버거킹, 법정대리인 동의 없이 아동 정보 수집해 9억 원대 과징금
캐치테이블·테이블링 등 웨이팅 앱도 API 보안 취약

[보안뉴스 조재호 기자] 아이들의 정보를 부모 몰래 수집하고, 마케팅 수신에 동의하지 않아도 광고를 보내는 등 식음료 업계의 개인정보 관리가 총체적 난국인 것으로 드러났다. 개인정보보호위원회는 10개 주요 사업자에 대해 총 16억 원이 넘는 과징금과 과태료를 부과하며 강력 제재에 나섰다.


개인정보보호위원회는 11일 제3회 전체회의를 열고 개인정보 보호법을 위반한 10개 식음료 사업자에 대해 총 15억6600만원의 과징금과 1억1130만원의 과태료를 부과하기로 의결했다고 12일 밝혔다.

가장 무거운 처분을 받은 곳은 비케이알(버거킹)이다. 버거킹은 회원가입 과정에서 법정대리인의 동의를 받지 않고 만 14세 미만 아동의 개인정보를 무단으로 수집·이용한 사실이 적발됐다. 이에 개인정보위는 버거킹에 9억2400만원의 과징금과 1530만원의 과태료를 부과했다.

엠지씨글로벌(메가MGC커피)은 회원가입 시 마케팅 활용에 동의하지 않은 고객임에도 시스템상 자동으로 ‘동의’ 처리가 되도록 설정해 광고성 앱 푸시를 발송했다. 또, 개인정보 처리 업무를 위탁하면서 수탁자에 대한 관리·감독도 소홀히 했다. 개인정보위는 메가MGC커피에 6억4200만 원의 과징금과 1530만원의 과태료를 부과했다.

소비자의 선택권을 침해한 프랜차이즈들의 관행도 도마 위에 올랐다. 투썸플레이스는 매장 키오스크 주문 시 휴대전화번호를 입력하지 않으면 주문과 결제 자체가 불가능하도록 시스템을 운영했다. 개인정보 보호법상 필요한 최소한의 정보 외의 수집 동의를 거부했다는 이유로 서비스 제공을 거부해서는 안 된다는 규정을 위반한 것이다.

더본코리아(빽다방)는 회원가입 시 마케팅 동의나 맞춤형 서비스 동의 등 이용자가 선택해야 할 항목을 필수 동의 항목과 구분하지 않고 포괄적으로 동의받은 사실이 확인됐다. 또한 안전한 인증수단을 적용하지 않거나 접속기록을 보관하지 않는 등 기술적 보호 조치도 미흡했다. 두 업체에는 각각 과태료 540만원과 1260만원이 부과됐다.

비대면 웨이팅 앱 등 플랫폼 사업자들의 보안 불감증도 심각했다. 와드(캐치테이블)와 테이블링. 야놀자에프앤비솔루션 등은 응용프로그램 인터페이스(API) 접근통제를 소홀히 해 개인정보가 외부로 유출될 위험을 방치한 것으로 드러났다. 특히 테이블링은 계좌번호 암호화 미적용 등 다수의 안전조치 의무를 위반해 1200만 원의 과태료 처분을 받았다.

에스씨케이컴퍼니(스타벅스)와 이디야, 한국맥도날드 등은 보유 기간이 지난 개인정보를 파기하지 않거나 이용·제공 내역을 고객에게 통지하지 않는 등 기본적인 의무를 소홀히 한 것으로 확인됐다.

개인정보위 관계자는 “일상생활에서 빈번하게 이용하는 식음료 서비스의 개인정보 관리 실태를 전수 조사한 결과”라며 “특히 아동·청소년의 정보 보호와 불필요한 정보의 즉시 파기 등 프라이버시 중심의 서비스 설계가 시급하다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>