‘3,750만 명 정보 유출’ 쿠팡에 6,246억여 원 ‘역대 최고’ 과징금 부과

개인정보보호위원회가 대규모 개인정보가 유출된 쿠팡에 대해 6,200억 원 대의 개인정보 유출 관련 '역대 최고' 과징금을 부과했습니다.
개인정보위는 어제(10일) 제11회 위원회 전체 회의를 열고 쿠팡의 안전조치 의무 위반과 법적 근거 없는 개인정보 수집 등에 대해 과징금 총 6,246억 8,100만 원과 과태료 1,680만 원을 부과하기로 결정했다고 오늘(11일) 밝혔습니다. 이와 함께 시정명령, 공표 및 공표 명령, 고발, 개선 권고를 의결했습니다.
지난해 11월 쿠팡의 개인정보 유출 사실이 알려진 지 약 7달 만에 나온 결론입니다.
이전까지 개인정보위가 부과한 최대 과징금은 지난해 SK텔레콤 유심 정보 유출 사고에 내린 천 348억 원이었습니다.
■ 3,750여만명 개인정보 유출…4,235억여 원 과징금 부과
개인정보위는 쿠팡의 개인정보 유출과 관련해서만 4,235억 7,500만 원의 과징금을 부과했습니다.
개인정보위는 해커가 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3,320여만명의 회원 개인정보와 최소 433만 여명의 비회원의 개인정보를 유출했다고 밝혔습니다.
그러면서 쿠팡의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과, 이번 사고는 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀로 인해 발생한 것으로 판단했습니다.
■ "인증수단 안전하게 관리 안 해" 안전 조치 의무 위반
우선, 개인정보위는 쿠팡이 정보 주체의 인증수단을 안전하게 관리하지 않은 점을 의무 위반 사항으로 봤습니다.
쿠팡이 운영하는 토큰 기반의 인증체계는 전자서명 검증만으로 인증을 허용하는 방식으로, 서명에 사용되는 키 관리 실패 시 전체 회원계정에 대한 무단 접근을 허용할 수 있다는 점에서 심각한 위험을 초래할 수 있어 엄격한 운영‧관리가 필수적입니다.
쿠팡은 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 키 관리 시스템을 운영하는 등 접근권한 관리를 소홀히 했고, 키 접근 및 평문 열람이 가능했던 해커가 퇴사 지난 2024년 말에 퇴사했는데도 서명키를 즉각 갱신 또는 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않았습니다.
또 해커가 공격하는 동안 개인정보가 포함된 페이지(회원정보 수정, 배송지 관리)에 대한 접속량이 평상시 대비 급격하게 증가하는 등 과도한 이상 트래픽이 발생하는 등의 문제에도 쿠팡은 해커의 협박 메일을 받은 고객 민원 접수 전까지 이상 행위를 인지하지 못했다고 개인정보위는 지적했습니다.
■ "추가 유출도 늦게 통지"…개인정보 유출 통지 의무 위반
개인정보위는 조사 과정에서 쿠팡이 배송지 관리 페이지를 통해 회원 약 16만 명의 개인정보가 추가 유출된 사실을 올해 1월 30일쯤 인지했는데도, 법령에서 정한 72시간이 지난 2월 5일에서야 유출 사실을 통지한데 대해서도 '개인정보 유출 통지 의무'를 위반했다고 봤습니다.
이와 함께 쿠팡이 해커에 대한 자체 조사를 진행하고, 그 결과를 홈페이지를 통해 공개하는 과정에서 개인정보 보호책임자(CPO)를 의사결정 과정에서 배제했고, 해커의 진술에만 의존한 자체 조사 결과가 사실관계 검증 없이 쿠팡 앱/웹 내 공지 배너, 언론 등을 통해 공개돼 사회적 혼란이 야기된 것도 문제라고 봤습니다.
■ 탈퇴해도 정보 파기 안 해…자료 폐기 등 조사 방해
개인정보위는 또 쿠팡이 회원정보는 탈퇴 후 90일 경과 시(일부 정보 분리보관), 주소‧계좌번호는 탈퇴 즉시 파기하도록 하는 내부 규정(처리방침 등)에도 불구하고, 탈퇴회원이 등록했던 배송지 정보(이름, 전화번호, 주소) 246만여 건을 파기하지 않아 그 중 일부는 실제 유출로 이어지는 상황까지 초래했고, 탈퇴회원의 계좌번호 31만여 건도 즉시 파기하지 않은 사실을 확인했다고 밝혔습니다.
쿠팡의 자료 폐기 등 조사 방해도 개인 정보 보호법 위반이라고 판단했습니다.
개인정보위는 조사 착수 즉시 사고 관련 접속 기록 등 각종 증거자료의 보전을 명령했는데도 쿠팡은 약 5개월 분량의 웹 접속 로그를 수동 삭제해 최초 유출 시점 등 유출 관련 사실관계 규명을 어렵게 했습니다.
또 6개월 경과 시 삭제되는 자사의 로그 자동 삭제 정책을 중단하지 않아 어플리케이션 로그가 자동 삭제돼 유출 규모와 피해 범위 확인이 제한되도록 하는 등 조사를 방해했다고 봤습니다.
이에 유사 사고 재발 방지를 위한 안전조치 강화, 회원이 아닌 정보 주체 대상 유출 통지 실시, CPO의 실질적 역할 보장 등을 시정 명령하고, 탈퇴 회원 개인정보 처리 체계와 관련해 개선 권고해 3개월 내 이행 및 조치 결과를 확인할 예정이라고 밝혔습니다.
■ 납치 광고, 타사 쿠팡 광고…1,117만 명 온라인 활동 기록 무단 수집
쿠팡의 정보 주체 권리 침해와 관련해서는 쿠팡이 타사 웹과 앱에 접속한 회원 약 1,117만 명의 온라인 활동 기록을 무단 수집해 이용자 개인을 식별한 상태로 DB에 저장한 사실을 확인했다고 밝혔습니다.
이와 함께 납치 광고 등 부정 광고를 게재하는 광고 파트너를 적절히 관리, 감독하지 않아 이용자 의사에 반해 쿠팡 서비스 이용 기록이 수집되도록 한 사실도 함께 확인했습니다.
개인정보위는 이에 개인정보 처리의 투명성 제고, 맞춤형 광고에 대한 정보 주체의 실질적 선택권 보장, 부정 광고 방지를 위한 관리, 감독 강화 등 시정명령을 했습니다.
■ 직원 건강검진 기록 등 무단 수집에도 과징금 2억 4,800만 원
쿠팡풀필먼트서비스의 개인정보 수집, 이용 및 민감정보 처리 제한 위반 사항에 대해서는 과징금 총 2억 4,800만 원을 부과했습니다.
개인정보위는 물류센터에 근무한 이력이 없는 71명의 경찰청 출입기자단 명단을 수집해 취업제한 목록에 등록해 관리한 것은 개인정보 수집, 이용 위반으로 판단했습니다.
또 임직원 건강 관리를 목적으로 보유, 관리 중인 근로자의 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출한 것에 대해서는 민감정보 처리 위반이라고 판단했습니다.
■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 유튜브, 네이버에서도 KBS뉴스를 구독해주세요!
박혜진 기자 (root@kbs.co.kr)
Copyright © KBS. All rights reserved. 무단 전재, 재배포 및 이용(AI 학습 포함) 금지
- [단독] 공수처의 황당한 ‘노쇼’…‘7억 뇌물’ 피고인 풀려났다
- 배달 앱도 포기한 ‘망망대해’…대한민국 최남단 이어도 밀착 취재 [현장영상]
- 경찰, 선관위 7곳 압수수색…사태 8일만 [지금뉴스]
- “안전한 산은 없다”…바뀐 장맛비에 더 위험해진 산사태 [장마가 온다]②
- ‘역시 이영표’ 월드컵 해설 선호도 1위…시청자 62.7% “KBS로 보겠다”
- 독일 주택 붕괴 참사, 알고보니 ‘구리 절도’ 때문…‘소도둑’도 활개
- “한국이 훔쳐갔다?”…일본의 샤인머스캣 원조 주장 [잇슈 키워드]
- “기술보다 이것이 먼저” 천재 건축가 가우디의 메시지 [현장영상]
- “집회의 자유” vs “일할 권리”…개표소 봉쇄 일주일 ‘갈등’ [현장영상]
- ‘페이커’ 이상혁, 미 타임지 ‘영향력 있는 스포츠인물 100인’ 선정 [잇슈 SNS]