배달의민족이 고객 개인정보 관리를 소홀히 하고 있다는 지적이 나오고 있다. 제3자정보제공 고시 미비, 개인정보 중도 해킹 등이 국정감사에서 다뤄질 전망이다.
양정숙 의원이 입수한 배민 자료에 따르면 배민은 고객 개인정보 처리업무 위탁을 제대로 고시하고 있지 않다. 당초 배민이 고객 정보를 제공하는 곳은 크게 식당과 배달 대행 플랫폼이지만 고객에게는 식당과 다회용기 회사, 환경공단에게만 제공한다고 고시 중이다. 이 때문에 고객은 본인의 개인정보가 어디로 제공되는지 알기 어렵다.
배민 측은 배달 대행사에 고객개인정보 처리 업제공한다는 사실을 알릴 의무가 없다는 입장이다. 오히려 식당이 고객으로부터 개인정보 위탁 동의를 받아야 한다는 주장이다. 배민 관계자는 “배민은 중개 업체에 불과하다”며 “배달 서비스 제공 주체인 식당이 고객으로부터 동의를 받아야 한다”고 말했다.
아울러 배민의 거래 구조가 오픈마켓과 동일하다며 개인정보 처리 업무 위탁에 대한 책임이 없다고 선을 그었다. 배민은 “국내 오픈마켓 등에서도 판매자에 대한 개인정보 제3자 동의를 받고 있을 뿐 배달업체인 CJ대한통운, 한진택배 등에 개인정보를 전달하는 점에 대해서는 별도로 동의를 받고 있지 않다”고 주장했다. 그러나 지마켓은 홈페이지 '개인정보 처리방침'에 CJ대한통운, 롯데택배, 현대글로비스 등에 택배 배송을 위해 개인정보 처리를 위탁할 수 있다고 명시해 놓았다.
양 의원은 이와 함께 배민이 고객 정보 해킹을 방조하고 있다고도 지적했다. 양 의원이 배민측으로부터 입수한 자료에 따르면 배민은 식당으로 보낸 고객의 개인정보가 중간에 가로채기 당하는 이른바 '파싱'이 이뤄지고 있음에도 조치를 취하지 않고 있다. 파싱이란 식당 결제단말(POS) 등에서 영수증이 출력되는 시점에 다른 프로그램이 정보를 가로채는 것이다.
배민측은 배민 주문 응용프로그램개발환경(API) 미연동 배달 대행 플랫폼으로부터 파싱이 이뤄지고 있다고 인정했다. 2018년 이를 차단하기 위해 영수증 데이터에 경고 문구와 파싱에 오류가 발생하도록 이미지를 삽입하는 기술적인 조치를 실시한 바 있다. 그러나 주문처리에 불편이 발생하는 등 업주 민원으로 현재는 피싱 방지 조치를 중단한 상황이다.
손지혜기자 jh@etnews.com