상세주소·고객 이름 담겨
스티커밖 인쇄…쉽게 못떼
스토킹 등 범죄 악용 우려
쿠팡 자체 운송장에 인쇄된 QR코드가 고객 주소 등 개인정보를 암호화 없이 노출하는 것으로 확인됐다. 누구나 마음만 먹으면 전용 단말기 없이 스마트폰 카메라만으로도 손쉽게 타인의 주거 정보를 파악할 수 있다. 운송장에 나타난 개인 정보는 스토킹 등 범죄에 악용될 수 있어 시급한 개선 조치가 요구된다.
8일 업계에 따르면 쿠팡은 현재 로켓배송 등 자사 물류 서비스로 배송하는 물품 운송장에 1차원 바코드와 QR코드를 병행 표기하고 있다. 상하차 작업이나 배송단계에서 바코드가 구겨지거나 인쇄가 흐려진 경우, 또는 통신망 오류에 따라 바코드를 읽을 수 없을 때 발생할 수 있는 물류 오분류·오배송을 방지하기 위한 것이다.
본지 취재 결과 해당 QR코드에는 암호화되지 않은 '평문(Plaintext)' 상태 배송 정보가 담겨 있는 것으로 확인됐다. 쿠팡 운송장 왼쪽 아래에 있는 QR코드를 스마트폰 카메라로 스캔해보니 별도 인증 절차나 보안 프로그램 없이도 운송장에 기재된 정보가 즉각적으로 노출됐다. 운송장 번호, 배송지 상세 주소(동·호수 포함), 그리고 가운데 글자가 감춰진 고객 이름이 나타났다.
통상 택배 운송장은 유통 과정에서 배송 기사, 물류센터 작업자 등 여러 사람 손을 거친다. 배송 완료 이후에도 택배 상자가 일정 시간 외부에 노출되기 때문에 개인정보 보호 관리가 중요한 영역으로 꼽힌다.
이 때문에 택배사들은 개인정보 유출 방지를 위해 수령인 이름이나 전화번호가 적힌 부분을 스티커 형태로 제작해 쉽게 떼어낼 수 있도록 하거나, 주요 정보를 별표(*) 등으로 가리는 마스킹 처리를 강화하는 추세다.
그러나 쿠팡의 QR코드는 송장에서 떼어낼 수 있는 스티커 영역이 아닌, 박스나 비닐 포장재에 그대로 남는 부분에 인쇄됐다. 고객이 주소지가 적힌 스티커를 제거하고 박스나 비닐을 배출해도, 남아있는 QR코드를 스캔하면 지워진 정보가 디지털 데이터로 고스란히 되살아나는 셈이다. 쿠팡은 개인정보 보호를 위해 운송장을 폐기하라는 안내 문구까지 송장에 기입해 놓고 정작 모든 정보를 볼 수 있는 QR코드는 제거하기 어려운 곳에 넣었다.
이 같은 정보 노출은 제3자에 악용돼 스토킹, 피싱 등 범죄에 활용될 가능성이 있다. 쿠팡 배송 상품이 현관 앞에 놓여 있거나 공동주택 분리수거장에 운송장이 붙은 채 버려진 비닐 포장이 있다면 누구나 스마트폰으로 QR코드를 스캔해 타인의 거주지 정보를 수집할 수 있다.
이런 문제 때문에 개인정보위원회는 택배 수령자가 송장을 떼어내 파기하기 쉽게 제작할 것을 권고하고 있으며, 심지어 마스킹 방법을 통일할 것도 권고한 바 있다.
업계에서는 쿠팡이 운송장에서 개인정보 노출을 최소화하기 위한 보안 설계를 고려해야 한다는 목소리가 나온다. 특히 QR코드가 인쇄된 운송장 자체의 구조적 결함을 개선해야 한다는 것이다. 더욱이 개인정보 유출 문제로 홍역을 치른 쿠팡이 데이터 관리 외의 영역에서도 개인정보가 유출되지 않도록 각별히 주의를 기울여야 한다는 지적이다. 쿠팡 역시 현재 운송장과 QR코드 인쇄에 대한 개선 방안을 모색하고 있는 것으로 알려졌다.
업계 관계자는 “(쿠팡이 고객들에게) 운송장 폐기 시 QR코드도 완전히 파기해야 한다는 안내를 해야 한다”면서 “고객 정보 관리를 위한 한층 더 세밀한 조치가 요구된다”고 말했다.
윤희석 기자 pioneer@etnews.com
