댓글 0
기사입력 : 2026.06.11 13:35
개보위 쿠팡 제재…정보유출에 4천236억·회원 활동 무단수집에 2천11억 과징금
송경희 "고도의 해킹 아닌 안전관리 미비로 유출"…쿠팡 조사방해 결론 고발키로
개보위, 법과 원칙 근거한 처분 강조…"쿠팡 소송시 적극 대응할 것"
개인정보보호위원회가 3천750만명의 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6천247억원을 부과했다.
개인정보 유출에만 약 4천236억원, 1천만명이 넘는 회원의 온라인 활동을 무단 수집한 위반 행위 등에는 2천11억원의 과징금 처분을 각각 내렸다.
단일 개인정보 유출사고에 내린 과징금 규모로는 역대 최대치로, 한 기업의 여러 위반행위에 부과한 과징금 규모로도 가장 많다.
개인정보위는 10일 정부서울청사에서 전체회의를 열어 쿠팡의 개인정보 안전조치 의무 위반행위 제재안을 심의하고, 과징금 4천235억7천500만원을 부과하기로 의결했다고 11일 밝혔다.
또 신고 지연 등을 이유로 과태료 1천680만원도 처분했다. 쿠팡 측이 유출사고 조사를 어렵게 한 부분이 있다고 보고, 수사기관 고발도 병행하기로 했다.
개인정보위는 쿠팡의 인증 서명키 관리와 접근 통제 소홀 등 기본적인 안전관리 체계가 미흡해 약 3천750여만명의 개인정보가 유출된 것으로 결론 내렸다.
이는 올해 2월 과학기술정보통신부의 민관합동조사단이 내놓은 개인정보 유출 규모(3천367만명)보다 약 400만명 가까이 더 많은 것이다.
개인정보위는 쿠팡 전 직원인 공격자(해커)가 중복 조회하거나 회원 탈퇴 등으로 데이터베이스(DB) 내 개인정보가 없는 경우를 제외하는 대신, 회원 계정 약 3천322만명 및 회원이 아닌 정보주체 최소 433만명의 정보가 유출된 것으로 판단했다.
유출된 정보 항목과 규모를 보면 해커는 쿠팡의 회원정보 수정페이지에서 3천305만명의 이름과 이메일 등 개인정보를 빼돌렸다.
배송지 관리 페이지에서는 최소 2천237만여명의 회원이 등록한 배송지 정보 6천398만건이 유출됐다. 외부로 나간 회원 배송지 정보에는 이름과 전화번호, 주소, 공동현관 비밀번호가 포함됐다.
배송지 정보에는 회원 본인 외에도 가족과 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함됐다. 회원이 아닌 정보주체는 휴대전화번호 기준으로 최소 433만명으로 확인됐다.
주문 목록 페이지에서도 회원 5만8천여명의 주문내역 27만2천건이 유출됐다.
안전조치 의무 위반 행위로는 정보주체 인증수단을 안전하게 관리하지 못했고, 불법적인 접근 및 침해사고를 위한 접근통제를 소홀히 한 점 등이 제시됐다.
조사 과정에서 쿠팡의 개인정보 유출 통지와 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가로 확인했다.
개인정보위는 쿠팡에 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 유출 통지, CPO의 실질적인 역할 보장 등의 시정명령을 내렸다.
또 탈퇴회원의 개인정보 처리체계와 관련해 개선을 권고하고, 3개월 내 이행 및 조치 결과를 확인하기로 했다.
이와 함께 개인정보위는 쿠팡에서 타사의 웹·앱에 접속한 회원 약 1천117만명의 온라인 활동기록을 무단 수집해 이용자 개인을 식별한 상태로 DB에 저장한 위반행위도 확인해 과징금 2천11억660만원을 별도 부과했다.
개인정보 유출사고에 따른 과징금 약 4천236억원을 합산하면 개인정보위가 쿠팡에 부과한 과징금 총액은 모두 6천247억원에 달한다.
아울러 개인정보위는 쿠팡의 물류센터를 운영하는 자회사인 쿠팡풀필먼트서비스(CFS)가 물류센터에 근무한 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 점도 위반행위로 판단했다.
또 '임직원 건강관리'를 목적으로 보유·관리하는 근로자 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 것도 민감정보 처리 위반으로 보고 과징금 2억4천800만원을 개별 부과했다.
이날 개인정보위 브리핑에서는 작년 SK텔레콤 제재와 비교해 형평성에 문제는 없는지를 묻는 질의가 나왔다.
이에 양청삼 개인정보위 사무처장은 "개별 사건마다 사건의 성격과 위반행위의 내용, 적용 법조 등이 모두 다르다"며 "이를 단순 비교해 형평성을 논하는 것은 쉽지 않다"고 강조했다.
고의 또는 중대한 과실로 대규모 개인정보 유출이 발생한 경우 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 이른바 '징벌적 과징금' 제도를 담은 개인정보보호법 개정안은 오는 9월 시행돼 이번 쿠팡 유출사고에는 적용되지 않았다.
일각에서는 쿠팡이 개인정보위 처분에 불복해 행정소송에 나설 가능성이 크다는 관측이 나온다.
이에 대해 송경희 개인정보위원장은 "만약 소송이 제기된다면 적극적으로 대응할 것"이라며 "이번 처분은 법과 원칙에 근거해 면밀한 검토와 충분한 숙고 끝에 내린 타당한 처분이라고 생각한다"고 피력했다.
개인정보위는 KT 등 현재 조사 중인 개인정보 유출 사건에 대한 심의도 이어갈 방침이다.
송 위원장은 "KT 건은 이미 사전통지가 이뤄졌고 의견 제출을 받아 현재 검토 중"이라며 "그렇게 멀지 않은 시기에 처분을 내리려고 한다"고 알렸다.
