쿠팡 운송장 QR코드, 고객 상세 주소 암호화 없이 그대로 노출...개선 촉구

쿠팡 운송장 QR코드가 고객 상세 주소 등 개인정보를 암호화 없이 노출해 보안 우려가 커지고 있다.

[한국정보기술신문] 쿠팡 자체 운송장에 인쇄된 QR코드가 고객의 배송지 상세 주소와 이름 등 개인정보를 암호화 처리 없이 노출하는 것으로 확인됐다. 별도의 인증 절차나 전용 단말기 없이 스마트폰 카메라만으로도 타인의 주거 정보를 즉시 파악할 수 있어 스토킹, 피싱 등 범죄에 악용될 수 있다는 우려가 제기되고 있다.

스마트폰으로 찍으면 주소 그대로 노출

전자신문이 직접 쿠팡 배송 상품의 운송장 QR코드를 iOS 및 안드로이드 스마트폰으로 스캔한 결과, 운송장 번호, 배송지 상세 주소(동·호수 포함), 가운데 글자가 가려진 고객 이름이 즉각적으로 나타났다. QR코드에는 암호화되지 않은 평문(Plaintext) 상태로 배송 정보가 담겨 있었다.

통상적으로 택배 운송장은 배송 기사, 물류센터 작업자 등 여러 사람의 손을 거치며, 배송 완료 이후에도 택배 상자가 일정 시간 외부에 노출되는 경우가 많다. 이 때문에 개인정보 보호 관리는 물류 업계에서 중요한 과제로 꼽힌다. 현재 주요 택배사들은 개인정보 유출 방지를 위해 수령인 이름과 전화번호가 적힌 부분을 스티커 형태로 제작해 쉽게 떼어낼 수 있도록 하거나, 주요 정보를 별표(*) 기호로 가리는 마스킹 처리를 강화하는 방향으로 나아가고 있다.

스티커 제거해도 QR코드로 정보 되살아나

문제의 핵심은 쿠팡의 QR코드가 송장에서 떼어낼 수 있는 스티커 영역이 아닌 박스나 비닐 포장재에 직접 인쇄된 부분에 자리잡고 있다는 점이다. 고객이 주소지가 적힌 스티커를 제거하고 박스나 비닐을 배출하더라도, 포장재에 남아있는 QR코드를 스캔하면 지워진 개인정보가 디지털 데이터로 고스란히 되살아난다.

아이러니하게도 쿠팡은 개인정보 보호를 위해 운송장을 폐기하라는 안내 문구를 송장에 기재해 놓고 있다. 그러나 정작 모든 배송 정보를 불러올 수 있는 QR코드는 제거하기 어려운 위치에 인쇄돼 있어 보안 설계의 모순이라는 지적을 피하기 어렵다.

공동주택 분리수거장에 운송장이 붙은 채로 버려진 비닐 포장이나 현관 앞에 놓인 쿠팡 배송 상자가 있다면, 누구라도 스마트폰 하나로 타인의 거주지 정보를 수집할 수 있는 상황이다.

개인정보위도 마스킹 강화 권고

개인정보보호위원회는 이미 택배 수령자가 송장을 쉽게 떼어내 파기할 수 있도록 운송장을 제작할 것을 권고하고 있으며, 마스킹 방법의 통일도 촉구한 바 있다. 그러나 이번 쿠팡 사례는 QR코드를 통한 정보 노출이라는 새로운 사각지대를 드러낸 셈이다.

업계에서는 쿠팡이 운송장 QR코드 구조 자체의 결함을 개선해야 한다는 목소리가 높다. 쿠팡은 이미 고객 개인정보 유출 사태로 논란을 겪은 바 있어, 데이터 관리 영역 이외에서도 개인정보 보호에 각별한 주의를 기울여야 한다는 지적이 나온다. 업계 관계자는 "운송장 폐기 시 QR코드도 완전히 파기해야 한다는 안내를 고객에게 제공해야 하며, 고객 정보 관리를 위한 더욱 세밀한 조치가 요구된다"고 밝혔다. 쿠팡 측은 현재 운송장과 QR코드 인쇄 방식에 대한 개선 방안을 모색하고 있는 것으로 알려졌다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org