13시간 '마라톤' 심의 끝 최대 과징금...송경희 "쿠팡, 조사방해 고발"(종합)

쿠팡과 계열사 CFS 총 6249억원 과징금
직전 최대 과징금인 SKT의 4배 이상 부과
개인정보 유출 사고 과징금은 4235억원
이용자 활동기록 무단 수집에도 2011억원 과징금
"쿠팡, 로그 삭제로 조사 방해…고발"
쿠팡은 법적 절차 예고…행정소송 나설듯

지난해 11월 대규모 개인정보 유출 사고를 낸 쿠팡과 물류 자회사 쿠팡풀필먼트서비스(CFS)가 총 6249억원의 역대 최대 과징금 처분을 받았다. 개인정보보호위원회는 쿠팡의 로그 삭제 등 조사 방해 행위를 고발하겠다고 했고, 쿠팡은 행정소송 등 법적 절차에 나서겠다는 입장을 밝혔다.

11일 개인정보위는 전날 전체회의를 열고 쿠팡 처분안을 12시간 넘게 심의한 끝에 안전조치 의무 위반 및 법적 근거 없는 개인정보 수집 동의 등에 대해 과징금 6246억8100만원을 의결했다고 밝혔다. 과태료는 1680만원을 책정했다. CFS에는 개인정보 처리 위반 관련 과징금 2억4800만원을 부과했다.

송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하고 있다. 연합뉴스

현행 개인정보보호법에서 정한 개인정보 유출 사고 발생 시 부과할 수 있는 과징금은 직전 3개년(2022~2024년) 평균 매출액의 최대 3%다. 개인정보위에 따르면 쿠팡의 3개년 평균 매출은 약 36조원으로, 이를 기준으로 단순 계산했을 때 최대 1조800억원 규모의 과징금을 부과할 수 있었다. 지난해 8월 당시 역대 최대 과징금을 처분받았던 SK텔레콤(1348억원)과 비교하면 4배 이상 많다.

"쿠팡 사고, 고도의 해킹 아닌 관리 소홀 문제"

쿠팡에서 3000만 건이 넘는 대규모 개인정보 유출 사고가 발생했다. 이는 경제활동인구 2969만 명을 넘어서는 규모로 역대 최악의 유출사고이다. 사진은 1일 쿠팡 본사. 2025.12.01 윤동주 기자

송경희 개인정보위 위원장은 이날 정부서울청사에서 브리핑을 열고 "이번 유출사고는 고도의 해킹이 아닌 기본적인 안전관리 체계 미비와 관리 소홀로 인해 발생한 것으로 확인했다"고 강조했다. 유출 규모는 약 3750만명으로 결론 내렸다. 계정 기준 3322만여명의 회원 개인정보와 휴대폰 번호 기준 최소 433만명의 회원이 아닌 정보주체(배송지 관리 페이지 내 포함)의 개인정보가 유출됐다고 집계했다.

개인정보위에 따르면 쿠팡은 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 키 관리 시스템을 운영하는 등 접근권한 관리를 소홀히 했다. 키 접근 및 평문 열람이 가능한 해커가 2024년 12월 퇴사했음에도 서명키를 즉각 갱신 또는 폐기하지 않았다. 또 과도한 이상 트래픽이 발생하고 비정상 접속이 다수 있었음에도 해커의 협박 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못했다.

유출 통지·파기 의무와 개인정보보호책임자(CPO)의 독립성 보장 위반, 조사 방해 등도 추가 확인됐다. 쿠팡은 해커에 대한 자체 조사를 진행하고, 그 결과를 홈페이지를 통해 공개하는 과정에서 CPO를 배제했다. 개인정보위는 쿠팡이 대규모 개인정보 유출을 초래한 데 대해 과징금 4235억7500만원을 부과하고 개인정보 유출 통지와 파기 의무를 위반한 데는 과태료 1680만원을 부과했다.

이와 함께 쿠팡이 2018년부터 운영 중인 '쿠팡 파트너스'를 이용해 회원 약 1117만명의 온라인 활동기록을 무단 수집, 데이터베이스(DB)에 저장한 위반행위도 확인했다. 쿠팡이 무단 수집한 온라인 활동기록은 타사 웹·앱에 대한 이용자 방문 기록(URL, 앱 이름 등), 접속일시, 접속 IP 등이다. 여기에는 과징금 2011억원을 별도 부과했다.

아울러 CFS는 2023년 9월부터 2024년 2월까지 물류센터에 근무한 이력이 없는 경찰청 출입기자단 명단(71명)을 수집해 취업제한 목록에 등록한 것으로 파악됐다. 임직원 건강 관리를 목적으로 보유·관리 중인 근로자의 체중 정보를 산업재해 관련 소송 과정에서 제출해 민감정보 처리 기준도 어겼다. 개인정보위는 각각의 사유에 대해 과징금 2억2000만원과 2800만원을 부과했다.

개인정보위는 이번 조사 과정을 방해한 혐의로 쿠팡을 고발할 예정이다. 송 위원장은 "(쿠팡이) 접속기록 로그를 삭제하는 등 실제로 조사를 어렵게 한 행위들이 있었다"면서 "관련 법에 따라 요건이 충족되면 고발하도록 돼 있어 진행할 것"이라고 밝혔다.

개인정보위는 지난 2월 과학기술정보통신부 민관합동조사단이 발표한 조사 결과(개인정보 3367만3817건 유출)와 차이가 있는 데 대해서 "조사단은 접속 기록 등을 바탕으로 '회원정보 수정 페이지' 조회 건수를 기준으로 산정했고, 개인정보위는 공격자가 중복 조회한 경우나 회원 탈퇴 등으로 DB 내 개인정보가 없는 경우 등을 제외했다"며 "대신 회원이 아닌 정보주체를 최소한으로 추가했다"고 설명했다.

개인정보위 "과징금 산정에 외교 문제 고려 안 해"…쿠팡 "법적 절차"

서울의 한 쿠팡 물류센터에서 대기하는 배송 트럭 모습. 연합뉴스

개인정보위는 이번 과징금 산정에 미국과의 외교 관계나 통상 문제는 고려하지 않았다고 밝혔다. 송 위원장은 "사실과 증거, 조사 결과에 집중해서 이번 결론을 내렸다"면서 "쿠팡의 국적이나 그걸 둘러싼 다른 영향들에 대해서는 고려하지 않았다"라고 말했다.

업계에 따르면 쿠팡의 모회사인 미국 쿠팡lnc는 올해 3월까지 미국 백악관, 행정부, 의회를 상대로 로비하는 데 109만달러(약 16억원)를 투입했다. 이 영향으로 쿠팡이 경찰과 개인정보위의 전방위 조사를 받던 기간에 미국 하원의 청문회에서는 우리 정부가 미국 기업을 차별한다는 주장이 나왔다.

한편, 쿠팡은 개인정보위의 과징금 소송에 불복해 행정소송을 내겠다는 뜻을 밝혔다. 쿠팡은 이날 입장문을 내고 "2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 결정에 충분히 반영되지 못했다"면서 공식 의결서를 수령한 뒤 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다"라고 밝혔다.

노경조 기자 felizkj@asiae.co.kr
이명환 기자 lifehwan@asiae.co.kr

이 기사 어땠나요?

• 
  쏠쏠 0
• 
  공감 0
• 
  감동 0
• 
  유감 0
• 
  후속 0