개보위, '개인정보 유출' 쿠팡에 과징금 6247억원 부과…역대급 규모

서울 송파구 쿠팡 본사 전경.ⓒ뉴시스

고객 개인정보를 유출한 쿠팡이 개인정보보호위원회(개인정보위)로부터 과징금 6246억8100만원과 과태료 1680만원을 부과받았다. 현재까지 개인정보위가 부과한 과징금 중 역대 최고 수준이다.

개인정보위는 지난 10일 제11회 전체회의를 열고 개인정보 보호 법규를 위반한 쿠팡에 총 6426억8100만원의 과징금 및 1680만원의 과태료 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결했다.

개인정보위는 지난해 11월 20일 쿠팡 신고를 접수했고, 다음날인 21일 개인정보 유출 조사에 착수했다.

조사 결과 해커는 쿠팡에서 근무했던 전직원으로, 당시 대체 인증을 직접 개발한 이다. 이 과정에서 대체 인증 서명키를 획득한 이후 사전 유출 테스트를 거쳐 2025년 4월부터 11월까지 회원정보 수정 페이지, 배송지 관리, 주문목록 페이지 등을 조회하며 개인정보를 유출했다.

한국인터넷진흥원과 함께 꾸린 집중조사 TF(태스크포스) 조사 결과 해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3322만2472명의 '회원' 개인정보와 최소 433만8368명의 '회원이 아닌 정보주체'의 개인정보를 유출한 것으로 파악됐다.

배송지 관리 페이지에서는 최소 2237만5359명의 회원이 등록한 배송지 정보 6398만6351건이 유출됐다. 배송지 정보에는 회원 본인 외에도 가족, 친구 등 제3자 이름과 전화번호, 주소 등이 다수 포함돼 있었다.

주문 목록 페이지에서는 회원 5만8349명의 주문내역 27만2470건이 유출된 것으로 확인됐다.

개인정보위는 이번 사고가 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 발생한 것으로 판단했다.

구체적으로 ▲정보주체의 인증수단을 안전하게 관리하지 않은 행위 ▲불법적인 접근 및 침해사고 방지를 위한 접근통제를 소홀히 한 행위 ▲개인정보 유출통지 의무 위반 ▲개인정보 보호책임자(CPO)의 독립적 업무 수행 방해 ▲개인정보 파기 의무 위반 ▲자료 폐기 등 조사 방해 등이다.

이에 따라 개인정보위는 쿠팡에 과징금 4235억7500만원을 부과하고, 개인정보 유출통지 및 파기 의무를 위반한 행위에 대해 과태료 1680만원을 부과하기로 결정했다.

이와 함께 쿠팡의 정보주체 권리 침해 관련 조사가 별도로 진행됐다. 개인정보위 조사 결과 쿠팡은 2024년 12월 23일부터 2026년 2월 4일까지 1564만5338개 웹페이지나 앱을 방문한 쿠팡 이용자 총 1117만613명에 대한 타사 온라인 활동기록을 무단 수집 및 저장한 것으로 확인됐다.

이에 개인정보위는 이용자 동의와 같은 법적 근거 없이 무단으로 타사 온라인 활동기록을 수집해 보호법 제15조 제1항을 위반한 쿠팡에 대해 과징금 2011억600만원을 부과하기로 결정했다.

개인정보위는 국회 청문회와 언론 보도 등으로부터 납치광고, 취업 제한 목록 등과 관련된 쿠팡과 쿠팡풀필먼트서비스 유한회사(CFS)의 개인정보 침해 소지가 제기됨에 따라 지난 1월 7일 추가적인 조사를 추진했다.

개인정보위 조사 결과 CFS는 2023년 9월부터 2024년 2월까지 물류센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 허위사실유포 사유로 취업제한 목록에 등록했고, 등록 과정에서 별도로 해당 정보주체의 동의를 받거나 등록 사실을 알리지 않았다.

이에 개인정보위는 정보주체의 동의 등 적법 근거 없이 개인정보를 무단으로 수집해 취업제한 목록에 등록한 행위에 대해 보호법 제15조 제1항 위반으로 과징금 2억2000만원을 부과했다.

개인정보위 측은 "한국인터넷진흥원과 함께 집중조사 TF를 구성해 관련 사실관계, 개인정보 보호 법규 위반 여부 등을 중점 확인했다"며 "국내외 기업 여부 등에 대한 고려 없이 오직 '법과 원칙에 따라 책임에 상응하는 처분 부과'라는 원칙 하에 이번 조사를 진행했다"고 강조했다.

송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"고 말했다.