이 기사는
2026년 01월 15일 18:07 IB토마토 유료 페이지에 노출된 기사입니다.
대형 플랫폼을 중심으로 개인정보 유출 사고가 잇따르면서, 기업의 정보보안 책임에 대한 사회적 경각심이 한층 높아지고 있다. 특히 소비자의 개인정보를 직접 수집·관리하는 B2C(기업과 소비자 간 거래) 기업에게 정보보안은 더 이상 선택의 문제가 아니라 생존을 가르는 필수 과제로 떠올랐다. 특히 최근 프랜차이즈 업계를 중심으로 배달 플랫폼 의존도를 낮추고 자사 애플리케이션을 강화하려는 흐름이 뚜렷해지고 있다. 자사앱을 통한 주문·결제·멤버십 이용자는 빠르게 늘고 있지만, 그 성장 속도에 걸맞은 정보보안 체계가 충분히 갖춰졌는지는 여전히 미지수다. 이에 <IB토마토>는 식음료 업계를 중심으로 자사앱 보안 현황과 투자 수준을 점검하고, 구조적 취약점과 보완 과제를 짚어본다. 나아가 자사앱 시대에 기업들이 어떤 정보보안 전략을 갖춰야 하는지 그 방향과 과제를 조명한다.(편집자주)
[IB토마토 이보현 기자] 대규모 개인정보 유출 사고가 터지는 가운데, B2C 플랫폼의 정보보안 체계가 도마 위에 올랐다. 최근 외식업계가 배달 애플리케이션 수수료 부담을 탈피하기 위해 자사앱을 확대하고 있다. 이에 이들 업계의 개인정보 보안 관리 실태에도 우려의 시선이 쏠린다. 특히 할인·멤버십을 앞세워 고객 데이터를 축적하고 있지만, 보안 운영 방식은 여전히 불투명하다는 지적이 나온다.
(사진=외식업계 자사엡 홈페이지)
개인정보 유출 사고 터지는데 난립하는 자사앱
15일 관련 업계에 따르면 지난해 말 유통 플랫폼 1위 ‘쿠팡’에서 3370만명의 개인정보 유출 사고가 발생했다. 이후 소비자들의 불안심리를 악용한 보이스피싱 범죄가 잇따랐고, 전국 소비자단체는 쿠팡에 대해 집단소송을 걸었다. 교육업계 상위 기업 ‘교원그룹’도 올해 초 랜섬웨어 공격에 따른 데이터 외부 유출 정황을 확인했다고 밝혔다. 서비스 이용자 약 960만명(중복 포함)이 유출 영향권 내로 추정되며, 미성년자 개인정보가 대다수라 학부모들의 우려도 커지고 있다.
소위 업계에서 ‘대형’, ‘상위권’이라고 불리는 B2C 플랫폼들의 정보보안 체계가 무너지며, 최근 몸집이 커지고 있는 프랜차이즈 업계 자사앱 보안 수준에도 이목이 쏠린다.
최근 몇년 간 외식업계에서는 배달앱을 떠나 자사앱을 강화하는 흐름이 강하게 나타나고 있다. 높은 배달앱 수수료 부담으로, 데이터 주도권을 확보하지 못하면 ‘수수료의 굴레’에서 벗어나지 못하는 상황으로 이어져서다. 특히 배달이 주력인 외식업계를 중심으로 이러한 현상이 두드러진다. 이들은 자사앱의 회원수 증가와 함께 간편결제, 할인쿠폰 등의 실적에 대한 홍보에 힘주고 있다.
‘락인 효과’를 노린 전략도 눈에 띈다. bhc는 자사앱으로 일정 횟수의 주문 미션을 수행해야 혜택을 받을 수 있도록 했다. BBQ는 앱을 통한 주문, 멤버십, 이벤트를 통합 운영해 로그인 기반 쿠폰 지급을 확대했다. 교촌치킨은 주문 횟수와 이용 패턴에 따라 혜택을 차등 제공한다.
이처럼 자사앱을 할인 쿠폰 지급 통로로만 사용하는 게 아니라, 주문 데이터를 축적시키며 체류와 반복 주문을 유도하는 수단으로 활용하고 있지만 개인정보 보안 운영 방식은 베일에 쌓여 있다는 지적이 제기된다. 자사앱을 통해 습득한 개인정보는 기업에게는 자산이지만, 소비자에겐 부담이 될 수 있다. 주문 내역, 결제 정보, 위치 기반 데이터(주소)는 소비자 입장에서 개인정보 유출 등의 단초가 될 수 있기 때문이다.
버거킹 자사앱 내 개인정보 수집 고지 항목. (사진=버거킹 자사앱)
통일성 없는 개인정보 관리…선택 수집부터 파기 고지까지 ‘제각각’
<IB토마토>가 주요 외식업체들의 자사앱 운영 실태를 취재한 결과, 자사앱 이용 시 요구하는 개인정보 범위는 대부분 유사한 것으로 나타났다. 각 사 모두 개인정보보호법, 전자상거래 등에서의 소비자보호에관한법률, 통신비밀보호법 등 현행법에 따라 개인정보를 취득 및 처리하고 있다.
공통적인 수집 항목은 이름, 휴대폰 번호, 주소, 생년월일, 성별, 이메일, 아이디, 비밀번호 등이다. 수집 기간은 정보 종류와 현행법에 따라 최소 3개월에서 5년까지다. 웹사이트 방문기록은 3개월, 대금결제 및 재화 등의 공급에 관한 기록은 5년 등이다.
수집 항목과 기간은 비슷하지만, 고지 범위·선택수집 항목·수탁업체 고지 유무 등에서 차이가 났다. 교촌치킨은 선택 수집항목에 주소를 포함시켰다. 그러나 이를 허용하지 않을 경우 부가서비스·이벤트 응모과정에 참여가 불가능하다.
개인정보 파기방법 고지 시에는 ‘종이에 출력된 개인정보는 분쇄기로 분쇄, 소각을 통해 파기’하거나 ‘전자적 파일 형태로 저장된 개인정보는 기록을 재생할 수 없는 기술적 방법을 사용해 영구 삭제’한다고 고지됐다. 이에 대한 입증은 오롯이 기업의 ‘양심’에 달려 있다.
교촌치킨 자사앱이 소비자 개인정보를 제공하는 ‘수탁업체’는 총 6곳(푸드테크, 푸드데시, NHN페이코 주식회사, 다우기술, NHN한국사이버결제 주식회사, 네이버클라우드)이다. 일부 업체에서는 수집기간을 ‘계약 종료’ 시까지로 명시했다. 현행법상 수집 기간이 최대 5년이지만, 수탁업체에서 관리하는 수집 기간은 다를 수 있다는 것이다.
외국에 본사를 둔 기업은 필수 수집 항목이 타 기업보다 범위가 넓었다. 맥도날드는 필수 수집 정보에 구매내역을, 버거킹은 주문 및 배송정보·성별을 포함시켰다. 특히 버거킹의 경우에는 개인정보 항목, 보유기간, 법적근거는 고지했지만 수집 목적에 대한 고지는 없었다.
BHC는 위치정보, 주소록, 상품 구매정보, 공동현관 출입번호, 알레르기 정보 등을 선택 수집사항으로 뒀다. 배달을 이용하는 일부 소비자들의 경우 필수로 제공해야 하기 때문에 ‘선택’의 범위가 아니다.
BHC의 파기 방법 또한 고지 방식에서 오해의 여지가 있다. BHC 측은 개인정보 파기 방법에 대해 ‘관계 법령의 규정에 따라 일정기간 개인정보를 보관해야 할 경우, 회사는 해당 기간 동안 개인정보를 안전하게 보관한 후 삭제’한다는 방침이다. ‘안전한 보관’은 주관적인 해석으로, 소비자는 정확한 규정을 알 수 없다.
맘스터치도 주소 수집을 선택항목으로 뒀지만, 이를 허용하지 않을 경우 배달이 불가했다. 배달을 주력으로 운영하는 앱에서 선택항목인 ‘주소’는 사실상 필수 수집인 셈이다.
파기방식에서도 유사한 문제를 보였다. ‘보유기간 경과, 수집 목적의 달성, 회원탈퇴로 인해 더 이상 개인정보가 필요 없게 됐을 시까지 보관, 이후 지체 없이 파기’한다고 고지됐지만, 해당 기간에 대한 언급은 없다.
지난 14일 국회 정무위원회 소속 민병덕 더불어민주당 의원은 개인정보 유출 사고 발생 시 소비자가 즉시 서비스 탈퇴와 개인정보 삭제를 요구할 수 있도록 하는 전자상거래법 개정안을 대표 발의하며 "플랫폼의 성장에 걸맞은 책임을 부과하고 개인정보를 기업의 자산이 아닌 국민의 기본권으로 보장해야 한다"고 주장했다.
이보현 기자 bobo@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지