[이데일리 안유리 기자] 개인정보보호위원회가 쿠팡에 역대 최대 규모의 개인정보 제재를 내렸다.

개인정보위는 10일 전체회의를 열고 쿠팡과 계열사 쿠팡풀필먼트서비스(CFS)의 개인정보보호법 위반에 대해 총 6249억원의 과징금·과태료 부과와 시정명령을 의결했다. 이는 개인정보위가 기업에 부과한 제재 가운데 가장 큰 규모다.

개인정보위는 이번 사고가 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 발생한 것으로 결론 내리고, 조사 과정에서 다수의 개인정보보호법 위반을 확인했다고 밝혔다.

유출 관련으로 과징금 4235억 7500만 원, 과태료 1680만 원을 부과했다으며, 쿠팡 파트너스 등 이용자 DB 수집 과정에서 법적 근거 없이 개인정보를 수집·이용한 행위에 대해 쿠팡 주식회사에 과징금 2011억 600만 원을 부과했다.

경찰청 출입기자 정보등을 허위사실 유포 등으로 쿠팡풀필먼트서비스 유한회사에 과징금 2억 4800만원을 부과했다.

◇“쿠팡 해킹, 고도의 기술 해킹 아닌 관리 부실”

먼저 유출 관련으로 개인정보위가 문제삼은 개인정보보호법 위반 내역은 △안전조치 의무 위반 △72시간내 개인정보 유출통지 의무 위반 △개인정보 보호책임자(CPO)의 독립적 업무 수행 방해 △개인정보 파기 의무 위반 △자료 폐기 등 조사 방해 등이다.

구체적으로, 쿠팡은 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 키 관리 시스템을 운영하는 등 접근권한 관리를 소홀히 했다. 키 접근 및 평문 열람이 가능하였던 해커가 2024년 12월 하였음에도 서명키를 즉각 갱신 또는 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않았다.

2025년 4월부터 11월까지 해커의 공격 기간 중 개인정보가 포함된 페이지(회원정보 수정, 배송지 관리)에 대한 접속량이 평상시 대비 급격하게 증가하는 등 과도한 이상 트래픽이 발생했는데도,해커의 협박 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못했다.

개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡하였고, 탐지된 다수의 이상행위에 대해 별도의 상세 분석을 수행하지 않아 사전에 유출사고를 차단할 수 있는 기회를 놓친 사실도 확인됐다.

개인정보위는 개인정보 보호책임자(CPO)의 독립적 업무 수행 방해도 문제 삼았다.

쿠팡은 해커에 대한 자체 조사를 진행하고, 그 결과를 홈페이지를 통해 공개하는 과정에서 CPO를 배제하고 관련 정보를 공유하지 않았다.

단순한 내부 소통의 부재가 아니라, 개인정보 보호 체계의 핵심인 CPO 제도를 형해화하는 것으로 보호법이 보장하는 CPO의 독립적인 직무수행 권한을 실질적으로 무력화한 것으로 판단했다.

◇“광고 위한 타사 온라인 활동기록 무단 수집, 정보주체 권리 침해”

쿠팡은 2018년부터 ‘쿠팡 파트너스’를 이용해 이용자가 해당 광고를 클릭하지 않더라도 기기의 식별자 및 타사 웹·앱을 방문·사용한 기록을 수집해 쿠팡의 광고 DB에 저장·보관했다.

개인정보위 조사 결과, 쿠팡은 2024년 12월 23일부터 2026년 2월 4일까지 1564만5338개의 웹페이지(URL) 또는 앱을 방문·사용한 쿠팡 이용자 총 1117만613명에 대한 타사 온라인 활동기록을 무단 수집·저장한 것으로 확인됐다고 밝혔다.

개인정보위는 타사 온라인 활동기록은 여러 서비스와 웹·앱에 걸쳐 수집되어 개인의 관심사와 성향 등을 폭넓게 파악할 수 있고, 장기간 누적되는 경우 개인을 프로파일링하게 되거나, 경우에 따라서는 사상·신념·건강 등 민감정보의 추론 가능성도 있어 정보주체의 권리 침해 위험 가능성이 크다고 강조했다.

또 쿠팡의 광고 파트너 중 일부는 지속적으로 ‘자신이 보유하거나 운영하는 온라인 매체에서 광고를 클릭하지 않아도 쿠팡 웹이나 앱으로 강제로 전환되도록 하는 ’납치광고‘를 이용자가 원치 않았음에도 쿠팡 웹·앱에 접속하도록 함에 따라 관련 온라인 활동기록이 쿠팡에 수집되도록 했다.

쿠팡 제보 등을 통해 이러한 납치 광고를 최초 인지하여, 적발을 위한 신고 제도 및 탐지 시스템을 운영 중이고, 적발 시 이용약관이나 운영정책 등에 따라 제재한다고 소명했으나, 개인정보위는 일부 광고 파트너에 대하여 계정 해지 등 불이익을 적용하지 않고, 오히려 추가 수수료율을 적용하는 등 적절히 제재하지 않은 사실이 드러났다고 밝혔다.

◇“법적 근거 없는 경찰청 출입기자 개인정보 수집”

쿠팡풀필먼트 서비스(CFS)는 또 2023년 9월부터 2024년 2월까지 물류센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 ’허위사실유포‘ 사유로 취업제한 목록에 등록했다. 등록 과정에서 별도로 해당 정보주체의 동의를 받거나, 등록 사실을 알린 바는 없었다.

또 CFS는 ’임직원 건강 관리‘를 목적으로 제공받은 임직원의 체중정보를 소송 과정에서 법우너에 제출했다. 개인정보위는 이는 별도 동의나 법령상 근거 없이 민감정보를 처리한 행위로 판단했다.

개인정보위는 이번 조사·처분을 통해 개인정보위는 국내 소비자의 소중한 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 원칙을 강조했다.

송경희 개인정보위 위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바라며, 개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다”라고 밝혔다.