[단독] "성적 표현 콜센터 잘못" 쿠팡이츠, '무제한 권한' 줬었다

천호성 2022. 1. 20. 16:46
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
쿠팡이츠 논란, IT업계선 "있을 수 없는 일" 경악
"앱 배포 권한 부여한 게 진짜 문제" 지적
"콜센터가 노출 페이지 수정권 가진 건 처음 봐"
배포 권한 분산·테스트 페이지 노출 제한이 '기본'

‘쿠팡이츠’ 앱에 저속한 성희롱·여성 비하 표현을 담은 테스트 페이지가 노출돼 논란이 일고 있는 가운데, 쿠팡 쪽이 ‘본사가 아닌 협력업체가 한 일’이라고 책임 떠넘기기에 나섰다. 이 협력업체는 쿠팡이츠 입점업체들의 상담 업무를 맡은 ‘콜센터’로 확인됐다. 정보기술(IT) 업계 종사자들 사이에서는 “쿠팡의 서비스 관리 체계에 심각한 문제가 있다”는 질책이 쏟아진다. 앱 내 데이터를 고칠 수 있는 권한을 협력업체에 무제한으로 부여한 게 ‘진짜 문제’라는 지적이다.

20일 <한겨레> 취재 내용을 종합하면, 쿠팡은 지난 18일 쿠팡이츠 앱에 저속한 성적 표현이 담긴 테스트 페이지가 노출된 데 대해 자체 조사를 벌여 ‘본사가 아닌 협력업체 콜센터 직원의 잘못’이라는 결론을 냈다. 콜센터가 입점업체들의 상담을 도울 목적으로 부여된 가상 페이지 접근 권한을 악용해 메뉴 설명 등을 고치고 앱에 배포까지 했다는 것이다. 쿠팡이츠는 20일 입장문을 내어 “외부 협력사가 테스트 계정을 통해 부적절한 단어를 사용한 것을 발견해 즉각 삭제 처리했다”고 밝혔다.

아이티 업계에서는 문제의 페이지를 콜센터가 수정·배포했다는 데 대해 ‘이해할 수 없다’는 반응이 나온다. 사고 발생 시 책임을 질 수 없는 협력업체에 과도한 권한이 부여됐다는 것이다. 앱·웹 페이지를 수정하고 새 기능을 배포하는 작업은 일반적으로 큐에이(QA·Quality Assurance)·기획자·개발자 등 아이티 엔지니어들이 맡는다. 그런데 쿠팡이츠에서는 앱 개발 업무와 무관한 콜센터 직원이 어드민(운영·관리 권한)에 접속해 테스트 페이지를 고칠 수 있었다.

한 대형 포털업체 기획자는 <한겨레>에 “이커머스 회사의 경우 고객 구매이력 조회 등을 위해 콜센터에도 일부 어드민 접근권을 주는 경우가 있지만, 실제 이용자에게 노출될 페이지를 수정할 권한까지 주는 건 처음 봤다”며 “어드민 접근권은 본사 직원끼리도 차등을 둬 철저히 제한하는 게 일반적”이라고 지적했다.

최근 ‘쿠팡이츠’ 앱에 노출된 테스트 페이지. 노골적인 성적 표현이 그대로 올라왔다.

최근 ‘쿠팡이츠’ 앱에 노출된 테스트 페이지. 노골적인 성적 표현이 그대로 올라왔다.

쿠팡의 부실한 데이터 검수 체계도 도마 위에 올랐다. 대다수 아이티 기업에서는 직원의 실수나 일탈에 대비해 작업자들이 ‘크로스 체크’(교차 확인)를 하는 시스템을 만든다. 예를 들어, 큐에이 등은 테스트 서버에서 진행한 테스트의 결과물을 (이용자에 노출되는) 리얼 서버로 직접 배포(오픈)할 수 없다. 배포는 개발자가 맡는다. 수정된 기능을 최종 배포하기 전에는 대개 기획자나 큐에이의 승인을 재차 거쳐야 한다. 세 직군 중 한쪽이 실수·일탈을 하더라도 다음 공정에서 이것을 확인해 바로잡기 위해서다.

네이버 등 대다수 플랫폼 회사는 테스트 페이지용 데이터와 회원·입점사 등의 리얼(실제) 데이터도 따로 관리한다. 혹여 여러 직군이 동시에 실수를 저지르더라도 테스트 데이터가 한번에 고객에 노출되지 않는다. 한 이커머스 회사 개발자는 <한겨레>에 “협력업체만이 아니라 본사 개발자도 테스트페이지 수정 중에 바로 앱 배포를 하지 못하도록 서버 구조 상의 안전장치들이 있다. 쿠팡이츠의 경우 (돌발사고에 대한) 필터링이 없던 것 같다”고 전했다.

전문가들은 “쿠팡이 불어난 몸집 만큼이나 시스템 ‘기초 공사’에 신경써야 한다”고 입을 모은다. 회사의 감독 범위를 벗어난 이들이 앱 데이터를 주무르는 지금의 방식으로는 언제든 같은 사건이 반복될 수 있다는 것이다. 김미란 울산과학기술원(UNIST) 컴퓨터공학과 교수는 “협력업체에 (불가피하게) 권한을 주더라도 홈페이지·앱 등의 최종 업데이트 전에는 본사 관리자의 최종 승인을 거치게 하는 검수 시스템을 마련해야 할 것”이라고 말했다.

이에 대해 쿠팡 쪽은 “(문제가 된 페이지는) 앱 개발이나 시스템 테스트 과정과는 무관했다. 외부 협력사가 입점업체 점주를 상담할 때 점주와 동일한 환경의 테스트 스토어를 보면서 설명하게 하기 위한 용도였다”며 “입점업체 점주가 보는 것과 동일한 가상 매장이어서 (문구 등) 메뉴 수정과 오픈 기능이 있다”고 설명했다. 쿠팡은 이어 “협력사의 관리 책임은 물론 해당 직원에 대해서도 강력한 조처를 검토하고 있다”고 밝혔다.

천호성 기자 rieux@hani.co.kr

Copyright © 한겨레. All rights reserved. 무단 전재, 재배포 및 크롤링 금지.

이 기사에 대해 어떻게 생각하시나요?
한겨레에서 직접 확인하세요. 해당 언론사로 이동합니다.