쿠팡, 개인정보 유출 및 무단 수집으로 사상 최대 과징금 6,247억 원 부과
서울 – 개인정보보호위원회(이하 개보위)가 전자상거래 기업 쿠팡에 역대 최대 규모인 총 6,247억 원의 과징금을 부과하는 강력한 제재를 결정했다. 이번 제재는 약 3,750만 명에 달하는 대규모 개인정보 유출 사고와 함께 1,117만 명에 이르는 회원의 온라인 활동 기록을 법적 근거 없이 무단으로 수집한 행위에 대한 결과다.
개보위는 지난 10일 전체회의를 통해 쿠팡의 개인정보 보호 의무 위반 사항에 대한 제재안을 심의, 의결했으며 11일 이 같은 내용을 공식 발표했다. 과징금은 개인정보 유출 사안에 4,236억 원, 온라인 활동 기록 무단 수집에 2,011억 원이 각각 책정되었다. 단일 개인정보 유출 사건에 부과된 과징금으로는 사상 최대치이며, 한 기업의 여러 위반 행위에 대한 총 과징금 규모로도 전례 없는 수준이다.
허술한 보안 관리로 대규모 개인정보 유출 초래
개보위의 조사 결과에 따르면, 쿠팡의 개인정보 유출은 고도화된 해킹 공격이 아닌 기본적인 안전 관리 체계의 미흡으로 인해 발생했다. 인증 서명 키 관리와 접근 통제 등 안전 조치 의무를 소홀히 한 것이 주된 원인으로 지목되었다. 특히, 전 직원이 시스템 취약점을 악용하여 약 3,322만 명의 회원과 최소 433만 명의 비회원을 포함한 총 3,750만 명의 개인정보를 빼돌린 것으로 확인됐다. 이는 지난 2월 과학기술정보통신부의 조사단 발표보다 약 400만 명 더 많은 수치다.
유출된 정보의 범위는 광범위하다. 해커는 쿠팡의 회원 정보 수정 페이지에서 3,305만 명의 이름과 이메일 등을 탈취했으며, 배송지 관리 페이지에서는 2,237만 명 이상의 회원이 등록한 6,398만 건의 배송지 정보가 유출되었다. 이 배송지 정보에는 이름, 전화번호, 주소뿐만 아니라 공동현관 비밀번호까지 포함되어 있었다. 또한, 회원 본인 외에 가족이나 친구 등 제3자의 정보도 다수 포함된 것으로 밝혀졌다. 5만 8천여 명의 회원 주문 내역 27만 2천 건도 유출 대상에 포함되었다.
불법적인 온라인 활동 기록 수집 및 기타 위반 행위
개인정보 유출과 별개로 쿠팡은 약 1,117만 명의 회원이 다른 웹사이트나 애플리케이션에 접속한 기록을 동의 없이 수집하여 개인 식별이 가능한 형태로 데이터베이스에 저장한 사실이 드러나 2,011억 원의 과징금을 추가로 부과받았다.
이 외에도 개보위는 쿠팡이 개인정보 유출 사실을 지연 신고하고, 파기 의무를 위반했으며, 개인정보보호책임자(CPO)의 독립성을 보장하지 않았다는 점을 지적했다. 특히, 조사 과정에서 쿠팡이 적극적으로 협조하지 않은 정황을 포착하여 수사기관 고발 조치도 병행하기로 했다. 이와 관련하여 신고 지연 등에 따른 과태료 1,680만 원도 별도 부과됐다.
자회사 쿠팡풀필먼트서비스(CFS)의 민감 정보 오용 사례도 적발
쿠팡의 물류 자회사인 쿠팡풀필먼트서비스(CFS) 역시 위반 행위가 적발됐다. CFS는 물류센터 근무 이력이 없는 경찰청 출입기자단 71명의 명단을 불법으로 수집하여 취업 제한 목록에 등록·관리했다. 또한 ‘임직원 건강 관리’ 목적으로 수집한 근로자 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출하는 등 민감 정보 처리 규정을 위반한 것으로 확인되어 2억 4,800만 원의 과징금을 개별 부과받았다.
시정 명령 및 향후 대응 방침
개보위는 쿠팡에 유사 사고 재발 방지를 위한 안전 조치 강화, 비회원 정보주체에 대한 유출 통지, CPO의 실질적인 역할 보장 등을 시정 명령했다. 아울러 탈퇴 회원 개인정보 처리 체계 개선을 권고하고, 3개월 내 이행 및 조치 결과를 확인하기로 했다.
송경희 개인정보위원장은 이번 처분이 “법과 원칙에 기반한 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 결정”임을 강조하며, 만약 쿠팡 측에서 행정소송을 제기할 경우 “적극적으로 대응할 것”이라고 밝혔다. 한편, 대규모 개인정보 유출 시 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 ‘징벌적 과징금’ 제도를 담은 개인정보보호법 개정안은 오는 9월 시행 예정이어서 이번 쿠팡 사건에는 적용되지 않았다.
개보위는 KT 등 현재 조사 중인 다른 개인정보 유출 사건에 대한 심의도 이어갈 방침이다. 송 위원장은 KT 건에 대해 “사전 통지가 이미 이뤄졌고 의견 제출을 받아 검토 중이며, 멀지 않은 시기에 처분을 내릴 것”이라고 덧붙였다.
