개인정보위, 쿠팡에 6247억 부과…“대규모 개인정보 유출 및 개인정보보호법 위반”

개인정보보호위원회가 대규모 개인정보 유출과 무단 정보수집 등의 책임을 물어 쿠팡에 총 6246억8100만원의 과징금을 부과했다. 개인정보 유출 사고뿐 아니라 이용자 동의 없이 온라인 활동기록을 수집한 행위까지 적발되면서 역대 최대 규모 제재가 확정됐다.

개인정보보호위원회는 11일 쿠팡의 개인정보 유출 및 개인정보보호법 위반 행위에 대해 과징금 6246억8100만원과 과태료 1680만원을 부과하고 시정명령과 공표명령 등을 의결했다고 밝혔다.

이번 과징금은 개인정보 유출 관련 4235억7500만원, 타사 웹·앱 이용기록 무단 수집 관련 2011억600만원으로 구성됐다. 쿠팡 물류 자회사인 쿠팡풀필먼트서비스(CFS)에도 별도로 과징금 2억4800만원이 부과됐다.

개인정보위 조사 결과 쿠팡에서는 회원 3322만명과 회원이 아닌 정보주체 최소 433만명의 개인정보가 유출된 것으로 확인됐다. 전체 규모는 약 3755만명에 달한다.
유출된 정보에는 이름과 이메일 주소를 비롯해 전화번호, 배송지 주소, 공동현관 비밀번호, 주문내역 등이 포함됐다. 일부 회원의 경우 주문일자와 상품명, 구매 수량 및 가격 정보까지 유출된 것으로 조사됐다.

개인정보위는 이번 사고가 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀로 발생했다고 판단했다.

조사 결과 해커는 과거 쿠팡에서 근무했던 전직 직원으로, 재직 당시 접근 가능했던 인증 서명키를 퇴사 후 악용한 것으로 확인됐다. 개인정보위는 쿠팡이 인증키 접근 권한을 과도하게 부여했고 퇴직 이후에도 키를 교체하거나 폐기하지 않았다고 지적했다.

또 공격 기간 동안 비정상적인 접속과 대규모 이상 트래픽이 발생했음에도 이를 제대로 탐지하거나 차단하지 못했다고 판단했다.

개인정보위는 유출 사고 외에도 쿠팡이 이용자 동의 없이 개인정보를 수집한 사실을 확인했다.
쿠팡은 '쿠팡 파트너스'를 운영하는 과정에서 타사 웹사이트와 애플리케이션을 방문한 이용자들의 온라인 활동기록을 수집해 광고 데이터베이스(DB)에 저장했다. 개인정보위는 지난해 12월부터 올해 2월까지 약 1117만명의 온라인 활동기록이 법적 근거 없이 수집됐다고 밝혔다.

수집된 정보에는 이용자가 방문한 웹사이트 주소(URL)와 앱 명칭, 접속 시각, 접속 IP 주소 등이 포함됐다.

개인정보위는 이용자 동의 없이 타사 온라인 활동기록을 수집·이용한 행위가 개인정보 자기결정권을 침해했다고 보고 과징금 2011억600만원을 부과했다.

쿠팡 광고 파트너들의 이른바 '납치광고'에 대한 관리·감독 소홀도 문제로 지적됐다. 일부 광고 파트너는 이용자가 광고를 클릭하지 않았는데도 자동으로 쿠팡 앱이나 웹페이지로 이동시키는 광고를 운영했으며, 쿠팡은 이를 인지하고도 적절한 제재를 하지 않은 것으로 조사됐다.

쿠팡 물류 자회사인 CFS에 대한 제재도 함께 이뤄졌다.

개인정보위는 CFS가 물류센터 근무 이력이 없는 경찰청 출입기자 71명을 취업제한 목록에 등록해 관리한 사실을 확인했다. 해당 기자들에게 별도 동의를 받거나 등록 사실을 알리지 않은 것으로 조사됐다.

또 임직원 건강관리를 목적으로 수집한 직원들의 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출한 사실도 적발됐다.

개인정보위 관계자는 "국내 최대 온라인 플랫폼 사업자가 기본적인 안전조치 의무를 소홀히 해 대규모 개인정보 유출을 초래했다"며 "온라인 플랫폼 전반의 보안 투자와 내부 통제 강화 계기가 되기를 기대한다"고 밝혔다.


황효주 글로벌이코노믹 기자 hyojuh@g-enews.com