정부가 쿠팡 개인정보 유출·침해사고에 6000억원대에 달하는 역대 최대 규모 과징금을 부과했다. 3750여만명에 이르는 개인정보 유출과 1117만명 규모 온라인 활동기록 무단 수집이 함께 확인됐다. 국내 최대 전자상거래 플랫폼의 개인정보 관리 부실이 역대급 제재로 이어졌다.
개인정보보호위원회는 쿠팡의 개인정보 유출 및 침해 행위에 대해 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다. 이번 과징금은 기존 역대 최대 규모였던 SK텔레콤(1347억9100만원) 사례 5배에 육박한다.
개인정보위는 쿠팡이 기본적인 보안 관리를 제대로 하지 못해 대규모 유출이 발생했다고 판단했다. 전직 직원이 인증 서명키를 이용해 정상 로그인 절차 없이 회원정보 수정 페이지와 배송지 관리 페이지 등에 접근했고, 쿠팡은 이를 제때 탐지하지 못했다는 것이다.
또 쿠팡이 사고 이후 유출 사실을 알려야 할 대상과 시점을 제대로 지키지 않았고, 보유 목적이 끝난 개인정보를 삭제해야 하는 의무도 이행하지 않았다고 봤다. 개인정보보호책임자(CPO)가 독립적으로 역할을 수행할 수 있도록 보장하지 않은 점과 조사 과정에서 사실 확인 절차를 방해한 행위도 문제로 지적했다.
광고와 관련한 개인정보 수집도 제재 대상에 포함됐다. 개인정보위는 쿠팡이 타사 웹사이트와 애플리케이션(앱)에 접속한 회원 약 1117만명의 온라인 활동기록을 법적 근거 없이 수집했다고 밝혔다. 쿠팡 광고가 붙은 외부 웹사이트와 앱의 방문기록, 접속일시, 접속 인터넷주소(IP) 등이 수집 대상이었다.
개인정보위는 쿠팡이 이 정보를 회원번호와 기기식별자와 결합해 개인을 알아볼 수 있는 상태로 데이터베이스(DB)에 저장했다고 판단했다.
개인정보위는 쿠팡에 재발 방지를 위한 보안 강화와 회원이 아닌 정보주체에 대한 유출 통지를 명령했다. 개인정보 처리 내용을 투명하게 알리고, 맞춤형 광고에 대한 이용자 선택권을 보장하라는 명령도 내렸다. 사고 관련 접속기록 등을 삭제해 조사를 방해한 행위에 대해서는 경찰에 고발 조치하기로 했다.
계열사인 쿠팡풀필먼트서비스(CFS)도 제재를 받았다. 개인정보위는 CFS가 물류센터 근무 이력이 없는 경찰청 출입기자단 명단 71명을 수집해 취업제한 목록에 올린 행위와 근로자 체중 정보를 산업재해 소송 과정에서 법원에 제출한 행위를 위법으로 판단했다. CFS에는 과징금 2억4800만원이 부과됐다.
송경희 개인정보위 위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다”고 말했다.
쿠팡은 “개인정보 유출 사고로 인해 고객과 국민 여러분께 심려를 끼쳐 사과드린다”고 밝혔다. 이어 “2차 피해 방지를 위한 여러 조치와 명확한 사실관계에 근거한 설명이 충분히 반영되지 못한 점은 유감”이라며 “공식 의결서 수령 후 법적 절차를 통해 사실 관계가 명확하게 규명되길 바란다”고 전했다. 사실상 향후 법적 다툼을 예고했다.
앞서 역대급 과징금을 받았던 SK텔레콤 역시 현재 개인정보위를 상대로 과징금 처분 취소를 요구하는 소송을 진행 중이다.
박진형 기자 jin@etnews.com, 윤희석 기자 pioneer@etnews.com
