개인정보위, 쿠팡에 과징금 6247억원 '철퇴'…역대 최대 규모 제재

김명득 선임기자 2026. 6. 11. 11:15
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

개인정보위, 역대 최대 규모 과징금·과태료 의결
전직 직원 해킹에 안전관리 부실·조사방해도 확인
1117만명 온라인 활동기록 무단 수집도 별도 제재
서울 송파구에 위치한 쿠팡 본사. 뉴스1

개인정보보호위원회가 3750여만명의 개인정보 유출과 1100만명 넘는 이용자의 온라인 활동기록 무단 수집 등의 책임을 물어 쿠팡에 총 6246억8100만원의 과징금을 부과했다.

단일 개인정보 유출 사고는 물론 복수의 개인정보보호법 위반 행위에 대한 제재를 합친 규모로도 역대 최대다.

개인정보위는 지난 10일 전체회의를 열고 쿠팡의 개인정보보호법 위반 안건을 심의해 과징금 6246억8100만원과 과태료 1680만원 부과를 의결했다고 11일 밝혔다.

개인정보 유출 사고와 관련한 과징금은 4235억7500만원, 타사 웹·앱 이용기록 무단 수집 등 정보주체 권리 침해 행위에 대한 과징금은 2011억600만원이다. 별도로 쿠팡풀필먼트서비스(CFS)에는 과징금 2억4800만원이 부과됐다.

개인정보위 조사 결과 유출 사고는 2024년 말 퇴사한 전직 쿠팡 직원이 재직 당시 알게 된 대체 인증 체계의 서명키를 악용해 벌인 것으로 파악됐다.

해당 해커는 사전 테스트를 거친 뒤 지난해 4월부터 11월까지 회원정보 수정 페이지와 배송지 관리, 주문 목록 등을 반복 조회하며 개인정보를 빼냈다.

유출된 개인정보는 회원 3322만2472명과 비회원 최소 433만8368명 등 총 3750여만명 규모다. 여기에는 이름과 이메일 등 회원 정보는 물론 이름·전화번호·주소·공동현관 비밀번호 등이 포함된 배송지 정보, 일부 주문 내역 등이 포함된 것으로 조사됐다.

개인정보위는 사고 원인으로 쿠팡의 기본적인 안전관리 체계 미비를 지목했다. 인증 서명키 관리와 접근통제가 부실했고, 개인정보가 포함된 페이지의 비정상적인 대량 접속이 발생했음에도 이를 제대로 탐지하거나 차단하지 못했다는 것이다.

조사 과정에서는 유출 통지와 개인정보 파기 의무 위반, 개인정보보호책임자(CPO) 독립성 보장 미흡, 조사 방해 정황도 확인됐다.

쿠팡은 추가 유출 사실을 인지하고도 법정 기한인 72시간 안에 통지하지 않았고, 회원이 아닌 정보주체에 대한 유출 통지도 이행하지 않은 것으로 조사됐다.

탈퇴 회원 개인정보 관리도 문제로 드러났다. 내부 규정상 즉시 또는 일정 기간 이후 파기해야 하는 배송지 정보와 계좌번호 등을 보관한 채 유지했고, 일부는 실제 유출된 것으로 확인됐다.

개인정보위는 쿠팡이 이용자 동의나 다른 법적 근거 없이 약 1117만명의 타사 웹·앱 이용기록도 수집한 것으로 판단했다.

조사 결과 쿠팡은 2024년 12월 23일부터 올해 2월 4일까지 이용자의 타사 웹페이지 방문 기록(URL), 앱 이름, 접속 시각, 접속 IP 등 온라인 활동기록을 개인 식별이 가능한 상태로 데이터베이스(DB)에 저장해 맞춤형 광고 등에 활용했다.

일부 광고 파트너가 이용자 의사와 무관하게 쿠팡으로 강제 연결되는 이른바 '납치광고'를 운영했음에도 적절한 관리·감독이나 제재를 하지 않은 점도 함께 지적됐다.

개인정보위는 쿠팡에 안전조치 강화와 회원이 아닌 정보주체에 대한 유출 통지, CPO의 실질적 역할 보장 등을 시정명령하고, 탈퇴 회원 개인정보 처리 체계 개선도 권고했다.

개인정보 처리의 투명성을 높이고 맞춤형 광고에 대한 이용자의 실질적인 선택권을 보장하는 한편 부정광고 관리·감독도 강화하도록 했다.

쿠팡 물류센터를 운영하는 자회사 쿠팡풀필먼트서비스(CFS)에 대한 위반 사실도 확인됐다.

CFS는 물류센터 근무 이력이 없는 경찰청 출입기자단 71명의 개인정보를 취업제한 목록에 등록·관리했고, 임직원 건강관리 목적으로 보유하던 근로자 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출한 것으로 조사됐다.

개인정보위는 이를 개인정보 수집·이용 및 민감정보 처리 제한 위반으로 판단해 과징금 2억4800만원을 부과했다.

한편 개인정보위는 현재까지 약 2578건의 분쟁조정 신청이 접수됐으며, 이번 처분에 따라 일시 중지됐던 관련 절차를 12일부터 재개할 예정이라고 밝혔다.

Copyright © 경북도민일보 | www.hidomin.com | 바른신문, 용기있는 지방언론