“전례 없는 규모”…‘개인정보 유출’ 쿠팡, 6200억원대 과징금

조문희 기자 2026. 6. 11. 11:41
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
3750만 명 개인정보 유출의 대가, ‘역대 최고’ 과징금
쿠팡 “개보위 결정 유감…법적 절차로 사실관계 규명”

(시사저널=조문희 기자)

3750만여 명의 개인정보를 유출한 쿠팡에 정부가 6000억원대 과징금을 물렸다. 이는 국내는 물론 전 세계적으로도 유례를 찾기 힘든 역대 최대 규모의 개인정보 유출 과징금이다.

쿠팡이 개인정보보원회로부터 역대 최대 규모인 6000억원대 과징금을 부과 받았다. 사진은 서울 쿠팡 본사 앞의 모습 ⓒ연합뉴스

쿠팡이 개인정보보원회로부터 역대 최대 규모인 6000억원대 과징금을 부과 받았다. 사진은 서울 쿠팡 본사 앞의 모습 ⓒ연합뉴스

개인정보보호위원회는 지난 10일 열린 전체회의에서 개인정보보호법을 위반한 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하는 제재 처분을 의결했다고 11일 밝혔다.

정부 조사 결과 쿠팡에서 새어 나간 개인정보는 3750여만 명분에 달했다. 쿠팡이 미국 증권거래위원회(SEC)에 신고했던 유출 규모 3000건과 견주면 1만 배가 넘는 수치다. 당시 쿠팡은 '고객 계정 3300만 건에 대한 접근이 있었으나 범인은 약 3000건의 제한된 데이터만을 저장했다'고 공시한 바 있다.

허술한 '인증토큰' 관리…사후 대처도 총체적 부실

정부는 개인정보 유출의 핵심 원인으로 쿠팡의 허술한 보안 시스템을 지목했다. 쿠팡은 회원이 앱이나 웹에서 한 번 로그인하면 이후 다시 인증하지 않아도 서비스를 쓸 수 있도록 '인증토큰'을 발급하는데, 해커는 미리 빼낸 개인정보로 이 토큰을 위조·대체하는 방식으로 정보를 빼냈다. 개인정보위는 "토큰 기반 인증 체계는 엄격한 운영·관리가 필요한데, 쿠팡은 관리를 소홀히 하는 등 기본적인 안전 관리 체계가 미흡했다"며 쿠팡의 과실을 인정했다.

유출 사실을 알리는 과정에서도 문제가 드러났다. 쿠팡은 1월30일 16만 명의 정보가 추가로 유출된 사실을 파악하고도, 법이 정한 시한인 72시간을 넘긴 2월5일에야 이를 통지했다. 정부가 통지를 이행하라고 네 차례나 촉구했지만 번번이 응하지 않아, 2차 피해를 막을 기회마저 놓쳤다.

이미 탈퇴한 회원의 정보도 유출 대상에 포함됐다. 쿠팡의 개인정보 처리방침대로라면 탈퇴 회원 정보는 90일이 지나면 없애야 하지만, 쿠팡은 계좌번호 31만8499건과 배송지 246만5592건을 파기하지 않은 채 갖고 있었다. 나아가 탈퇴 회원 약 71만7865명의 정보를 데이터베이스로 구축해 마케팅용 문자나 이메일을 발송하는 데 무단으로 활용하기도 했다.

개인정보위는 쿠팡에 안전조치를 강화하고 정보 주체에게 유출 사실을 통지하며 개인정보보호책임자(CPO)가 실질적으로 역할을 하도록 보장하라고 시정 명령을 내렸다. 아울러 개인정보 처리의 투명성을 높이고, 맞춤형 광고에서 이용자의 선택권을 보장하도록 광고 파트너에 대한 관리·감독도 강화하라고 주문했다.

송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하는 모습 ⓒ 연합뉴스

송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하는 모습 ⓒ 연합뉴스

쿠팡 "선제 조치 반영 안 돼 유감"…법적 대응 예고

반면 쿠팡은 법적 대응을 예고했다. 쿠팡은 입장문에서 "쿠팡은 고객 정보보호를 매우 엄중하게 생각하고 있다"며 "작년 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점 유감스럽게 생각한다"고 밝혔다.

이어 "다른 글로벌 기업들과 동일한 제휴 모델을 사용하여 고객 데이터를 보호하고 적법하게 운영하고 있다"며 "개인정보위원회로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계를 명확하게 규명할 예정"이라고 덧붙였다.

한편 6246억원이라는 과징금 규모는 미국 본사인 쿠팡Inc가 지난해 거둔 연간 영업이익 4억7300만 달러(약 6790억원)에 육박하는 천문학적인 금액이다. 또 기존 개인정보 유출 과징금 기준으로 역대 최대치였던 SK텔레콤의 유심 정보 유출 사건(1348억원)의 4.6배에 달하는 액수다.

해외 사례와 비교해도 역대 최대 수준이다. 2022년 5억3300만 명의 정보를 해킹당한 메타가 약 3800억원의 과징금을 냈고, 2018년 3억2700만 명의 정보가 유출된 글로벌 호텔 체인 메리어트 인터내셔널이 970억원, 2017년 1억4700만 명분의 정보가 새어나간 신용평가사 에퀴팩스가 약 1180억원의 과징금을 부과 받은 바 있다.

Copyright © 시사저널. 무단전재 및 재배포 금지.

시사저널에서 직접 확인하세요. 해당 언론사로 이동합니다.