대규모 개인정보 유출 사태를 낸 쿠팡이 역대 최대 규모의 과징금 ‘철퇴’를 맞게 됐다.
개인정보보호위원회(개보위)는 지난 10일 정부서울청사에서 제11회 전체회의를 개최하고, 쿠팡의 개인정보보호법 위반에 관한 제재안을 의결했다고 11일 밝혔다.
개보위는 쿠팡의 개인정보 안전조치 의무 위반 행위에 대해 과징금 4235억7500만 원, 과태료 1680만 원 처분을 내렸다.
또한 쿠팡이 타사의 앱 또는 사이트에 접속한 회원 약 1117만 명의 방문 기록과 접속 일시, 접속 IP) 등을 무단 수집해 저장한 행위에 대해서 과징금 2011억660만 원을 부과했다.
또한 쿠팡풀필먼트서비스(CFS)에 대해서도 개인정보 수집·이용 및 민감정보 처리 제한 위반으로 과징금 2억4800만 원을 부과하기로 했다.
이에 따라 쿠팡과 CFS에 부과된 과징금은 총 6246억8100만 원이다. 이는 지난해 2324만 명의 개인정보를 유출한 SK텔레콤에 부과됐던 1348억 원의 역대 최대 과징금을 훌쩍 뛰어넘는 액수다.
개보위는 연간 매출액이 30조 원을 웃도는 대규모 개인정보처리자인 쿠팡이 인증 시스템과 인증서명키 관리를 소홀히 하고, 다수의 이상 행위를 감지하지 못해 대규모 개인정보 유출 사태가 발생했다는 점을 반영했다고 설명했다.
개보위는 지난해 11월 20일 쿠팡의 신고를 접수하고 개인정보 유출 조사에 착수했다. 조사 결과 2024년 말 퇴사한 전직 쿠팡 직원이 회원정보 수정 페이지와 배송지 관리 페이지, 주문목록 페이 등에 접근해 개인정보를 를 빼돌리는 해킹을 한 것으로 결론내렸다.
조사에 따르면 총 3322만2472명의 회원 개인정보와 최소 433만8368명의 비회원 등 총 3750만 명의 개인정보가 유출됐다.
개보위는 쿠팡의 개인정보 유출 통지와 파기 의무 위반, 개인정보보호책임자(CPO) 독립성 보장 위반, 조사 방해 등도 확인됐다고 밝혔다.
그러면서 쿠팡에 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 유출 통지, CPO의 실질적인 역할 보정 등의 시정명령을 내렸다. 또 탈퇴회원의 개인정보 처리체계를 개선할 것을 권고하고, 3개월 내 이행 및 조치 결과를 확인하기로 했다고 덧붙였다.
이날 개보위의 과징금 처분에 대해 쿠팡은 “개인정보 유출 사고로 국민께 심려를 끼쳐드린 점 사과드린다”면서 “개인정보 보호 프레임워크를 강화하고 고객 신뢰 회복을 위해 노력하겠다”고 전했다.
다만 “지난해 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점 유감”이라면서 “공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 바란다”며 법적 대응을 시사했다.
금윤호 더나은미래 기자
