이번 과징금은 최근 3개년 한국 쿠팡 매출을 기준으로 산정됐다. 쿠팡이츠, 쿠팡플레이, 기업간거래(B2B) 사업 등 유출 사고 및 이용자 데이터와 직접 관련이 없는 사업 매출은 제외됐다.
[이데일리 이미나 기자]
[이데일리 방인권 기자] 송경희 개인정보보호위원회 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡 및 계열사의 개인정보 유출 및 침해 제재처분 의결을 발표하고 있다.
가장 큰 제재 사유는 지난해 발생한 개인정보 유출 사고였다. 개인정보보호위원회는 쿠팡이 인증 서명키를 평문 상태로 관리하고 접근권한 통제를 소홀히 하는 등 기본적인 안전조치 의무를 다하지 않았다고 판단했다. 해커가 관련 키에 접근한 사실을 확인한 뒤에도 즉각적인 폐기나 갱신 조치를 하지 않은 것으로 조사됐다.
특히 유출 규모를 놓고 개인정보위와 쿠팡의 판단은 큰 차이를 보였다. 해롤드 로저스 쿠팡 임시 대표는 지난해 국정감사와 국회 현안질의에서 “실제 개인정보가 유출된 이용자는 극히 일부”라며 “주민등록번호나 결제정보는 유출되지 않았고 현재까지 확인된 2차 피해도 없다”고 설명했다. 쿠팡은 지난해 11월 개인정보위에 최초 신고할 당시 유출 규모를 4500여명 수준으로 파악해 제출했다.
반면 개인정보위는 회원 데이터베이스(DB)와 배송지 정보 등을 대조 분석한 결과, 회원이 아닌 정보주체까지 포함해 최소 3750만명의 개인정보가 유출된 것으로 판단했다. 이는 과학기술정보통신부 민관합동조사단이 올해 2월 발표한 규모보다 약 400만명 많은 수치다.
다만 개인정보위 역시 현재까지 유출 정보의 불법 유통 정황이나 구체적인 2차 피해 사례는 확인되지 않았다고 밝혔다. 그러나 유출 규모가 큰 만큼 추가 피해 가능성을 완전히 배제할 수는 없다고 설명했다.
쿠팡은 개인정보위 의결 이후 “공식 의결서를 수령한 뒤 법적 절차를 통해 사실관계가 명확히 규명되기를 기대한다”며 “데이터 유출 사고에 대한 선제적 대응 노력과 객관적 사실관계가 충분히 반영되지 않았다”고 반박했다.
개인정보위는 사고 이후 대응 과정도 문제 삼았다. 쿠팡이 사고 조사와 대외 발표 과정에서 개인정보보호책임자(CPO)를 배제해 독립성을 훼손했고, 자료보전 명령 이후 접속기록이 삭제되는 등 조사 방해 행위도 있었다고 밝혔다.
송경희 개인정보위원장은 “국민 대다수가 이용하는 플랫폼인 만큼 다른 사업자보다 훨씬 높은 수준의 침입 탐지·대응 체계가 요구된다”며 “비정상 트래픽 탐지에 실패한 것은 중대한 위반 행위”라고 말했다.
타사 온라인 활동기록을 수집하는 쿠팡 광고 예시 (사진=개인정보보호위원회)
이번 제재의 또 다른 핵심은 ’쿠팡 파트너스‘다. 개인정보위는 쿠팡이 이용자 1117만여명의 타사 웹·앱 이용 기록을 수집해 광고 데이터베이스(DB)에 저장·활용했다고 판단했다.
수집된 정보에는 방문 웹페이지(URL), 앱 이름, 접속 시각, IP 주소 등이 포함됐다. 이용자가 광고를 클릭하지 않았더라도 쿠팡 광고 도구가 설치된 외부 사이트나 앱을 방문하면 관련 정보가 수집된 것으로 조사됐다.
개인정보위는 이용자들이 관련 사실을 충분히 안내받지 못했고 실질적인 선택권도 행사하기 어려웠다고 판단했다. 일부 광고 파트너가 이용자를 의도치 않게 쿠팡으로 이동시키는 이른바 ’납치 광고‘를 운영했음에도 쿠팡이 적극적인 제재 조치를 하지 않은 점도 문제로 지적됐다.
◇기자 관리·체중 정보 활용도 제재
계열사 쿠팡풀필먼트서비스(CFS)의 개인정보 처리 방식도 제재 대상에 포함됐다.
CFS는 2023년부터 경찰청 출입기자 71명을 ’허위사실 유포‘를 이유로 물류센터 취업 제한 명단에 등록한 것으로 조사됐다. 해당 사실은 당사자들에게 별도로 통보되지 않았다.
또 임직원 건강관리 목적으로 수집한 체중 정보를 별도 동의 없이 소송 과정에서 법원에 제출한 사실도 확인됐다. 개인정보위는 이를 민감정보 처리 규정 위반으로 보고 2억4800만원의 과징금을 부과했다.
한편 이번 안건을 심의한 개인정보위 전체회의는 오전 10시부터 밤 11시30분까지 이어지며 역대 최장 심의 기록을 세웠다. 개인정보위는 집단분쟁조정 절차를 재개하고 피해자 구제 방안도 검토할 방침이다.
