쿠팡이 6247억원 규모의 역대 최대 규모 과징금 철퇴를 맞았다. 지난해 개인정보보위원회(개인정보위)가 부과한 전체 과징금 총합보다 높다.
개인정보위는 지난 10일 제11회 전체회의를 열고, 개인정보보호 법규를 위한판 쿠팡에 총 6246억8100만원의 과징금 및 1680만원의 과태료 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결했다고 11일 밝혔다. 이는 지난해 개인정보위가 부과한 한 해 과징금 총액(1677억원)의 4배 수준에 달하는 금액이다. 개인정보위가 부과한 역대 최대 과징금이다.
이와 별개로 개인정보보호 법규 위반이 확인된 쿠팡풀필먼트서비스 유한회사(CFS)에 대해서도 총 2억4800만원의 과징금 부과를 의결했다.
유사사고 재발 방지를 위해 인증체계 전반에 대한 키 관리·통제 체계 정비 및 접근통제 조치 등 안전조치를 강화하고, 유출된 배송지에 포함된 ‘회원이 아닌 정보주체’ 대상 유출통지 실시, 파기 정책 및 내부 거버넌스 체계 정비 등을 시정 명령했다. 쿠팡이 운영 중인 홈페이지에 위와 같이 처분받은 사실을 공표하도록 명령했고, 해당 사실을 개인정보위 홈페이지에도 공표할 예정이다.
개인정보위는 쿠팡에 탈퇴회원의 개인정보가 목적 범위 내에서 최소한으로 보관‧관리되도록 하고, 개인정보 처리방침을 실제 개인정보 처리 방식에 부합하도록 적시에 현행화 및 공개할 수 있도록 내부 체계를 개선할 것을 권고했다.
앞서 개인정보위는 지난해 11월20일 쿠팡의 유출신고를 접수하고 이튿날부터 개인정보 유출 조사에 착수했다. 이후 개인정보위는 국회 청문회, 언론 보도 및 타 부처 등으로부터 납치광고, 취업 제한 목록 등과 관련된 쿠팡 및 CFS의 개인정보 침해 소지가 다수 제기됨에 따라 올해 1월7일 추가적인 조사를 추진했다.
개인정보위는 쿠팡 서비스가 국민 대다수가 일상적으로 이용하는 생활 인프라 성격의 플랫폼으로, 개인정보 유출 및 침해사고 발생 시 대국민 영향도가 큰 점 등을 고려해 한국인터넷진흥원(KISA)과 함께 집중조사 TF를 구성했다. TF는 사실관계, 개인정보 보호 법규 위반 여부 등을 '법과 원칙에 따라 책임에 상응하는 처분 부과' 원칙 아래 중점적으로 확인했다.
3322만 명 정보 유출…'CPO 독립성 방해'에 조사 방해까지
TF 조사 결과 해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3322만2472명의 회원 개인정보(계정 기준)와 최소 433만8368명(휴대전화번호 기준)의 '회원이 아닌 정보주체'의 개인정보를 유출한 것으로 확인됐다.
회원정보 수정 페이지에서 3305만7012명의 회원 개인정보(이름, 이메일)가 유출된 것으로 확인됐다. 배송지 관리 페이지에서는 최소 2237만5359명의 회원이 등록한 배송지 정보(이름, 전화번호, 주소, 공동현관 비밀번호(비식별화))가 6398만6351건 유출됐다.
아울러 회원이 등록한 배송지 정보에는 회원 본인 외에도 가족, 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함돼 있었고, 회원이 아닌 정보 주체는 최소 433만8368명에 달한다는 것이 TF의 조사 결과다.
주문 목록 페이지에서는 회원 5만8349명의 주문내역(주문일, 상품명, 수량, 가격) 27만2470건이 유출된 것으로 확인됐다.
이와 관련 개인정보위는 쿠팡이 기본적인 안전관리 체계 미비 및 관리 소홀로 이번 사태가 발생한 것으로 판단했다. 조사 과정에서 확인된 주요 관련 법령 위반 사항은 ▲안전조치 의무 위반 ▲개인정보 유출통지 의무 위반 ▲개인정보보호책임자(CPO)의 독립적 업무 수행 방해 ▲개인정보 파기 의무 위반 ▲자료 폐기 등 조사 방해 등이다.
동의 없는 '납치 광고'로 1100만 명 온라인 활동기록 무단 수집
쿠팡이 판매하는 상품을 광고 파트너의 매체를 통해 홍보하도록 하는 제휴 마케팅 프로그램인 ‘쿠팡 파트너스’를 운영하고 있다.
개인정보위 조사 결과에 따르면 쿠팡은 2024년 12월23일부터 올해 2월 4일까지 1564만5338개의 웹페이지(URL) 또는 앱을 방문·사용한 쿠팡 이용자 총 1117만613명에 대한 타사 온라인 활동기록을 무단 수집·저장한 것으로 확인됐다.
쿠팡이 수집한 타사 온라인 활동기록은 기기 식별자 및 회원번호와 함께 광고 DB에 저장되어 있어 그 자체로도 개인 식별이 가능한 개인정보에 해당한다. 이에 민감정보의 추론 가능성도 있어 정보주체의 권리 침해 위험 가능성이 크다.
개인정보위는 타사 웹·앱에 맞춤형 광고를 게재하거나 온라인 활동기록을 수집‧저장하기 위해서는 이용자에게 명확히 알리고 동의를 받는 등 개인정보 처리에 관한 결정권을 충분히 행사할 수 있도록 해야 하는데 이를 명확히 알리지 않았다는 점도 지적했다.
아울러 자신이 보유하거나 운영하는 온라인 매체에서 광고를 클릭하지 않아도 쿠팡 웹이나 앱으로 강제로 전환되도록 하는 '부정 광고(납치 광고)'를 개제해 용자가 원치 않았음에도 쿠팡 웹·앱에 접속하도록 함에 따라 관련 온라인 활동기록이 쿠팡에 수집되도록 했다.
또 개인정보위 조사 결과 쿠팡은 스스로 정한 정책상의 계정 해지 기준에 해당함에도 일부 광고 파트너에 대해 계정 해지 등 불이익을 적용하지 않고, 오히려 추가 수수료율을 적용하는 등 적절히 제재하지 않은 사실이 드러났다.
CFS와 관련해서는 경찰청 출입기자 개인정보 수집·이용 문제가 불거졌다. 개인정보위 조사 결과에 따르면 CFS는 2023년 9월부터 2024년 2월까지 물류 센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 ‘허위사실유포’ 사유로 취업제한 목록에 등록하였고, 등록 과정에서 별도로 해당 정보주체의 동의를 받거나, 등록 사실을 알린 바는 없었다.
뿐만 아니라 소송 과정에서 건강상 쟁점을 반증하기 위한 목적으로 임직원 80명의 체중 수치 분석 자료 등을 법원에 제출한 것과 관련, 별도 동의나 법령상 근거 없이 민감정보를 처리한 행위로 판단해 과징금을 부과했다.
개인정보위 "유출사고 엄격한 법적 책임 명확히했다" 평가
개인정보위는 이번 조사 및 처분을 통해 국내 소비자의 소중한 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 원칙을 다시 한번 명확히했다고 평가했다.
관련기사
- 개보위, 10일 쿠팡 제재안 심의…역대 최대 과징금 나올까2026.06.09
- [쿠팡 사태⑤] "조회도 유출"…지능형 해킹 아닌 ‘관리 부실’ 결론2026.02.10
- 박대준 쿠팡 대표 "해킹 사태 끝까지 책임 다 하겠다"2025.12.02
- 국회 과방위·정무위, '쿠팡 해킹 사태' 따져 묻는다2025.12.01
또한 대규모의 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 그에 상응하는 책임이 따른다는 점을 분명히 했다고 봤다.
송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다"라고 밝혔다.
