"3750만명 정보 유출에 조사 방해까지"…쿠팡, 역대급 과징금 6247억(종합)

서울 송파구에 위치한 쿠팡 본사.ⓒ뉴시스

약 3750만명의 개인정보 유출로 쿠팡이 개인정보보호위원회(개인정보위)로부터 약 6247억원의 과징금을 부과받았다. 국내 기업 중 개인정보 유출 규모가 가장 컸던 만큼, 과징금 규모도 역대 최대 수준으로 결정됐다.

개인정보위는 유출된 3750만명의 정보가 추후 사이버 범죄에 악용될 가능성이 있는 등 위반행위의 중대성이 높고, 기본적인 안전관리 체계를 갖추지 못했다고 판단했다. 이에 대해 쿠팡은 유출된 정보(이름·주소·전화번호)가 민감정보에 해당하지 않고 2차 피해도 확인되지 않았다며 법적 소송을 예고했다.

송경희 개인정보위 위원장은 11일 서울 종로구 정부서울청사에서 열린 제11회 전체회의 브리핑에서 "전날(10일) 전체회의에서 개인정보 보호 법규를 위반한 쿠팡 주식회사에 총 6246억8100만원의 과징금 및 1680만원의 과태료 부과와 함께 시정 명령, 공표 및 공표 명령 등을 의결했다"고 밝혔다.

이날 회의는 무려 11시간 동안 진행됐다. 개인정보위 전체회의 가운데 역대 최장 시간이다. 그만큼 쿠팡 측에 충분한 의견 진술 기회를 부여하고 이를 종합적으로 고려했다는 것이 개인정보위 측 설명이다. 실제로 개인정보 유출 건에 대해서는 5시간, 정보주체 권리 침해 건에 대해서는 3시간가량 쿠팡 측의 의견 진술이 이뤄졌다.

회원·비회원 다 털려…"고도 해킹 아닌 기본 안전체계 미비"

앞서 개인정보위는 지난해 11월 20일 쿠팡의 개인정보 유출 신고를 접수하고, 다음날인 21일 조사에 착수했다.

이번 조사는 ▲개인정보 유출과 ▲정보주체 권리 침해 등 두 갈래로 나눠 이뤄졌다.

우선 개인정보 유출 관련 사안이다. 2024년 말 퇴사한 쿠팡 전직원은 2025년 4월부터 11월까지 회원정보 수정 페이지, 배송지 관리 및 주문목록 페이지 등을 조회하며 개인정보를 빼돌렸다. 이 과정에서 유출한 정보를 조합해 회원별 프로필을 재구성하고, 민감정보가 포함된 샘플 데이터를 첨부해 회원과 쿠팡에 협박 메일을 두 차례 발송했다.

한국인터넷진흥원과 함께 꾸린 TF(태스크포스) 조사 결과, 해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3322만2472명의 '회원' 개인정보와 최소 433만8368명의 '회원이 아닌 정보주체'의 개인정보를 유출한 것으로 파악됐다.

이 중 개인정보가 유출된 비회원 약 433만명은 개인정보위가 직접 사실관계를 확인한 규모로, 실제 유출된 비회원 정보는 이보다 더 많을 가능성이 높은 것으로 보고 있다.

배송지 관리 페이지에서는 최소 2237만5359명의 회원이 등록한 배송지 정보 6398만6351건이 유출됐다. 주문 목록 페이지에서는 회원 5만8349명의 주문내역 27만2470건이 유출된 것으로 확인됐다.

개인정보위는 이번 사고의 원인이 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀에 있다고 판단했다.

구체적으로 ▲정보주체의 인증수단을 안전하게 관리하지 않은 행위 ▲불법적인 접근 및 침해사고 방지를 위한 접근통제를 소홀히 한 행위 ▲개인정보 유출통지 의무 위반 ▲개인정보 보호책임자(CPO)의 독립적 업무 수행 방해 ▲개인정보 파기 의무 위반 ▲자료 폐기 등 조사 방해 등이다.

이 과정에서 개인정보위 조사를 방해하기 위한 쿠팡의 자료 폐기 사실이 확인됐다는 설명이다. 조사 착수 즉시 각종 증거자료의 보전을 명령했으나 5개월 분량의 웹 접속 로그를 수동 삭제했고, 6개월 경과 시 적용되는 로그 자동 삭제 정책을 중단하지 않았다.

이에 따라 개인정보위는 쿠팡에 과징금 4235억7500만원을 부과하고, 개인정보 유출 통지 의무 및 개인정보 파기 의무를 위반한 행위에 대해 과태료 1680만원을 부과하기로 결정했다. 과징금 부과와 별개로 조사 방해 혐의로 쿠팡을 경찰에 고발하기로 했다.

송경희 개인정보보호위원회 위원장이 지난 10일 서울 종로구 정부서울청사에서 개최된 제11회 전체회의에서 의사봉을 두드리고 있다.ⓒ개인정보보호위원회

쿠팡 회원 온라인 활동기록 무단 수집…취업 제한 '블랙리스트'까지

쿠팡의 정보주체 권리 침해 관련 조사도 다뤄졌다. 개인정보위 조사 결과 쿠팡은 2024년 12월 23일부터 2026년 2월 4일까지 1564만5338개 웹페이지나 앱을 방문한 쿠팡 이용자 총 1117만613명에 대한 타사 온라인 활동기록을 무단 수집 및 저장한 것으로 확인됐다.

양청삼 사무처장은 "쿠팡도 심의의결 과정에서 정보 주체의 타사 웹과 앱에서의 온라인 활동 기록이 쿠팡 DB(데이터베이스)에 적재됐다는 사실을 인정했다. 이용자 식별 번호와 결합해 적재한 사실도 어제(10일) 인정했다"며 "쿠팡은 이 행위가 비의도적이고 자연스럽게 적재됐다고 항변하는데, 이를 기본으로 광고를 배포하고 비식별 브라우저 등을 설치했으며 DB에 대해 쿠팡에서 일정하게 조회한 사실을 확인했다"고 설명했다.

개인정보위는 이용자 동의와 같은 법적 근거 없이 무단으로 타사 온라인 활동기록을 수집해 보호법 제15조 제1항을 위반한 혐의로 쿠팡에 대해 과징금 2011억600만원을 부과하기로 결정했다.

두 건과 별개로 개인정보위는 쿠팡과 쿠팡풀필먼트서비스 유한회사(CFS)에 대해 납치 광고, 취업 제한 목록 등에 대한 개인정보 침해 여부를 조사했다.

조사 결과 CFS는 2023년 9월부터 2024년 2월까지 물류센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 허위사실유포 사유로 취업제한 목록에 등록했고, 등록 과정에서 별도로 해당 정보주체의 동의를 받거나 등록 사실을 알리지 않았다. 이 정보는 CFS가 자체적으로 수집한 것으로 파악됐다.

개인정보위는 정보주체의 동의 등 적법 근거 없이 개인정보를 무단으로 수집해 취업제한 목록에 등록한 행위에 대해 보호법 제15조 제1항 위반으로 과징금 2억2000만원을 부과했다.

직전 3개년 평균 매출 32조 기반 과징금 산정…5만원 보상팩 고려

각 건에 대한 과징금 산정은 사고 직전 3개년도 매출의 최대 3%를 부과할 수 있다는 규정이 적용됐다. 금융감독원 전자공시시스템(DART)에 따르면 쿠팡 한국 법인의 지난 3년(2022~2024년)간 연결기준 평균 매출액은 약 32조원이다. 여기서 쿠팡이츠나 쿠팡플레이 등 사안과 관련 없는 독립적인 매출액은 제외됐다.

개인정보위는 대규모 개인정보처리자인 쿠팡이 인증 시스템과 인증서명키 관리를 소홀히 하고, 다수의 이상 행위를 탐지하지 못해 대규모 유출 사고로 이어진 점을 위반행위의 중대성 판단에 반영했다고 설명했다.

쿠팡이 사고 발생 이후 회원에게 지급한 1인당 총 5만원 상당의 보상 쿠폰 역시 과징금 감경에 반영됐다.

양 사무처장은 "쿠팡이 시행한 보상 프로그램이 어느 정도로 이용됐는지 확인하고자 했는데 쿠팡에서 정확히 얼마나 집행됐는지 답변하지 않았다"며 "그럼에도 일부 고려됐다"고 말했다.

쿠팡은 개인정보위 처분에 대해 법적 대응을 예고한 상황이다. 쿠팡 측은 "개인정보위원회로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다"는 입장을 밝혔다.

이에 송 위원장은 "이번 처분은 법과 원칙 하에 숙고 끝에 내려진 타당한 처분"이라며 "소송이 제기된다면 적극 대응하겠다"고 답변했다.