개인정보보호위원회가 쿠팡에 대해 역대 최대 규모의 과징금을 부과했다. 3750여만명에 이르는 개인정보 유출과 1117만명 규모의 온라인 활동기록 무단 수집이 함께 확인되면서 국내 최대 전자상거래 플랫폼의 개인정보 관리 책임이 6000억원대 제재로 이어졌다.
개인정보위는 쿠팡의 개인정보 유출 및 침해 행위에 대해 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다.
이번 과징금은 기존 역대 최대 규모였던 SK텔레콤(1347억9100만원)을 크게 웃돈다. 개인정보위는 쿠팡의 개인정보 유출 및 침해 사고 2건에 대한 처분이 같은날 의결되면서 규모를 키웠다.
개인정보위는 쿠팡이 기본적인 보안 관리를 제대로 하지 못해 대규모 유출이 발생했다고 판단했다. 전직 직원이 인증 서명키를 이용해 정상 로그인 절차 없이 회원정보 수정 페이지와 배송지 관리 페이지 등에 접근했고, 쿠팡은 이를 제때 탐지하지 못했다는 것이다.
또 쿠팡이 사고 이후 유출 사실을 알려야 할 대상과 시점을 제대로 지키지 않았고, 보유 목적이 끝난 개인정보를 삭제해야 하는 의무도 이행하지 않았다고 봤다. 개인정보보호책임자(CPO)가 독립적으로 역할을 수행할 수 있도록 보장하지 않은 점과 조사 과정에서 사실 확인 절차를 방해한 행위도 문제로 지적됐다.
광고와 관련한 개인정보 수집도 제재 대상에 포함됐다. 개인정보위는 쿠팡이 타사 웹사이트와 앱에 접속한 회원 약 1117만명의 온라인 활동기록을 법적 근거 없이 수집했다고 밝혔다. 쿠팡 광고가 붙은 외부 웹사이트와 앱의 방문기록, 접속일시, 접속 인터넷주소(IP) 등이 수집 대상이었다.
개인정보위는 쿠팡이 이 정보를 회원번호와 기기식별자와 결합해 개인을 알아볼 수 있는 상태로 데이터베이스(DB)에 저장했다고 판단했다.
개인정보위는 쿠팡에 재발 방지를 위한 보안 강화와 회원이 아닌 정보주체에 대한 유출 통지를 명령했다. 개인정보 처리 내용을 투명하게 알리고, 맞춤형 광고에 대한 이용자 선택권을 보장하라는 명령도 내렸다. 사고 관련 접속기록 등을 삭제해 조사를 방해한 행위에 대해서는 경찰에 고발 조치하기로 했다.
계열사인 쿠팡풀필먼트서비스(CFS)도 제재를 받았다. 개인정보위는 CFS가 물류센터 근무 이력이 없는 경찰청 출입기자단 명단 71명을 수집해 취업제한 목록에 올린 행위와 근로자 체중정보를 산업재해 소송 과정에서 법원에 제출한 행위를 위법으로 판단했다. CFS에는 과징금 2억4800만원이 부과됐다.
송경희 개인정보위 위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다”고 말했다.
박진형 기자 jin@etnews.com
