한 것이 아닌가 하는 생각이 든다”고 불만을 토로했다.

해당 사안과 관련해 요기요 측에서는 “고객 개인정보는 현재 자사에서 직접 관리하고 있으며 외부결제 등에 관련된 위탁업체는 개인정보 취급방침 12조에 명시돼 있다. 탈퇴회원의 정보는 탈퇴 신청 시점으로부터 90일 동안 재가입 방지를 위해 보존하고 있다. 이후 개인정보의 삭제 등 필요한 조치를 취한다”며, “이번에 문제를 제기한 고객은 탈퇴 회원으로 분류된 것이 맞지만 고객에게 보낸 문자는 마케팅 활동이 아닌 일반적인 앱의 만족도 조사 설문이었다. 신규 가입 회원에게 1회 발송하는 것으로, 가입시 발송 예약이 걸렸기 때문에 탈퇴 후에 문자가 간 것으로 보인다”고 설명했다.

또한, 요기요 관계자는 “일반적인 만족도 조사도 개인정보 활용이나 마케팅 활동으로 오해하는 경우가 있어 앞으로는 탈퇴 회원일 경우 일괄적으로 걸러서 만족도 조사를 하지 않는 시스템을 준비하겠다. 고객 개인정보 관리와 파기에 더욱 신중을 기할 것”이라고 전했다.

이와 관련 방송통신위원회 측에서는 “사이트마다 개인정보와 관련한 방침이 다를 수 있는데, 고객 개인정보 DB에서 개인정보를 바로 삭제하지 못하는 경우, 회원 탈퇴 후 며칠간 개인정보를 보유할 수 있다”며, “그러나 이번 사안은 고객이 직접 업체에 전화해 개인정보 파기를 요청했기 때문에 정통망법 위반의 소지가 있다”고 전했다.

▲회원 탈퇴 후 요기요로부터 받은 설문조사 요청 SMS

이에 대해 한 소셜커머스 업체 관계자는 “만약 해당 업체가 고객 개인정보 처리에 대해 위탁을 맡겼을 경우, 위탁 업체에서 삭제한 고객 개인정보가 수탁업체 데이터베이스에서 곧바로 삭제되지 않을 수 있다”고 설명했다.

이어 그는 “고의성은 없을 수 있지만 고객 입장에서는 자신의 개인정보가 계속해서 활용되고 있다고 생각할 수 있다”며, “탈퇴하면 회원정보를 바로 삭제하는 것이 옳지만 전자상거래법에 의해 고객이 거래한 내역들이 보관될 수는 있다. 그러나 이것이 마케팅을 위한 명분이 될 수는 없다”고 말했다. 일반적인 만족도 조사일 경우라 해도 고객이 탈퇴하거나 동의하지 않은 경우 문자가 발송되는 것은 문제의 소지가 있다는 얘기다.

비회원 현장 결제 주문, 왜 개인정보 수집하나?
또 다른 이용자로부터는 요기요의 비회원으로 현장 결제할 경우 배달원에게 직접 결제하는데 왜 개인정보를 수집하는지 모르겠다는 의견도 제기됐다. 개인정보 수집란에 체크하지 않으면 주문이 불가능하기 때문. 한 이용자는 “개인정보 수집이 필요 없어 보이는 부분에서 정보를 수집한다고 하니 왠지 찜찜하다. 만약 수집된 곳이 해킹을 당하면 내 정보가 유출되는 것 아니냐”고 우려했다.

▲비회원 주문 시 수집 동의 체크 항목

정보통신망법 제23조에 따르면 ‘정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우 정보통신서비스의 제공을 위해 필요한 범위에서 최소한의 개인정보만 수집해야 한다’고 나와있으며, ‘이용자가 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 서비스의 제공을 거부해서는 안 된다’고 기재되어 있다.

그러나 이와 관련해 방통위 관계자는 “요기요를 통해 주문하기 때문에 주문 정보가 업체에 전달될 필요가 있다. 해당 부분은 타당한 수집으로 보인다”고 전했다. 실제로 요기요의 개인정보취급방침을 살펴 보면 이용자의 음식 주문에 따른 배달 진행, 맛집배달대행 서비스 이용 및 경품 배송을 위한 주소와 전화번호를 수집하고 있다.

요기요 관계자는 “음식점에 주문에 필요한 주문정보 전달을 위해 동의를 받는 부분이며 다른 개인정보는 받지 않는다. 이용약관 16조에 따라 ‘요기요는 이용자의 주문내용 정보와 고객의 결제내역에 대한 정보를 가맹점에 정확히 전달함으로 책임을 다하며, 가맹점이 배달을 완료한다’고 명시돼 있다고 설명했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)