[배달의민족] 외주 상담사 내부정보 무단조회로 개인정보 악용 정황_2026년 03월

외주 상담사가 위장 취업 후 고객 개인정보를 무단 조회·유출하고, 이를 기반으로 보복 범죄까지 이어진 내부통제 실패형 사고

□  개요 

   2026년 3월, 배달 플랫폼 배달의민족에서 외주 고객센터 상담사가 고객 개인정보를 무단 조회하고 외부 조직에 전달한 사건이 발생했다. 해당 정보는 단순 유출을 넘어 실제 ‘보복 테러(오물 투척·낙서 등)’ 범죄에 활용된 것으로 확인되며 사회적 파장이 커졌다.
운영사 우아한형제들은 사고를 인지 후 개인정보보호위원회 신고 및 피해자 통지, 외주업체 계약 해지 등 대응에 착수했다.

 

□  사고내용 요약  

    1. 회사명 : 배달의민족 (운영사: 우아한형제들)
    2. 사고유형 : 내부자(외주 인력)에 의한 개인정보 무단 조회 및 악용

    3. 유출규모
        - 조회 약 1,000건
        - 비정상 접근(무단 조회) 약 555건
        - 실제 범죄 활용 약 30건 (수사 기준)
    4. 유출항목
        - 이름
        - 주소
        - 전화번호
        - 상담 이력 정보 등

    5. 특이사항
        - 외주 상담사 위장 취업 후 내부 시스템 접근
        - 전화번호 기반 조회 구조 악용
        - 단순 유출이 아닌 오프라인 보복 범죄로 직접 연결
        - 텔레그램 기반 ‘보복 대행 조직’과 연계

□  사고대응 타임라인  

    -  2026년 01월 : 보복 테러 사건 발생 (오물 투척·낙서 등)
    -  2026년 03월 초 : 경찰 수사 과정에서 개인정보 유출 정황 확인
    -  2026년 03월 : 배달의민족 대상 압수수색 진행
    -  2026년 03월 : 외주 상담사 및 조직원 검거
    -  2026년 03월 30일 : 배민 공식 사과 및 재발방지 대책 발표

□  개인정보 유출 관련 홈페이지 안내   

    피해 고객 대상 개별 통지 진행

□  대응내역  

    -  외주업체 계약 해지 절차 진행
    -  외주 상담 인력 전수 조사 및 감사
    -  개인정보 접근 권한 및 조회 로그 점검
    -  경찰 수사 적극 협조
    -  내부통제 및 채용 검증 절차 강화 추진

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       - 개인정보 조회 시 RBAC + 최소권한 원칙 적용
       - 상담 이력 조회 범위 제한 (본인 처리 건만 조회)
       - 이상 행위 탐지 (대량조회·과거이력 조회 탐지)
       - 개인정보 조회 시 마스킹 및 안심번호 적용
       - 내부 사용자 행위 분석(UEBA) 도입

    2. 관리적 조치
       - 외주 인력 보안 심사 및 신원 검증 강화
       - 내부자 위협 대응 정책 수립 (Insider Threat)
       - 개인정보 접근 로그 상시 모니터링 체계 구축
       - 외주 운영에 대한 정기 보안 감사 수행
       - 텔레그램 등 범죄 연계 채널 모니터링 강화

□  관련기사(출처)  

• 배민 외주 상담사, 개인정보 555건 몰래봤다…인분 테러 충격 내막 - 중앙일보
• 배달의민족 '개인정보' 내부서 뚫려...고객정보 1000건 털어 '보복 테러' - 뉴스후플러스
• 배민, 위장취업자 정보악용에 사과…"내부통제 강화" - 연합뉴스

 

감사합니다.