“이러려고 할인쿠폰 살포했나”…버거킹, 아동 개인정보 무단수집 철퇴

키오스크 주문·예약대기 서비스 보안위험
‘앱 정보 무단수집’ 버거킹 과징금 9.2억원
메가커피, 미동의 회원에 마케팅문자 발송
캐치테이블 등은 고객정보 외부 노출 위험

버거킹 로고. <연합뉴스>

식음료 기업들이 운영하는 원격 예약 서비스나 주문용 키오스크 서비스 등에서 대거 개인정보 관리 미흡 사례가 발견됐다.

버거킹은 만 14세 미만 아동의 개인정보까지 동의 없이 수집했으며, 메가MGC커피는 마케팅 활용에 동의하지 않은 경우에도 마케팅 메시지를 발송한 것이 확인됐다.

개인정보보호위원회는 지난 11일 제3회 전체회의를 열고 식음료 분야 10개 사업자의 개인정보보호법 위반 행위에 대해 총 15억6600만원의 과징금과 1억1130만원의 과태료를 부과를 의결했다고 12일 밝혔다.

이번 건은 개인정보위가 식음료 분야를 대상으로 진행한 개인정보 실태조사에 따른 후속 조치다.

최근 음식점과 카페에서 원격 예약 및 대기를 위한 서비스와 키오스크 주문 방식이 확산되면서 개인정보위는 대규모 개인정보 처리가 수반되는 해당 서비스들이 적합하게 개인정보를 수집하고 처리하는지 점검했다.

조사 결과 와드(캐치테이블), 테이블링(테이블링), 야놀자에프앤비솔루션(도도포인트·나우웨이팅) 등 3곳의 플랫폼 사업자와 에스씨케이컴퍼니(스타벅스), 비케이알(버거킹), 엠지씨글로벌(메가MGC커피), 한국맥도날드(맥도날드), 투썸플레이스(투썸플레이스), 이디야(이디야), 더본코리아(빽다방) 등 7곳의 프랜차이즈 사업자가 개인정보보호법 위반으로 제재를 받았다.

식당 원격 예약이나 대기를 위해 활용하는 플랫폼 서비스의 경우 오프라인과 온라인에서 수집된 개인정보를 연동하면서 원격 예약과 현장 대기 고객의 개인정보가 외부에 노출된 상태로 운영한 것으로 나타났다.

버거킹은 법정대리인 동의 없이 모바일 앱 회원가입 과정에서 만 14세 미만 아동의 개인정보를 법정대리인 동의 없이 수집하고 이용한 것으로 조사되면서 이번 처분 중 가장 큰 규모인 9억2400만원 과징금과 과태료 1530만원을 부과받았다.

이번 조치에 대해 버거킹 운영사인 비케이알은 “본사는 시스템 미비 발견 즉시 시스템 개선 조치를 완료했으며, 현재는 동일한 시스템 공백은 존재하지 않는다. 보다 안정적인 서비스를 제공하기 위한 노력을 이어가겠다”라고 밝혔다.

서울 마포구에 있는 한 메가MGC커피 매장. <메가MGC커피>

메가MGC커피는 회원가입 시 마케팅 활용에 동의하지 않은 경우에도 자동으로 동의 처리되도록 설정하면서 미동의 회원에게 마케팅 메시지를 발송했다. 메가MGC커피에는 과징금 6억4200만원과 과태료 1530만원이 부과됐다.

이외에도 매장 키오스크 주문 시 휴대전화번호를 입력하지 않으면 주문이 불가능하도록 서비스를 운영한 투썸플레이스, 마케팅 동의 등 별도 동의 사항을 포괄적으로 동의받은 빽다방 같은 사례도 확인됐다.

특히 대부분 사업자는 보유기간이 경과하거나 처리목적이 달성된 개인정보를 파기하지 않고 보관하고 있었으며, 접근권한 관리와 접근통제, 접속기록 보관 등 안전조치 의무를 소홀히 한 사실도 확인되면서 과태료 처분이 내려졌다.

개인정보위는 과징금·과태료 처분과 함께 재발 방지를 위해 사업자들에게 시정명령과 공표명령도 함께 처분했다.

이정은 개인정보위 조사2과장은 “앞으로도 국민 실생활과 직결된 분야를 중심으로 상시 점검과 사전 예방 활동을 강화해 나가겠다”고 밝혔다.