개인정보보호위원회가 쿠팡에 대해 역대 최대 규모의 과징금을 부과했다. 3750여만명에 이르는 대규모 개인정보 유출과 기본 안전관리 체계 미흡, 법적 근거 없는 개인정보 수집 등이 함께 확인되면서 단일 기업에 대한 개인정보위 제재 수위가 처음으로 6000억원대를 넘어섰다.
개인정보위는 쿠팡의 개인정보 유출 및 침해 행위에 대해 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다.
이번 과징금은 개인정보위가 앞서 SK텔레콤 개인정보 유출 사고와 관련해 부과한 1347억9100만원을 크게 웃도는 규모다. 개인정보위의 단일 기업 과징금으로는 역대 최대다.
개인정보위는 쿠팡이 인증 서명키 관리와 접근통제를 소홀히 하는 등 기본적인 안전관리 체계를 제대로 갖추지 않아 3750여만명의 개인정보가 유출됐다고 판단했다.
개인정보위는 안전조치 의무 위반에 더해 유출 통지와 개인정보 파기 의무 위반도 확인했다. 사고 발생 뒤 정보주체에게 유출 사실을 알려야 하는 범위와 시점이 법정 기준에 미치지 못했고, 보유 목적이 끝난 개인정보를 지체 없이 파기해야 하는 의무도 제대로 이행하지 않았다고 판단했다.
개인정보보호책임자(CPO) 운영도 문제로 지적됐다. 개인정보위는 쿠팡이 CPO가 개인정보 보호 업무를 독립적으로 수행할 수 있도록 보장해야 하는 의무를 지키지 않았다고 봤다. 조사 과정에서 자료 제출 등 사실 확인 절차를 방해한 행위도 추가 위반으로 적시했다.
맞춤형 광고 관련 개인정보 수집도 제재 대상에 포함됐다. 개인정보위는 쿠팡이 타사 웹사이트와 애플리케이션에 접속한 회원 약 1117만명의 온라인 활동기록을 법적 근거 없이 수집했다고 밝혔다. 쿠팡 광고가 게재된 타사 웹·앱 방문기록, 접속일시, 접속 인터넷주소(IP) 등이 수집 대상에 포함됐다.
개인정보위는 쿠팡이 관련 정보를 이용자 개인을 식별한 상태로 데이터베이스(DB)에 저장했다고 판단했다. 부정광고, 이른바 납치광고를 게재한 광고 파트너를 제대로 관리·감독하지 않아 이용자 의사에 반해 쿠팡 서비스 이용기록이 수집되도록 한 사실도 확인했다.
개인정보위는 쿠팡에 유사 사고 재발 방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 대한 유출 통지, CPO의 실질적 역할 보장 등을 시정명령했다. 개인정보 처리의 투명성 제고와 맞춤형 광고 선택권 보장, 부정광고 관리·감독 강화도 명령했다. 탈퇴회원 개인정보 처리 체계는 개선을 권고했다.
계열사인 쿠팡풀필먼트서비스(CFS)도 제재를 받았다. 개인정보 수집·이용 및 민감정보 처리 제한 위반으로 과징금 2억4800만원이 부과됐다.
개인정보위는 CFS가 물류센터 근무 이력이 없는 경찰청 출입기자단 명단 71명을 수집해 취업제한 목록에 등록·관리한 것을 개인정보 수집·이용 위반으로 판단했다. 근로자 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 행위는 민감정보 처리 제한 위반으로 봤다.
송경희 개인정보위 위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다”며 “개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다”라고 말했다.
박진형 기자 jin@etnews.com
