‘3755만명 개인정보 유출’ 쿠팡에 6246억 역대 최대 과징금

서울 송파구 쿠팡 본사의 모습. [뉴스1]

쿠팡의 3755만명 개인정보 유출 사태가 발생한지 7개월 만에 정부가 6246억원의 과징금을 부과했다. 단일 개인정보 유출 사건 기준으로는 지난해 8월 SK텔레콤 유심(USIM) 정보유출 사고에 부과한 1347억9100만원을 뛰어넘는 역대 최대 금액·규모다.

개인정보보호위원회(개인정보위)는 “지난 10일 전체회의에서 쿠팡의 개인정보 안전조치 의무 위반행위 제재안을 심의하고 쿠팡에 과징금 6246억8100만원, 과태료 1680만원을 부과하기로 의결했다”고 11일 발표했다. 별도로 쿠팡의 물류센터인 쿠팡풀필먼트서비스(CFS)에도 2억48000만원 과징금 부과를 결정했다. 또 쿠팡이 정부 조사를 방해했다고 판단해 수사기관에 고발할 예정이다.

개인정보 보호법에 따르면 중대한 개인정보 유출, 보호 조치 위반 시 전체 매출액의 3%를 초과하지 않는 범위에서 과징금을 부과할 수 있다. 이번 제재 규모는 쿠팡 전체 매출액의 약 1.37% 수준이다. 쿠팡의 지난해 매출액은 약 45조5000억원이었다.

개인정보위, 쿠팡에 6246억원 과징금

송경희 개인정보보호위원회 위원장이 11일 서울 종로구 세종대로 정부서울청사에서 쿠팡 및 계열사의 개인정보 유출 및 침해 제재처부 의결 발표를 하고 있다. [뉴스1]

정부 조사에 따르면, 쿠팡에서 유출된 개인정보 규모는 회원 3322만명·비회원 433만명 등 총 3755만명 수준이다. 정부가 파악한 개인정보 유출 규모만 쿠팡이 미국 증권거래위원회(SEC)에 신고한 유출 규모(3000건)보다 1만배 이상 많다. 쿠팡은 당시 ‘고객 계정 3300만건에 대한 접근이 있었으나 범인은 약 3000건의 제한된 데이터만을 저장했다’고 공시한 바 있다. 지난 2월 과학기술정보통신부 민관합동조사단이 내놓은 개인정보 유출 규모(3367만명)보다는 약 400만명가량 많다.

정부는 개인정보 유출 과정에서 쿠팡의 잘못이 있다고 판단했다. 일단 쿠팡 회원이 앱·웹에서 로그인하면 이후 재인증을 하지 않아도 서비스 이용이 가능하도록 인증토큰을 발급하는데, 해커는 기존에 수집한 개인정보로 대체·위조 인증토큰을 생성하는 방식으로 개인정보를 유출했다.

송경희 개인정보보호위원장은 “토큰 기반 인증 체계는 엄격한 운영·관리가 필요한데, 이번 해킹 사태는 기본적인 안전관리 체계 미비와 관리 소홀로 인해 발생했다”며 쿠팡의 과실을 인정했다.

개인정보 유출 사실을 통지하는 과정에서도 위반 사항이 발생했다. 쿠팡은 1월 30일 16만명의 개인정보 추가 유출을 인지하고도, 법령이 정한 시한(72시간)을 넘겨 2월 5일 이 사실을 통지했다. 또 정부의 유출 통지 이행 촉구를 4차례 뭉개면서 2차 피해 예방 기회를 상실했다.

쿠팡은 탈퇴 회원의 개인정보도 유출했다. 쿠팡 개인정보 처리방침에 따르면, 쿠팡에서 탈퇴한 회원의 개인정보는 90일 후 파기해야 하는데, 쿠팡은 계좌번호(31만8499건)·배송지(246만5592건) 정보를 파기하지 않았다. 또 71만7865명의 탈퇴 회원 정보를 활용해 데이터베이스를 구축해 문자·이메일을 발송했다.

심지어 정부 조사도 방해했다. 개인정보위가 지난해 11월 21일 사고 관련 증거 자료 보전을 명령했지만, 쿠팡은 같은 달 27일 5개월 분량의 웹접속 로그를 수동으로 삭제했다. 때문에 해커가 접속한 횟수의 13%에 해당하는 로그 기록이 사라졌다. 해킹 피해 범위 확인이 제한되도록 조사를 방해했다는 것이 정부의 조사 결과다.

송경희 개인정보보호위원회위원장이 10일 서울 종로구 정부서울청사에서 열린 전체회의에서 발언하고 있다. [연합뉴스]

경찰 기자 명단까지 무단 수집

충청남도의 쿠팡 물류센터 밖에 로켓배송 차량이 줄지어 서 있다. [김성태 객원기자]

이용자 1117만여명의 온라인 활동 기록을 무단 수집·저장한 행위도 제재 대상이다. 양청삼 개인정보위 사무처장은 “쿠팡 사이트를 방문하면 이용자 브라우저에 쿠키·기기식별자가 심어진다. 이후 (쿠팡이 제휴 마케팅하는) 타사 앱·웹에 접속하면 쿠팡 배너 광고를 클릭하지 않더라도 자동으로 접속 시점 파일식별자(URL) 주소와 컴퓨터 ID가 광고용 데이터베이스(DB)에 저장된다”고 설명했다. 쿠팡이 아닌 타사 정보를 쿠팡이 보관하게 되는 것이다.

양청삼 사무처장은 “타사 웹·앱 활동 기록을 수집한다는 사실을 고지하지 않았고, 고객이 실질적 선택권도 행사하지 못해 개인정보보호법 위반으로 판단했다”고 덧붙였다.

이 밖에 정부는 CFS가 물류센터 근무 이력이 없는 경찰청 출입기자단 명단(71명)을 취업제한 목록에 등록·관리한 행위도 적발했다. 이른바 ‘쿠팡 블랙리스트 작성 사건’이다. 쿠팡은 이들을 등록하는 과정에서 해당 정보 주체의 동의를 받거나 등록 사실을 알리지 않았다. 또 CFS가 2024년 3월 소송 과정에서 임직원 80명의 체중을 법원에 제출한 행위도 민감 정보 처리 위반 행위로 판단해 과징금을 부과했다.

송경희 개인정보위원장은 “직전 3개년 평균 매출액에서 개인정보법 위반 행위와 무관한 매출(쿠팡플레이·쿠팡이츠 등)은 제외하고 법정 기준에 따라 과징금을 산정했다”며 “국민 생활과 밀접한 온라인 플랫폼이라는 점을 고려해, 상응하는 처분을 내리기 위해서 최선을 다했다”고 말했다.

문희철 기자 reporter@joongang.co.kr