글. 전광일 SK플래닛 11번가 SCM팀장
얼마 전 카드사의 개인정보 유출 문제가 사회적으로 큰 문제가 되었던 적이 있었다. 이를 지켜보면서 전자상거래 물류 관점에서 개인정보 관리에 대한 생각을 해봤다. 왜냐하면 개인정보를 가장 많이 취급하고 있는 곳 중에 하나가 전자상거래 분야이기 때문이다.
2008년 2월 오픈마켓‘옥션’사이트 해킹으로, 전체회원 1860만명의 정보가 유출되는 사고가 발생한 적이 있다. 최근 소셜커머스‘티켓몬스터’에서도 2011년 사이트 해킹으로 인해 회원 113만명의 개인정보가 유출되었다는 사실이 알려지면서 전자상거래 플랫폼 내에서의 개인정보 관리 문제가 이슈가 되었다.
그렇다면 전자상거래 분야에서 개인정보를 많이 취급할 수밖에 없는 이유는 무엇일까? 전자상거래와 관련된 웹플랫폼을 한 번 이라도 이용해 본 사람이라면 그 이유를 쉽게 짐작할 수 있다.
전자상거래 기업들은 고객이 주문한 상품을 배송하기 위해서 이름/주소/전화번호와 같은 개인정보 입력이 필수로 필요하다. 이 때문에 업체들은 고객들의 개인정보들을 모두 데이터화해서 관리하고 있다.
정보 유출사고들은 대부분 기업 내부의 문제가 아닌 외부의 전문 해커들에 의해 발생한 사건들이긴 하지만, 이런 사고들이 기업에 대한 고객들의 신뢰에 영향을 줄 수 있기때문에 기업들은 개인정보 관리에 더욱 강화된 관리 체계를 적용할 필요가 있다.
전자상거래 프로세스상 개인정보를 가장 많이 취급하고 있는 곳은 어디일까 ?
데이터를 직접 관리하고 있는 시스템 부서를 제외하고는 고객만족센터와 물류센터를 꼽을 수 있다.
먼저 고객만족 센터의 경우 실제로 몇 차례의 개인정보 유출 문제가 발생한 적이 있었으며 이로 인해 시스템보안과 관리 프로세스를 강화해 나가고 있는 추세이다.
물류 부서에서도 지난 3월, CJ대한통운에서 배송기사가 택배 배송정보조회 프로그램을 이용해 특정인의 개인정보를 수집한 뒤 심부름센터 업주에게 돈을 받고 전달하는 사고가 있었다.
다행히 이 사건의 경우, 택배 관리 프로그램을 통한 개인정보의 다운로드와 대량 조회가 불가하여 대량의 개인정보 유출 사고까지 이어지지는 않았지만, 물류 프
로세스 내에서도 개인정보 유출 피해가 나타날 수 있다는 가능성을 보여준 사건이다.
전자상거래 분야가 성장하면서 오픈마켓과 종합몰은 물론 개인 쇼핑몰도 함께 성장하고 있다. 그렇다면 쇼핑몰 입점 판매자들과 개인 쇼핑몰 업체들의 물류는 어떻게 이뤄지고 있는지 한번 살펴보도록 하겠다.
표1의 프로세스를 보면 알 수 있듯이 개인정보를 취급하는 자료를 엑셀을 통한 다운로드와 업로드로 관리하고 있는 일반 판매업체는 물론, 물류 3PL 업체에서도
WMS(warehouse management system) 없이 주문정보를 다운받아 택배사 프로그램에 업로드하는 방식으로 운송장을 출력하여 작업하고 있는 곳이 대부분이다.
물류센터의 데이터 관리 문제 외에도 개인정보가 인쇄되어있는 운송장의 취급 부주의로 인한 유출 문제가 발생할 수도 있다. 물류센터에서 반품으로 입고되는 주
문을 처리하고 난 후, 박스에 부착되어있는 운송장을 박스에서 제거하지 않고 박스 폐기 업체에 전달하거나 제거하더라도 일반폐기물로 취급하여 쓰레기봉투에 버리는 경우가 많기 때문이다.
이런 고객 반품의 경우에도 출고량 대비 적게는 1%에서 많게는 30% 가까이 발생하고 있기 때문에 그에 따른 개인정보 유출량은 결코 무시할 수 없는 수치이다.
전용 물류센터의 경우도 점검해볼 필요가 있다.
전자상거래 전용 물류센터의 경우 전문적인 WMS를 사용하고 있으며 상위 프로그램과 I/F(Back office)를 통해 데이터를 관리하고 있기 때문에 상대적으로 개인정보 관리 체계가 강화되어 있다. 왜냐하면 시스템 솔루션을 통한 체계적 관리는 주문 정보의 다운로드와 업로드 작업을 필요 없게 만들기 때문이다.
하지만 WMS 내부에도 고객 정보를 조회하거나 엑셀로 다운로드 할 수 있는 기능들을 보유하고 있는 경우가 많다. 예를 들어서 대부분의 시스템 내에서 주문 정보와 출고 완료 정보를 조회하면 주문단위별로 이름/전화번호/주소 등이 포함돼 있는 데이터가 모두 표시되는 것을 볼수 있다. 그리고 그런 자료들에 대한 다운로드 기능 또한 활성화되기 때문에 전문적인 프로그램을 사용하고 있더라도 고객정보 보안문제의 위험은 항상 존재하고?있다고 볼 수 있다.
지금까지 배송과 반품 과정에서 개인정보가 유출될 수 있는 몇 가지 포인트를 살펴보았다. 쇼핑몰 또는 전자상거래 물류센터에서는 위에서 언급했던 내용들을 파악하여 개인정보가 포함되어있는 엑셀 정보 작업이 끝난 후에 바로 삭제하여 데이터가 유출되지 않도록 프로세스화 해야 할 것이다.
관리 프로그램을 사용하는 것도 좋은 방법이다. 최근 들어 쇼핑몰들의 주문 정보를 취합해서 픽킹&팩킹 후 배송 정보를 쇼핑몰에 업로드해주는 관리 프로그램도 다수 개발되었기 때문이다. 물류센터에는 문서 파쇄함을 비치하여 픽킹&팩킹이 완료되고 남은 운송장과 반품 주문에 부착되어있는 운송장을 바로 파쇄할 수 있도록 관리해야 할 것이다.
필자가 관리하고 있는 물류센터에는 운송장 및 개인정보가 취급되고 있는 위치에 시건장치가 되어있는 파쇄함을 설치해놓고 주기적으로 작업을 완료하고 남은?출고 운송장들과 반품으로 입고된 주문의 작업이 완료되고 나오는 운송장을 수거하여 매월 전문 파쇄업체를 통해 폐기하고 있다. 만약 대량 물량을 처리하고 있는 물류센터를 운영하고 있다면, 필자가 이용하고 있는 방법도 검토해보면 좋을 것이다.
또 전용 물류센터에서는 WMS 상에서 개인정보를 조회할 수 있는 기능들이 활성화 되어있는지를 확인하고 작업에 꼭 필요한 내용이 아니라면 해당 기능들을 비활성화 하거나 민감한 정보의 칼럼은 삭제하여 개인 정보 유출을 미연에 방지해야 할 것이다.
고객정보 보안관리를 강화하는 것은 기업에 있어서 필수 요소이다. 최근에는 방송통신위원회에서 개인정보의 대량유출 사고를 방지하기위해 개인정보보호 관리체계인 PIMS라는 인증제도를 시행하고 있다. 때문에 개인정보를 취급하고 있는 물류업계에서도 해당 인증을 취득하여 개인정보 유출을 예방할 수 있는 노력
도 함께하는 것도 좋은 방법이다.
PIMS는 ‘ 개 인 정 보 보 호 관 리 체 계 (Personal Information Management System)’의 약자로, 이에 대한 인증제도를 포함해 그 의미가 통용되고 있다. 방송통신위원회에서 심의?의결한‘개인정보보호 관리체계인증제 도입에 관한 건(제2010-66-273호)’에 근거하여 지난 2010년 도입되었다.
개인정보보호 관리체계 인증이란 개인정보를 취급하는 기업이 전사 차원에서 개인정보 보호 활동을 체계적, 지속적으로 수행하기 위해 필요한 보호조치 체계를 구축했는지 점검받아 일정 수준 이상을 충족했을 경우 인증을 부여 받는 것이다.
국내 전자상거래에서는 11번가와 이베이와 쿠팡에서 취득하여 개인정보 보호 정책을 강화하고 있는 중이다. 과거 물류센터 관리 기준은 센터에서 취급하는 상품과 관련해서 화재, 분실 등 재산적 손실이 발생하지 않도록 하는 것에 초점을 맞춰왔다. 이런 기준들은 과거 물류기업들이 기업 물류를 기반으로 하고 있었기 때문에 등장한 것이다.
최근 전자상거래 시장이 크게 성장하면서 전자상거래 물량만을 취급하는 전문 물류센터가 속속 등장하고 있다. 이런 전문 물류센터는 고객정보를 통해 고객에게 상품을 배송하고 있기 때문에 수만에서 수백만의 개인정보를 취급하고 있다. 그렇기 때문에 이런 전자 상거래 물류센터의 경우 여태까지 해왔던 상품의 안정적 관리는 물론, 개인정보의 안정적 관리에 대해서도 염두에 두어야 할 것이다.