3750여만 명의 개인정보가 유출된 쿠팡이 정부로부터 과징금 총 6246억 8100만 원을 부과받았다. 이는 지난해 2324만 명의 정보가 유출된 SK텔레콤(SKT) 사건 때 '역대 최대'로 부과된 과징금 1348억 원을 훌쩍 뛰어넘는 액수다.

개인정보보호위원회는 지난 10일 정부서울청사에서 제11회 전체회의를 열고, 쿠팡의 개인정보보호법 위반에 관한 제재안을 의결했다고 11일 밝혔다.

개인정보위는 쿠팡의 안전조치 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대해 과징금 총 6246억 8100만 원과 과태료 1680만 원을 부과하고, 시정명령과 공표 및 공표명령, 고발 및 개선권고를 의결했다.

개인정보보호법 위반이 확인된 쿠팡풀필먼트서비스(CFS)에도 2억 4800만 원의 과징금을 부과했다.

전직 쿠팡 직원 해킹…회원 3322만명·비회원 433만여 명 개인정보 유출
개인정보위는 지난해 11월 20일 쿠팡의 신고를 접수하고 하루 뒤부터 개인정보 유출 조사에 착수했다. 지난해 11월 30일에는 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성해 관련 사실관계, 개인정보 보호 법규 위반 여부 등을 중점 확인했다.

조사 결과 2024년 말 퇴사한 전직 쿠팡 직원이 회원 정보를 빼돌리는 등의 해킹을 했다.

해커는 대체 인증 서명키를 획득한 이후 사전 유출 테스트 과정을 거쳐, 지난해 4월부터 11월까지 회원정보 수정 페이지, 배송지 관리 및 주문목록 페이지 등을 조회하며 개인정보를 유출했다.

해커는 유출한 정보를 조합해 회원별 프로필을 재구성했고, 샘플 데이터를 포함한 두 차례 협박 메일을 회원과 쿠팡 측에 각각 발송했다.

2차 협박 메일에는 한국 회원의 주소 1억 2000만 개, 주문정보 5억 6000만 개, 이메일 주소 3300만 개 이상을 보유하고 있다는 사실과 함께 지역 및 이메일 도메인별 분류 수치를 제시했고, 샘플 데이터에는 성인용품, 속옷 구매 내역 등 민감한 정보가 다수 포함됐다.

조사에 따르면 해커는 총 3322만 2472명의 회원 개인정보와, 최소 433만 8368명의 회원이 아닌 정보주체의 개인정보를 유출한 것으로 확인됐다.

구체적으로 회원정보 수정 페이지에서 3305만 7012명의 회원 개인정보, 배송지 관리 페이지에서 최소 2237만 5359명의 회원이 등록한 배송지 정보 6398만 6351건, 주문 목록 페이지에서 회원 5만 8349명의 주문내역 27만 2470건이 유출됐다.

회원이 등록한 배송지 정보에는 회원 본인 외에도 가족, 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함돼 있었고 회원이 아닌 정보 주체는 최소 433만 8368명으로 확인됐다.


개인정보위는 쿠팡이 정보주체의 인증수단을 안전하게 관리하지 않았고, 불법적인 접근 및 침해사고 방지를 위한 접근통제를 소홀히 한 것을 확인했다.

쿠팡은 배송지 관리 페이지를 통해 회원 약 16만명의 개인정보가 추가 유출된 사실을 지난 1월 30일경 인지했음에도 법령에서 정한 72시간이 지난 2월 5일에서야 유출 사실을 통지했다.

개인정보위는 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보가 존재해 유출통지를 이행할 것을 여러 차례 촉구했지만, 쿠팡은 통지하지 않았다.

쿠팡은 해커에 대한 자체 조사를 진행하고 결과를 공개하는 과정에서 개인정보 보호책임자(CPO)를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않기도 했다.

회원정보는 탈퇴 후 90일이 지나면, 주소와 계좌번호는 탈퇴 즉시 파기하도록 하는 내부 규정에도 불구하고 탈퇴 회원이 등록한 배송지 정보 246만 5592건을 파기하지 않아 일부는 유출됐고, 계좌번호 31만 8499건도 즉시 파기하지 않은 사실도 드러났다.

별도의 발송용 데이터베이스(DB)를 구축·운영하면서, 탈퇴 후 90일이 지난 71만 7865명의 개인정보도 파기하지 않은 것으로 확인됐다.

이외에도 개인정보위가 각종 증거자료의 보전을 명령했지만, 쿠팡은 약 5개월 분량의 웹 접속 로그를 수동 삭제했고, 6개월 경과 시 삭제되는 로그 자동 삭제 정책을 중단하지 않아 유출규모 및 피해 범위 확인이 제한되도록 조사를 방해한 것으로 조사됐다.

개인정보위는 안전조치 의무를 소홀히 해 대규모의 개인정보 유출을 초래한 행위에 대해 과징금 4235억 7500만 원을 부과하고, 개인정보 유출통지 및 파기 의무를 위반한 행위에 대해 과태료 1680만 원을 부과하기로 결정했다.

이용자 1117만 613명 온라인 활동기록 무단 수집·저장…부정광고 게재·적절히 제재도 안해
또한 쿠팡은 제휴 마케팅 프로그램인 '쿠팡 파트너스'를 운영 중인데, 조사 결과 쿠팡은 2024년 12월 23일부터 올해 2월 4일까지 1564만 5338개의 웹페이지나 앱을 방문·사용한 쿠팡 이용자 총 1117만 613명에 대한 타사 온라인 활동기록을 무단 수집·저장한 것으로 확인됐다.

쿠팡은 타사 웹·앱 공간에 맞춤형 광고를 게재하고 타사 온라인 활동기록을 수집·저장함에도 이용자로부터 동의받지 않았고, 개인정보 처리방침 및 맞춤형 광고 관련 안내 페이지 등에도 이를 명확히 알리지 않았다.

개인정보위는 이용자의 동의와 같은 법적 근거 없이 무단으로 타사 온라인 활동기록을 수집해 개인정보보호법을 위반한 쿠팡에 대해 과징금 2011억 600만 원을 부과하기로 결정했다.

쿠팡의 광고 파트너 중 일부는 '자신이 보유하거나 운영하는 온라인 매체에서 광고를 클릭하지 않아도 쿠팡 웹이나 앱으로 강제로 전환되도록 하는 부정 광고'(납치 광고)를 게재해 이용자가 원하지 않아도 쿠팡 웹·앱에 접속하도록 함에 따라 관련 온라인 활동기록이 쿠팡에 수집되도록 했다.

조사 결과, 쿠팡은 스스로 정한 정책상의 계정 해지 기준에 해당함에도 일부 광고 파트너에 대해 계정 해지 등 불이익을 적용하지 않고, 오히려 추가 수수료율을 적용하는 등 적절히 제재하지 않고 있었다.

쿠팡풀필먼트서비스, 경찰청 출입기자 명단 수집해 관리 아울러 쿠팡의 물류센터 자회사인 CFS는 2023년 9월부터 2024년 2월까지 물류센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 '허위사실유포' 사유로 취업제한 목록에 등록했고, 등록 과정에서 별도로 해당 정보주체의 동의를 받거나, 등록 사실을 알리지 않았다.

개인정보위는 정보주체의 동의 등 적법근거 없이 개인정보를 무단으로 수집해 취업제한 목록에 등록한 행위에 대해 과징금 2억 2000만 원을 부과했다.

CFS가 2024년 3월 소송 과정에서 건강상 쟁점을 반증하기 위한 목적으로 임직원 80명의 체중 수치 분석 자료 등을 법원에 제출한 사실도 '별도 동의나 법령상 근거 없이 민감정보를 처리한 행위'로 보고 과징금 2800만 원을 부과했다.

개인정보위는 해당 처분에 앞서 위원들 간 충실한 논의와 의견수렴을 위해 여러 차례 사전 검토회의를 거쳤으며, 전날에도 사업자가 출석해 의견을 충분히 개진할 수 있도록 했다.

과징금 산정, 관리 소홀·조사방해 여부 등 요소 고려해 판단…이커머스 서비스 매출이 기준
한편개인정보위는 쿠팡 이커머스 서비스 매출을 기준으로 과징금을 산정했고, 연간 매출액 약 30조를 상회하는 대규모 개인정보처리자로서 인증시스템 관리 소홀 등을 이유로 대규모 개인정보가 유출된 것이 위반행위의 중대성 판단에 고려됐다고 설명했다.

위반기간 및 최근 3년 내 동종행위로 과징금 부과 여부, 조사방해·협조 여부, 개인정보 보호 노력 및 피해 회복 노력 등 다양한 요소도 고려됐다고 덧붙였다.

쿠팡은 해당 사태에 대해 전직 직원이 재직 중 정당하게 알고 있던 서명키 정보를 퇴사 후 악용한 것이 근본적인 원인으로 일반적인 유출사고와 다르게 보아야 한다고 주장하며 법상 요구되는 증키 관리나 이상행위 탐지·대응을 충분히 했다고 주장했다.

분쟁조정 신청은 현재까지 약 2578명 접수됐으며, 처분이 이루어짐에 따라 일시정지된 절차를 오는 12일부터 재개할 예정이다.

lgirim@news1.kr