보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[추석 보안대작전-3] 연휴 때 많이 사용하는 배달앱 6곳의 개인정보보호 방침

입력 : 2023-10-01 23:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
배달앱 결제비용 및 배달대행 사용빈도 계속 증가...앱 및 배달대행 개인정보보호 중요성 증대
배달의민족, 요기요, 위메프오, 쿠팡이츠, 배달특급, 땡겨요 6개사의 개인정보보호 대책


[보안뉴스 김영명 기자] 코로나19 팬데믹으로 거리두기, 매장 영업시간 제한, 식당 동석 인원 제한 등 조치가 이뤄졌다. 이에 따라 배달 애플리케이션(이하 배달앱)이 주문·배달 시장의 급성장을 이끌었다. 이러한 배달 앱의 성장은 포스트 코로나 시대에서도 이어지고 있으며, 이에 따른 고객 개인정보보호의 중요성도 더욱 커지고 있다.

[이미지=gettyimagesbank]


스마트폰 앱 클릭 한 번으로 원하는 음식을 주문한다는 편의성, 전화를 기피하거나 통화 시 불안을 느낀다는 콜 포비아(Call Phobia), 나 혼자 또는 원하는 사람하고만 조용히 즐긴다는 측면에서 ‘배달앱을 통한 주문’ 시장은 지난 3년 동안 급성장했다. 하지만 이러한 성장의 반대급부로 배달앱에서의 해킹, 개인정보 유출 등 보안사고가 발생하기도 했다. 모 배달앱은 웹셸 공격으로 개인정보가 10만여건이 유출된 이후 서비스를 종료하는 등 배달 앱 관련 사건사고가 끊이질 않았다.

이와 관련 개인정보보호위원회는 주문·배달 플랫폼 사업자 간담회를 통해 배달앱은 다양한 플랫폼과 시스템이 얽혀 개인정보 처리 환경이 복잡하고, 서비스가 실시간으로 제공돼 개인정보도 단기간에 수집·이용되며, 주문·배달 업계 사업자 간 책임 범위가 모호해 보호조치 소홀로 인한 계정 도용, 개인 일탈로 개인정보 유출 등 사고 가능성을 우려하기도 했다.

우리나라에서 서비스되고 있는 대표적인 배달앱을 설립 순으로 살펴보면 △배달의민족(우아한형제들, 2011년 3월) △요기요(위대한상상, 2011년 11월) △위메프오(위메프오, 2019년 4월) △쿠팡이츠(쿠팡, 2019년 5월) △배달특급(코리아경기도, 2020년 12월) △땡겨요(신한은행, 2021년 12월) 등 6개가 있다. 이에 본지는 해당 6개사의 주문자 개인정보보호 대책을 살펴봤다.

우아한형제들이 만든 ‘배달의민족’은 2011년 3월부터 서비스를 시작했으며, 2019년 12월에 독일 기업인 DH(Delivery Hero, 딜리버리히어로) 회사에 인수됐다. 위대한상상에서 서비스하는 ‘요기요’(YOGIYO)는 2011년 11월에 서비스를 시작했다. ‘위메프오’는 G마켓 창업자가 싱가포르에 본사를 두고 2019년 4월에 설립됐으며, ‘쿠팡이츠’는 2019년 5월에 시작됐다. ‘배달특급’은 2020년 12월에 설립됐으며, ‘땡겨요’는 신한은행에서 2022년 1월에 만들었다.

배달앱 서비스별 주문자 개인정보보호 실태 살펴보니

▲배달의민족 앱 로고[로고=배달의민족]

배달의민족에서 주문을 하게 되면 크게 ‘배달’, ‘배민’, ‘배민1’ 등 3개 선택지가 나오게 된다. ‘배달’과 ‘배민’은 매장에서 배달대행을 통한 라이더로 배송을, ‘배민1’은 배달의민족이 직접 고용한 라이더를 통해 배송하는 방식으로 분류된다.

서비스는 주문중계, 주문접수 및 소속 배달원 배달로 나뉜다. 배민이 직접 계약을 맺은 라이더는 개인사업자들이며, 자체 라이더 배달은 15% 정도다. 주문정보는 배달이 완료되거나 주문 접수 후 3시간이 지나면 매장과 배달원 단말에서 주문자의 개인정보가 마스킹 처리돼 다른 사람들이 접근할 수 없게 된다.

또한, 아파트 등 공동주택을 출입을 할 때는 주문자에게 호출해 접근을 요청한다. 우아한형제들은 주문자의 개인정보가 직접 배송 또는 배달대행을 통해 배송될 때 개인정보 처리정책이 제대로 실행되는지 시스템을 통해 꾸준히 관리하고 있다.

▲요기요 앱 로고[로고=요기요]

위대한상상에서 서비스하는 요기요(YOGIYO)는 24시간 365일 서비스를 운영하고 있다. 요기요의 배달 라이더는 모두 직접 고용이 아닌 배달대행사를 통해 위탁 계약이다.

고객이 요기요 앱에서 주문을 하게 되면 고객이 선택한 매장에는 주문내역과 함께 주문자 이름, 연락처, 배달받을 주소 등 개인정보가 전송된다. 이때 개인정보 중 연락처는 고객이 실제 휴대전화번호가 아닌 안심번호 전달을 요청하면 안심번호가 매장에 전달된다. 또한, 주문을 하고 주문자가 매장에 들러 음식을 직접 수령하겠다고 선택할 때는 해당 매장에는 주문자의 주소는 제외하고 이름과 전화번호 또는 안심번호만이 전달된다. 고객이 주문을 완료하면 고객의 개인정보는 주문을 한 매장에서는 24시간 이내에, 배달 라이더의 단말에서는 배달이 완료되는 즉시 자동으로 삭제된다. 요기요는 홈페이지를 통해 이용약관 개인정보 처리방침과 개인정보 제3자 제공동의 등에 대해 상세하게 안내하고 있다.

▲위메프오 앱 로고[로고=위메프오]

위메이크프라이스(Wemakeprice)라는 의미를 담은 위메프 산하의 배달 앱인 위메프오(WeMefO)는 서울과 광주의 공공 배달앱으로 선정됐다. 위메프는 10여개의 배달대행사를 통해 상품을 배달한다. 주문 내역이 매장에 전송될 때는 고객 이름은 제외되고, 전화번호는 안심번호로 변환돼 함께 전달된다. 배달 라이더는 주소와 안심번호로만 물건을 배송한다.

위메프오에 입력된 고객 개인정보는 5년 동안 보관한 다음 파기한다. 전자적 파일은 복구 및 재생할 수 없는 방법으로 완전 삭제하며, 종이에 출력된 정보의 경우 분쇄 또는 소각한다. 주문 내역 정보는 각 매장 업주가 3개월 동안 확인할 수 있으며, 그 이후에는 해당 정보를 업주가 확인할 수 없다. 주문 시 생성되는 고객 안심번호와 주소는 서비스 제공 완료 후 이틀이 지나면 자동으로 소멸된다. 주문자의 개인정보와 관련된 내용은 주문 전에 안내되는 개인정보 제3자 제공 항목에서 확인할 수 있다. 또한, 배달대행으로 전달되는 개인정보의 경우 각 배달대행사의 개인정보처리 방침 기준으로 처리되고 있다.

▲쿠팡이츠 앱 로고[로고=쿠팡이츠]

쿠팡이츠(CoupangEats)는 이커머스 기업 쿠팡(Coupang)의 음식 배달 플랫폼 기업으로 2019년 5월부터 서비스를 시작했다. 쿠팡이츠는 회원 주문만 가능한 시스템이며, 홈페이지에 회원 가입을 할 때는 이름과 휴대전화번호만 입력한다. 또한, 회원이 주문을 하게 되면 해당 매장에는 이름은 제외하고 주문내역만 전달된다. 따라서 음식을 주문한 매장에는 회원의 이름, 연락처, 주소 등은 전달되지 않으며, 주문내역과 함께 실제 안심번호만이 전달된다.

쿠팡이츠는 ‘배달파트너’라는 이름으로 100% 프리랜서 배송 담당자를 지정해 배송을 책임지고 있다. 또한, 음식 주문 및 배달이라는 업종 특성상 항상 주문자가 해당 주소지에 대기하기 때문에 접 안심번호로 연락해서 출입을 요청하고 대면배송으로 전달해 공동현관 비밀번호 등은 요청하지 않는다. 또한, 쿠팡은 개인정보보호 전담부서를 별도로 운영하고 있다.

▲배달특급 앱 로고[로고=배달특급]

경기도의 공공배달 앱으로 코리아경기도가 운영하는 배달특급은 국내의 모든 배달대행사와 연동해 100% 배달대행으로 운영되며, 회원과 비회원 모두 주문이 가능하다. 배달특급 앱을 통해 주문할 때 개인정보처리동의서를 확인하도록 돼 있으며, 입점업체 및 배달연동 중개업체에게는 주문자(수령인)의 주소, 휴대전화번호만을 제공하며, 휴대전화번호를 안심번호로 요청하면 안심번호로 바꿔 전달된다. 또한, 다회용기 서비스 제공업체에는 수령인 정보와 주문정보만 제공된다. 이들 수령인 정보는 주문자에 서비스 제공이 끝나면 곧바로 파기된다.

배달특급 앱은 소비자기본법, 정보통신망법, 경기도공공기관운영약관 등 관련 법에 의거해 주문 접수, 입점업체와의 연계 및 배송 등을 처리하고 있으며, 공공서비스인 만큼 감사기관을 통해 앱 운영 및 개인정보보호 관리 및 처리에 대해 정기적인 감사를 받고 있다.

▲땡겨요 앱 로고[로고=땡겨요]

신한은행에서 출시한 땡겨요는 2022년 1월, 가입 회원만을 대상으로 서비스를 시작했다. 앱에서 주문을 하게 되면, 고객의 이름은 앱 운영주체에서만 알게 되며, 가맹점이나 배달대행 업체에는 전달되지 않는다. 가맹점에는 고객이 주문한 메뉴 목록과 함께 수량, 주소, 휴대전화번호가 전달되며, 가맹점에서 배달대행으로 주문이 전송될 때는 주소와 휴대전화번호만 넘기게 된다. 기본적으로 가맹점과 배달대행에는 휴대전화번호는 안심번호로 바꿔 전송되기 때문에 주문자의 이름이나 실제 전화번호는 보호된다.

땡겨요 앱 서비스는 배송지가 아파트 단지 등 공동주택으로 주문자의 가정까지 직접 접근이 힘든 경우에도 앱 상에서는 공동현관 비밀번호 등을 입력하거나 별도로 수집하지 않는다. 주문이 이뤄졌을 때 배송에서 접근이 막혔을 때 배달 라이더들은 전달 받은 안심번호로 고객에게 연락해 직접 대면을 통해 주문 배송을 완료한다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)