역대 단일 유출사고 최고액…3천750만명 정보 새나가
개보위, 온라인 활동기록 무단수집 2천11억 별도 부과
개인정보보호위원회가 3천750만명의 개인정보를 유출하고 회원 1천만명 이상의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6천246억8천100만원을 부과했다. 단일 개인정보 유출 사고에 내린 과징금으로는 역대 최대 규모다.
개보위는 11일 "전날 정부서울청사 전체회의에서 쿠팡의 개인정보보호법 위반 제재안을 심의·의결했다"고 밝혔다. 과태료 1천680만원도 함께 부과했다. 지난해 8월 SK텔레콤에 내린 1천347억9천100만원을 크게 웃도는 역대 최고 수준이다.
개인정보 유출 사고와 관련한 과징금은 4천235억7천500만원이다. 쿠팡에서 2024년 말 퇴사한 해커는 지난해 1월 유출 테스트를 거친 뒤 4월부터 11월까지 회원 정보 수정 페이지, 배송지 관리 페이지, 주문 목록 페이지를 조회하며 본격적으로 정보를 빼냈다.
해커는 인증 토큰을 위조해 배송지 관리 페이지에 약 1억4천800만번 접근해 이름과 전화번호·주소를, 회원 정보 수정 페이지에 3천496만6천812번 접근해 이름·전자우편 주소를 유출했다. 공동 현관 비밀번호와 주문 정보도 추가로 빠져나갔다. 피해는 회원 3천322만2천472명과 비회원 433만8천368명 이상에 이른다.
개보위는 쿠팡이 인증 서명키 접근 권한 관리를 소홀히 했고, 비정상 접속이 급증했는데도 이를 인지하지 못한 것이 사고의 근본 원인이라고 봤다. 쿠팡은 배송지 페이지에서 회원 16만명 정보가 추가 유출된 사실을 1월 30일 인지하고도 2월 5일에야 통지했다. 비회원 피해자에게는 개인정보위의 네 차례 촉구에도 통지를 이행하지 않았다.
탈퇴 회원의 배송지 정보 246만5천592건, 계좌번호 31만8천499건도 내부 규정을 어기고 파기하지 않은 채 유출됐다. 개인정보위가 조사 착수 직후 웹 접속 로그 보전을 명령했으나, 쿠팡은 2024년 7∼11월 5개월 치 로그를 수동 삭제해 초기 유출 시점 등 사실관계 규명을 어렵게 한 점도 확인됐다.
아울러 개보위는 쿠팡이 2024년 12월 23일부터 올해 2월 4일까지 회원 1천117만613명의 타사 웹·앱 방문 기록, 접속 일시, 접속 IP 등 온라인 활동기록을 법적 근거 없이 수집·저장해 맞춤형 광고에 활용한 사실도 확인했다. 이에 과징금 2천11억660만원을 별도 부과했다. 이른바 '납치광고'를 게재하는 광고 파트너를 적절히 관리·감독하지 않아 이용자 서비스 이용 기록이 무단 수집된 점도 시정명령 대상에 포함됐다.
자회사 쿠팡풀필먼트서비스(CFS)도 과징금 2억4천800만원을 별도로 부과받았다. CFS는 물류센터 근무 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업 제한 목록에 등록·관리했다. 임직원 체중 정보를 산재 소송 과정에서 법원에 제출한 것도 민감정보 처리 위반으로 판단됐다.
개보위는 쿠팡에 안전조치 강화, 비회원 유출 통지, 개인정보보호책임자(CPO)의 실질적 역할 보장 등의 시정명령을 내리고, 3개월 안에 이행 결과를 보고하도록 했다.
쿠팡은 이날 공식 입장을 내고 "2차 피해 방지를 위한 선제적 조치와 사실관계에 근거한 설명이 결정에 충분히 반영되지 못한 점 유감스럽게 생각한다"며 "법적 절차를 통해 사실관계가 명확히 규명되기를 기대한다"고 밝혔다. 다만 "고객과 국민께 심려를 끼쳐드린 점에 사과드린다"며 재발 방지를 약속했다.
