최근 택배산업의 성장과 물량이 급격히 증가하면서 피해 사례가 계속해서 늘어나고 있다. 현재 택배 서비스 이용 시 피해가 발생한 경우 책임소재 입증불가 및 사업자의 책임회피로 택배를 이용하는 고객들은 피해보상을 제대로 받지 못하고 있다. 특히, 운송물 분실 시 택배사업자와 수하인 또는, 대리인의 책임소재를 입증할 수 있는 증거자료가 부족하기 때문에 책임이 불명확하고 책임소재 파악을 위해 많은 시간이 소요된다. 이를 사전에 방지하기 위해서 관련된 증거를 생성, 수집, 유지, 활용, 입증 등이 반드시 필요하다.
최 민 석 ┃ 고려대학교 정보보호대학원 박사과정(koreacms@korea.ac.kr)
이 동 훈 ┃ 고려대학교 정보보호대학원 교수(donghlee@korea.ac.kr)
 |
현재 택배 서비스 피해 발생 시 피해 구제절차가 복잡하고 증거자료 부족 등으로 많은 시간과 비용이 소요되고 있으며, 대부분의 피해자들은 제대로 된 피해보상을 받지 못하고 있다. 공정거래위원회 표준약관 제10026호에서는 운송물의 멸실, 훼손과 같은 사고 발생 시 손해배상 금액을 운송장에 기재된 운송물의 가액을 기준으로 산정한다고 명시 돼 있다. 하지만 현재 운송장에는 대부분 운송물의 가액이 기재돼 있지 않고 있어 손해배상 금액 산정에 어려움이 있다. 또한, 개인정보보호에 대한 인식이 높아지면서 기업뿐만 아니라 국가적 차원에서도 많은 노력을 하고 있지만, 대부분 전산정보 등에 대한 개인정보보호로 그 외의 부분에서는 개인정보보호에 대해서는 그 노력이 상대적으로 많이 부족하다.
현재 운송장에는 고객의 주소, 이름 또는 상호 및 전화번호 등의 개인정보가 그대로 노출돼 있거나, 고객의 성명과 전화번호와 같은 정보는 일부분 마스킹 처리하고 있다. 이러한 이유로 운송장을 폐기할 때 각별히 신경을 써야 하는 실정이다. 최근 운송장를 이용한 사회공학적 공격사례와 보이스 피싱이 빈번하게 발생되고 있으며, 매년 그 피해액도 증가하고 있다. 오픈마켓과 소셜 커머스 등 전자 상거래 증가와 함께 운송장에 적힌 정보를 악용한 범죄가 많아지고 있으며 그 유형도 보이스 피싱에서 물품 가로채기, 상해, 성범죄에 이르기까지 갈수록 고도화·세분화 되고 있다.
이번 연구에서는 위와 같은 문제를 해결하기 위해 신뢰된 제3의 기관(TTP : Trusted Third Party)을 이용해 발신자 정보를 수신자의 일회용 시큐리티 키로 암호화하고, 수신자 정보를 배송기관의 시큐리티 키로 암호화하는 방법을 이용해 운송장에서 발신자 및 수신자의 정보를 보호하는 프로토콜을 제안한다. 공개키 기반(PKI)의 인증서와 신뢰된 제3의 기관에 의해 생성된 부인방지 토큰을 이용해 발신, 수신, 배송에 대한 부인방지 메커니즘을 제공한다. 신뢰된 제3의 기관은 고객의 개인정보를 보호하기 위해 개인정보를 암호화하고, 암호화된 정보를 다시 코드화해 운송장을 생성한다. 그리고 수집된 증거자료를 활용해 발신, 수신, 배송에 대한 부인방지 서비스를 제공하고 사고 및 분쟁발생 시 증거자료를 제공하는 역할을 담당한다.
물류 운송 서비스 현황과 문제점
물류 운송 서비스 현황
현재 택배산업은 보다 신속하고, 저렴한 비용으로 택배 물량을 운송하기 위해 많은 노력과 투자를 하고 있다. 대표적으로 허브터미널 운영과, 종합정보 시스템 구축 및 인터넷 예약 서비스 등이 있으며, 최근에는 모바일을 활용한 서비스가 제공되고 있다. 택배 시스템의 주요 업무는 크게 배송품 집하와 배송이다. 배송품 집하 업무는 해당 지역의 관할 배송사원이 개인이나 기업 또는 수탁점을 방문해 운송장을 발급하고 배송품을 인수하는 업무를 말하며, 배송 업무는 영업소에서 배송품을 도착지 또는, 배달지 별로 분류 하고 터미널로 운송해 최종적으로 수하인에게 배송품을 인계하는 업무를 말한다. 현재 가장 많이 사용되고 있는 배송품 접수 방법으로는 고객이 택배사업자에게 직접 전화를 해 접수하는 방법이다. 그리고 인터넷 사용이 보편화되고 전자상거래에 친숙한 세대가 소비의 주체로 떠오르면서 인터넷을 이용한 택배 접수도 지속적으로 증가 하고 있다. 현재 택배 시스템에서 배송물의 구분과 업무 프로세스 전산화를 위해 1차원 또는, 2차원 바코드를 사용하고 있다. 하지만 사용되고 있는 바코드는 정보의 양이 한정적이라는 문제점과 각각의 택배사업자 별로 요구하는 역할과 코드화된 정보가 서로 다르기 때문에 통합적으로 관리할 수 없다.
물류 운송 서비스 문제점
2011년 9월 30일자로 시행된 개인정보보호법이 일정기간 계도기간을 거쳐 지난 2012년 3월 30일부터 본격적인 시행에 들어갔다. 택배업체에서는 이번 개인정보보호법 시행과는 큰 관련이 없어 보이지만 일반 고객들을 대상으로 한 택배업체들의 경우 개인정보보호법을 준수해야만 한다.
그러나 지금껏 택배업체들은 이러한 개인정보보호에 대해 둔감하게 반응해왔으며, 택배박스에 부착된 운송장을 통해 개인정보가 유출된 사건이 발생한 후 이를 방지하고자 노력한 사례들은 있지만 전체 취합된 개인정보유출 방지를 위한 노력은 다소 미흡하다. 해당 배송사원들이 수거한 택배운송장을 종이박스에 담아 영업소 구석에 장기간 보관하는 사례가 많았으며, 배송을 위해 스캔 받은 운송장 개인정보들이 아무런 잠금 장치도 없는 컴퓨터상에 보관하는 업체들도 있다. 만약 누군가가 악의적으로 이러한 개인정보를 유출시키고자 했다면 손쉽게 유출이 가능한 구조로 운영되고 있는 현실이다. 또한, 기존에는 고객이 상품을 주문하면 바로 고객의 정보를 택배회사에게 제공했지만, 앞으로는 이러한 절차에 대해 고객에게 통지해야 하며 고객의 개인정보를 제3자(택배회사)에게 제공하기 위해 반드시 동의를 얻어야 한다. 기존에는 배송업무를 처리하는 과정에서 발생한 개인정보유출 사고의 대다수는 택배업체들의 잘못으로 처리되는 경우가 많았으나, 이제는 개인정보를 맡긴 수탁자가 손해배상을 해야만 한다.
현재 물류 운송시스템의 또 다른 문제점으로 배송업무 중 사고나 피해 발생 시 증거자료가 부족해 피해보상을 받는데 소요되는 시간이 오래 걸린다는 점과 분실 시 그 책임이 불분명 하다는 문제점이 있다.
한국소비자원에 따르면 택배 사고(분실·파손·계약위반 등)는 지난 2008년 168건에서 지난해 244건으로 약 45%가량 증가했다. 또한, 경기도 소비자정보센터가 도내 소비자 1,097명과 12개 사업자를 대상으로 택배 서비스 이용 및 운용실태 설문조사를 실시한 결과, 응답자의 28.2%가 택배 서비스 피해를 경험했다고 답했다. 피해내용은 ‘물품 파손’ 과 ‘물품 분실’이 가장 많았고 그 중 68.6%는 피해보상을 받지 못했다고 응답했다. 피해보상을 받지 못한 이유로는 ‘책임소재 입증불가’ 41.2%, ‘사업자의 책임회피’ 36.9% 등이었다. 택배 서비스 이용 시 가장 불편한 점으로는 ‘부재중 처리 미흡’으로 조사됐으며, 개선되길 바라는 점으로는 ‘안전배송’에 관한 의견이 가장 많았다. 현재 택배 서비스에서는 수신 또는 배송에 대한 부인방지 서비스를 완벽하게 제공하지 못하고 있으며, 기존의 수취인 서명 또는 대리인 서명만으로는 사고발생시 증거자료로 활용하기에는 부족한 면이 있다.
관련 연구
지금까지의 택배 서비스에서 고객의 배송품과 개인정보를 보호하기 위해 여러 기술들이 제안됐다. 여기서는 고객의 배송품과 개인정보를 보호하기 위한 기술 중 코팅처리 기술과 가상번호 서비스에 대한 소개, 마지막으로 암호화된 바코드 운송장에 대해 자세히 알아보자.
코팅처리 기술
수기 운송장은 보통 3∼4장으로 이루어져 고객이 송수하인의 주소, 전화번호 등을 기재하면 감압 복사지를 통해 중첩된 여러 장에 모든 정보가 함께 인쇄된다. 때문에 상자를 폐기 시, 개인정보 노출 가능성이 매우 높다. 그래서 개발된 운송장은 배송품에 붙이는 마지막 장의 전화번호 기재란을 코팅 처리해 정보를 제한적으로 인쇄시켜 정보 노출을 방지하는 기술이다.
 |
가상번호 서비스
가상번호 서비스는 해당 고객의 전화번호 대신 암호화 프로그램에 의해 생성된 가상의 전화번호를 사용하는 것이다. 제3자는 고객의 진짜 전화번호를 알지 못한 생태에서도 가상번호를 통해 고객과 직접 통화할 수 있다. 또한, 배송이 완료된 뒤에는 그 번호가 자동 해지되기 때문 운송장이 노출되더라도 고객의 전화번호는 보호할 수 있다.
암호화된 바코드 운송장
운송장 자체를 키 교환 방식으로 암호화해 QR코드 기반의 바코드 운송장을 생성한다. 암호화에 사용된 키는 운송업체와 물품 수령자만 알고 있는 정보이며, 운송장 조회 시, 사용 되기도 한다. 운송장의 모든 정보가 암호화됐기 때문에 제3자는 운송장에 대한 정보를 알 수 없다.
제안하는 서비스
여기서는 이번 연구에서 제안하는 암호화된 QR 코드를 이용해 운송장에서 고객의 개인정보를 보호한다. 또한, 기존의 택배 서비스에서 배송업무 중 사고나 피해가 발생했을 경우 증거자료 부족과 부인방지 서비스를 제공하지 않아 피해보상을 받는데 오랜 시간이 소요되는 문제점과 분실 시 그 책임이 불분명하다는 문제점을 해결하기 위해 신뢰된 제3의 기관을 활용한다. 단, 신뢰된 제3의 기관은 현실적으로 타당성이 없으므로, 증거자료를 생성 및 저장하는 역할과 피해 발생 시 증거자료를 제공하는 역할을 담당한다.
<글 : 시큐리티월드 편집부>
[월간 시큐리티월드 통권 제196호(sw@infothe.com)]
<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
