쿠팡 역대 최대 과징금…"3750만명 정보 유출, 기본 관리 미흡"

쿠팡과 계열사 CFS 총 6249억원 과징금
직전 최대 과징금인 SKT의 4배 이상 부과
CFO 독립성 보장 위반·조사 방해 등 확인
CFS, 경찰청 기자단 71명 취업 제한 등록

지난해 11월 대규모 개인정보 유출 사고를 낸 쿠팡과 계열사 쿠팡풀필먼트서비스(CFS)가 총 6249억원의 역대 최대 과징금 처분을 받았다.

개인정보보호위원회는 전날 전체회의를 열고 쿠팡 처분안을 12시간 넘게 심의한 끝에 안전조치 의무 위반 및 법적 근거 없는 개인정보 수집 동의 등에 대해 과징금 6246억8100만원을 의결했다고 밝혔다. 과태료는 1680만원을 책정했다. CFS에는 개인정보 처리 위반 관련 과징금 2억4800만원을 부과했다.

현행 개인정보보호법에서 정한 개인정보 유출 사고 발생 시 부과할 수 있는 과징금 상한선(전체 매출액의 최대 3% 이내)인 1조3637억원의 절반 수준이다. 직전 역대 최대 과징금 처분을 받은 SK텔레콤(1348억원)과 비교하면 4배 이상 많다.

연합뉴스

"쿠팡 사고, 고도의 해킹 아닌 관리 소홀 문제"

개인정보위는 이번 사고가 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 발생했다고 판단했다. 유출 규모는 약 3750만명으로 결론 내렸다. 계정 기준 3322만여명의 회원 개인정보와 휴대폰 번호 기준 최소 433만명의 회원이 아닌 정보주체(배송지 관리 페이지 내 포함)의 개인정보가 유출됐다고 집계했다.

개인정보위에 따르면 쿠팡은 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 키 관리 시스템을 운영하는 등 접근권한 관리를 소홀히 했다. 키 접근 및 평문 열람이 가능한 해커가 2024년 12월 퇴사했음에도 서명키를 즉각 갱신 또는 폐기하지 않았다. 또 과도한 이상 트래픽이 발생하고 비정상 접속이 다수 있었음에도 해커의 협박 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못했다.

유출 통지·파기 의무와 개인정보보호책임자(CPO)의 독립성 보장 위반, 조사 방해 등도 추가 확인됐다. 쿠팡은 해커에 대한 자체 조사를 진행하고, 그 결과를 홈페이지를 통해 공개하는 과정에서 CPO를 배제했다. 개인정보위는 "유사 사고 재발 방지를 위한 안전조치 강화, 회원이 아닌 정보주체 대상 유출 통지 실시, CPD의 실질적 역할 보장 등을 시정 명령했다"고 설명했다. 이어 "탈퇴회원 개인정보 처리 체계를 개선토록 권고했으며, 3개월 내 이행·조치 결과를 살필 것"이라고 덧붙였다.

이와 함께 쿠팡은 2018년부터 운영 중인 '쿠팡 파트너스'를 이용해 정보주체 권리를 침해한 것으로 드러났다. 2024년 12월 23일부터 2026년 2월 4일까지 타사 웹·애플리케이션(앱)에 접속한 회원 약 1117만명의 온라인 활동 기록을 무단 수집하고, 이용자 개인을 식별한 상태로 데이터베이스(DB)에 저장한 것이다. 쿠팡 광고가 게재된 타사 웹·앱 이용자의 방문기록(URL·앱 이름)과 접속일시, 접속 IP 등이 해당한다.

쿠팡은 2022년 8월부터 제보 등을 통해 납치광고를 인지하고 적발을 위한 신고 제도와 탐지 시스템을 운영 중이라고 소명했다. 적발 시 이용약관이나 운영정책 등에 따라 제재한다고도 했다. 그러나 개인정보위는 일부 광고 파트너에 대해 계정 해지 등 불이익을 적용하지 않고, 오히려 추가 수수료율을 적용하는 등 적절히 제재하지 않은 사실이 드러났다며 법을 위반했다고 지적했다.

개인정보위는 "부정광고(납치광고)를 게재하는 광고 파트너를 적절히 관리·감독하지 않아 이용자 의사에 반해 쿠팡 서비스 이용기록이 수집되도록 한 사실을 함께 확인했다"며 "개인정보 처리 투명성 제고, 맞춤형 광고에 대한 정보주체의 실질적 선택권 보장, 부정광고 방지를 위한 관리·감독 강화 등을 시정명령했다"고 전했다.

송경희 개인정보보호위원회 위원장이 10일 오전 정부서울청사에서 개최된 2026년 제11회 전체회의에서 의사봉을 두드리고 있다. 개인정보위 제공

CFS, 경찰청 출입기자 개인정보 법적 근거 없이 수집

CFS의 경우 2023년 9월부터 2024년 2월까지 물류센터에 근무한 이력이 없는 경찰청 출입기자단 명단(71명)을 수집해 취업제한 목록에 등록한 것으로 파악됐다. 등록 과정에서 정보주체의 동의를 받거나 등록 사실을 알린 바 없어 개인정보 수집·이용 기준을 위반했다. 임직원 건강 관리를 목적으로 보유·관리 중인 근로자의 체중 정보를 산업재해 관련 소송 과정에서 제출해 민감정보 처리 기준도 어겼다. 개인정보위는 각각의 사유에 대해 과징금 2억2000만원, 2800만원을 부과했다.

개인정보위는 이번 조사·처분을 통해 개인정보위는 국내 소비자의 소중한 개인정보를 다루는 기업이라면 국내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 원칙을 재차 강조했다. 송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다"고 말했다.

한편, 개인정보위는 지난 2월 과학기술정보통신부 민관합동조사단이 발표한 조사 결과(개인정보 3367만3817건 유출)와 차이가 있는 데 대해서 "조사단은 접속 기록 등을 바탕으로 '회원정보 수정 페이지' 조회 건수를 기준으로 산정했고, 개인정보위는 공격자가 중복 조회한 경우나 회원 탈퇴 등으로 DB 내 개인정보가 없는 경우 등을 제외했다"며 "대신 회원이 아닌 정보주체를 최소한으로 추가했다"고 설명했다.

노경조 기자 felizkj@asiae.co.kr

이 기사 어땠나요?

• 
  쏠쏠 0
• 
  공감 0
• 
  감동 0
• 
  유감 0
• 
  후속 0