[2026-04-07] 배달앱 고객정보 무단 조회 및 보복 대행 범죄 사건

 

 

 

오늘의 뉴스클리핑의 이슈는 바로 배달앱 고객정보 무단 조회 및 보복 대행 범죄 사건 입니다 - !

 

 

 

 

 

 

 

 

 

 

 

 

배달앱 고객정보 무단 조회 및 보복 대행 범죄 사건

 

최근 한 배달앱 외주 고객센터 상담사가 위장 취업을 통해 고객의 개인정보(거주지 주소 등)를 무단 조회하여 사적 보복 대행 범죄에 악용한 사건이 발생했다. 이에 개인정보보호위원회는 유사 사례를 막기 위해 배달, 홈쇼핑, 온라인 쇼핑, 렌탈, 유선통신 등 고객 주소를 취급하는 5개 주요 산업군의 위탁사 및 수탁사를 대상으로 개인정보 접근 권한과 관리·감독 실태에 대한 대대적인 점검에 착수했다.

 

 

 

 

-위장 취업을 통한 개인정보 무단 조회와 범죄 악용

범죄 조직은 타깃의 정확한 주소를 알아내기 위해 조직원을 대형 배달 플랫폼의 외주 고객센터에 상담사로 위장 취업시켰다. 해당 상담사는 부여받은 업무 시스템 접근 권한을 악용해 1,000여 건 이상의 고객 정보를 무단 조회하여 조직에 넘겼고, 이 정보는 타깃의 거주지에 찾아가 오물을 투척하거나 래커 칠을 하는 등의 오프라인 보복 대행 범죄에 직접적으로 사용되었다.

 

 

-수사 현황 및 당국의 실태 점검 계획

경찰은 이를 단순 정보 유출이 아닌 중대 범죄로 간주하여 가해자들에게 '범죄단체조직' 혐의를 적용해 구속 송치했으며 타 기관 고객센터로 수사를 확대하고 있다. 이에 발맞춰 개인정보보호위원회는 고객센터 상담사에 대한 접근권한 최소 부여, 업무 변경 시 권한 말소 현황, 계정 공유 여부, 접속기록 보관 실태 등을 중점적으로 점검하여 현장의 보안 미비점을 시정할 예정이다.

 

 

-시사점

이 사건은 내부 직원이나 외주 인력에게 부여된 시스템 접근 권한 관리가 부실할 경우, 단순한 정보 유출을 넘어 오프라인 강력 범죄로 직결될 수 있음을 명확히 보여준다. 기업은 고객센터와 같은 수탁사에 업무를 넘기는 것으로 보안 책임을 다한 것이 아니며 '최소 권한 부여의 원칙'을 철저히 지키고 비정상적인 개인정보 대량 조회 행위를 실시간으로 차단하는 내부 통제 시스템을 반드시 갖추어야 한다.

 

 

-개인의견

 

외부 해커에 의한 고도화된 기술적 공격보다 시스템 권한을 가진 내부자나 수탁사 인력에 의한 위협이 실질적으로 더 치명적일 수 있다고 생각한다. 외주 고객센터 상담사가 업무와 무관한 고객 정보 1,000여 건을 무단으로 조회할 수 있었다는 것은 심각한 접근 통제 결함을 나타낸다. 정상적인 시스템이라면 통화가 연결되거나 클레임이 접수된 특정 고객의 데이터에만 일시적으로 접근을 허용하는 동적 접근 통제 장치가 마련되어 있어야 한다. 또한, 한 명의 상담사 계정에서 비정상적인 대량의 정보 조회가 발생했을 때 이를 이상 행위로 탐지하고 즉각 차단하는 내부 로그 모니터링 체계 역시 제대로 작동하지 않았다.
결론적으로 기업은 업무 효율성이나 고객 응대라는 명목하에 수탁사에게 과도한 권한을 부여하고 방치해서는 안 된다라고 생각한다. 시스템 접속 권한을 직무에 따라 세밀하게 제한하는 역할 기반 접근 통제(RBAC)를 전면 적용하고 내부망 접속자라 할지라도 무조건 신뢰하지 않고 지속적으로 행위를 검증하는 제로 트러스트(Zero Trust) 아키텍처를 도입해야 한다. 규제 당국의 사후 점검에 의존하기 이전에 위탁 기업 스스로 시스템적인 물리적·논리적 접근 통제 장치를 완벽히 구축하고 수탁사를 철저히 관리·감독하는 근본적인 개선이 필요하다.

 

 

 

Q. 탐지 시스템의 맹점: 단기간에 1,000건을 조회했는데, 왜 사내 보안 솔루션(DLP 등)은 경보를 울리지 않았는가?

 

A. 임계치 설정의 실패와 이상 행위 탐지(UEBA, User and Entity Behavior Analytics) 체계의 부재 때문입니다. 일반적인 데이터 유출 방지(DLP) 솔루션은 엑셀 파일 등을 '외부로 대량 전송'하는 행위는 차단하지만, 시스템 화면에 하나씩 띄우는 개별 조회 행위는 정상적인 업무 로직으로 인식하여 통과시킵니다. 단시간 내 연속 조회, 동일 패턴 반복, 휴일/야간 접속 등 문맥(Context) 기반의 로직 분석이 적용되지 않아 방어망이 뚫린 것입니다.

 

Q. 인증 체계의 딜레마: 정상 채용된 내부자의 합법적 계정을 통한 악의적 접근은 제로 트러스트(Zero Trust)로 어떻게 차단할 수 있는가?

 

A. 제로 트러스트는 '성공적인 로그인' 이후에도 사용자의 행위를 신뢰하지 않습니다. 이를 막기 위해서는 '동적 접근 제어(Dynamic Access Control)'가 필요합니다. 즉, 상담사의 권한을 단순히 'DB 조회 가능' 상태로 두는 것이 아니라, 현재 콜 분배 시스템(CTI)을 통해 해당 상담사에게 실제로 전화가 연결된 '그 특정 고객'의 데이터에만 일시적으로 접근(복호화)이 허용되도록 시스템 간 연동을 강제하여 선제적으로 차단합니다.

 

 

 

 

 

 

기사 출처 : https://v.daum.net/v/20260406213456694