‘쿠팡 이커머스’ 매출액 기준 산정해
‘자료 폐기’ 조사 방해 등 가중·감경
쿠팡풀필먼트서비스, 근무 이력 없는
경찰청 기자단 71명 취업 제한 적발
개인정보보호위원회가 회원·비회원 3756만여명이란 대규모 개인정보 유출 사고를 빚은 국내 최대의 온라인 플랫폼 사업자 쿠팡에 역대 최대 과징금 6246억8100만원을 부과했다. 지난해 8월 개인정보 유출 피해자가 2324만여명이었던 SK텔레콤에 부과한 1347억9100만원의 4.6배에 달한다. 개인정보위 조사 과정에서 쿠팡의 물류 자회사인 쿠팡풀필먼트서비스(CFS)는 2023년 9월∼2024년 2월 물류 센터에 근무한 이력이 없는 경찰청 출입 기자단 71명의 명단을 무단 수집해 ‘허위 사실 유포’를 이유로 취업 제한 대상자로 관리한 사실 등이 적발돼 과징금 2억4800만원을 별도로 부과받았다.
개인정보위는 10일 전체 회의에서 쿠팡이 안전조치 의무를 소홀히 해 대규모 개인정보 유출을 초래한 행위에 과징금 4235억7500만원, 타사 온라인 활동 기록을 무단 수집한 행위엔 과징금 2011억600만원, 개인정보 유출 통지 및 파기 의무를 위반한 행위에 과태료 1680만원 부과를 의결했다고 11일 밝혔다. 개인정보위가 지난해 11월 쿠팡의 1차 유출 신고를 받고 조사에 착수한 지 약 7개월 만이다. 이날 오전 10시 시작된 회의는 이례적으로 오후 11시30분이 돼서야 끝나는 등 개인정보위는 장고 끝에 쿠팡에 철퇴를 내렸다.
개인정보위는 “고도의 해킹이 아닌 쿠팡의 기본적인 안전 관리 체계 미비 및 관리 소홀로 인해 발생한 사고로, ‘회원’ 계정 기준 3322만2472명과 휴대전화 번호 기준 최소 433만8368명의 ‘회원이 아닌 정보 주체’ 등 3756만840명의 개인정보가 유출됐다”고 결론 내리며 유사 사고 재발 방지를 위한 안전조치 강화, 회원이 아닌 정보 주체 대상 유출 통지 실시, 개인정보보호책임자(CPO)의 실질적 역할 보장 등을 시정 명령했다.
개인정보위에 따르면 쿠팡이 운영하는 토큰 기반의 인증 체계는 전자 서명 검증만으로 인증을 허용해, 서명에 쓰이는 키 관리에 실패하면 전체 회원 계정에 무단 접근을 허용하게 되는 위험성이 있다. 쿠팡은 키 접근 및 평문 열람이 가능했던 중국인 전 직원이 2024년 말 퇴사한 뒤 서명 키를 즉각 갱신 또는 폐기하지 않았던 것으로 조사됐다. 해당 해커의 공격 기간인 지난해 4∼11월 중 개인정보가 포함된 회원 정보 수정 및 배송지 관리 페이지 접속량이 급증하는 등 과도한 이상 트래픽이 발생했는데도 쿠팡은 지난해 11월 해커의 협박 메일을 받은 고객의 민원을 접수하기 전까지 인지하지 못했다.
쿠팡은 또 회원 탈퇴 회원이 등록했던 배송지 정보(이름, 전화번호, 주소) 246만5592건을 파기하지 않아 그중 일부가 유출됐다.
아울러 쿠팡이 2024년 12월부터 올해 2월까지 쿠팡 광고가 게재된 타사 웹·앱에 접속한 회원 1117만613명의 방문 기록, 접속 일시와 IP(인터넷 프로토콜) 등 온라인 활동 기록을 무단 수집해 이용자 개인을 식별한 상태로 데이터베이스(DB)에 저장한 사실과 함께, 온라인 접속만 해도 강제로 쿠팡 사이트로 이동시키는 부정 광고(납치 광고)를 게재하는 광고 파트너를 적절히 관리·감독하지 않아 이용자 의사에 반해 쿠팡 이용 기록이 수집되게 한 사실도 적발됐다. 개인정보위는 이에 대해선 개인정보 처리의 투명성 제고, 맞춤형 광고에 대한 정보 주체의 실질적 선택권 보장, 부정 광고 방지를 위한 관리·감독 강화 등을 시정 명령했다.
개인정보위는 과징금 액수와 관련해 “전체 매출액의 3%를 초과하지 않는 범위에서 위반 행위와 관련 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정하게 되는데, 사고가 발생한 쿠팡 이커머스 서비스 매출을 기준으로 산정했고 쿠팡이츠나 쿠팡플레이 등 매출액은 제외했다”며 “위반 행위의 중대성, 정보 주체의 피해 규모, 영향 등의 요소를 고려한 가중·감경을 거쳤다”고 밝혔다.
개인정보위가 쿠팡에 역대 최대 과징금을 부과한 배경엔 자료 폐기 등 조사를 방해한 탓도 크다. 쿠팡은 2024년 7∼11월 약 5개월 분량의 웹 접속 로그를 지난해 11월 수동 삭제해 최초 유출 시점 등 사실관계 규명을 어렵게 했다. 또 6개월 경과 시 삭제되는 로그 자동 삭제 정책을 중단하지 않아 유출 규모와 피해 범위 확인을 어렵게 만들었다.
개인정보위는 또 쿠팡풀필먼트서비스(CFS)가 임직원 건강 관리를 목적으로 보유·관리 중인 근로자의 체중 정보를 2024년 3월 산업재해 관련 소송 과정에서 법원에 제출한 것은 민감 정보 처리 위반에 해당한다고 판단했다.
SK텔레콤에 앞서 개인정보위가 부과한 역대 최대 과징금은 2022년 구글과 메타에 내려진 1000억원이었다. 당시 구글과 메타는 이용자 동의 없이 개인정보를 수집해 각 692억원, 308억원의 과징금을 부과받았다.
Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지
![[설왕설래] AI 글라스 커닝](http://img.segye.com/content/image/2026/06/10/128/20260610518506.jpg
)
![[세계포럼] 총포탄은 善人·惡人 구분 안 한다](http://img.segye.com/content/image/2026/02/25/128/20260225519433.jpg
)
![[세계타워] 부동산은 산수가 아니다](http://img.segye.com/content/image/2026/04/15/128/20260415524715.jpg
)
![[김형배의공정과효율] ‘AI 의사’ 표시 의무화, 공염불 될라](http://img.segye.com/content/image/2026/06/10/128/20260610518373.jpg
)
