개보위, 쿠팡에 6247억 과징금 철퇴..."'고도 해킹' 아닌 기본 관리 소홀"(종합)

[파이낸셜뉴스] 개인정보보호위원회가 쿠팡에 역대 최대 규모인 6246억8100만원의 과징금을 부과했다. 대규모 개인정보 유출 사고뿐 아니라 이용자 온라인 활동기록 무단 수집, 유출 통지 의무 위반 등이 복합적으로 적용된 결과다.

개인정보위는 지난 10일 전체회의를 열고 개인정보보호법을 위반한 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하고 시정명령, 공표명령, 고발, 개선권고 등을 의결했다고 11일 밝혔다.

쿠팡 물류 자회사인 쿠팡풀필먼트서비스(CFS)에 대해서도 과징금 2억4800만원을 부과했다.

이번 과징금은 크게 두 건으로 구성된다. 먼저 인증서명키 관리와 접근통제 미흡 등 안전조치 의무 위반으로 발생한 개인정보 유출 사고에 대해 4235억7500만원을 부과했다. 여기에 회원 1117만명의 타사 웹·앱 방문기록 등 온라인 활동기록을 동의 없이 수집·이용한 행위에 대해 2011억600만원의 과징금을 추가 부과했다.

개인정보위 조사 결과 쿠팡에서는 회원 3322만2472명과 회원이 아닌 정보주체 최소 433만8368명 등 총 3750만명 규모의 개인정보가 유출된 것으로 나타났다. 유출 정보에는 이름과 이메일, 전화번호, 주소, 주문정보, 공동현관 출입 비밀번호 일부 등이 포함됐다.

개인정보위는 이번 사고를 고도의 해킹 공격보다는 쿠팡의 기본적인 보안 관리 부실에서 비롯된 사고로 판단했다. 조사 결과 해커는 쿠팡 전직 직원으로, 재직 당시 접근 가능했던 인증서명키를 이용해 회원정보 수정 페이지와 배송지 관리 페이지 등에 장기간 접근한 것으로 확인됐다.

개인정보위는 쿠팡이 업무상 필요하지 않은 직원도 인증서명키를 평문으로 열람할 수 있도록 운영했고, 해당 직원 퇴사 이후에도 키를 즉시 폐기하거나 교체하지 않았다고 지적했다. 또한 해커가 지난해 4월부터 11월까지 배송지 관리 페이지에 약 1억4800만회 접근을 시도했음에도 고객 민원이 접수될 때까지 이를 탐지하지 못한 것으로 조사됐다.

개인정보위는 유출 사고 외에도 쿠팡의 온라인 행태정보 수집 관행에 문제가 있다고 판단했다. 쿠팡은 제휴 마케팅 서비스인 '쿠팡 파트너스'를 운영하면서 회원 1117만명의 타사 웹사이트·앱 방문기록(URL·앱 이름), 접속시간, IP주소 등을 수집해 이용자별 광고 데이터베이스(DB)에 저장해온 것으로 나타났다.

특히 개인정보위는 쿠팡이 일부 광고 파트너의 이른바 '납치광고'를 적절히 관리·감독하지 않아 이용자 의사와 무관하게 개인정보가 수집되도록 했다고 봤다. 이용자가 광고를 닫으려 해도 쿠팡 페이지로 이동하거나 앱이 실행되는 방식이다.

이 밖에도 개인정보위는 쿠팡의 유출 통지 의무 위반과 개인정보 파기 의무 위반, 개인정보보호책임자(CPO) 독립성 보장 위반, 조사 과정에서의 자료 삭제 등 조사 방해 행위도 확인했다고 밝혔다.

쿠팡풀필먼트서비스(CFS)의 경우 경찰청 출입기자단 명단 71명을 수집해 취업제한 목록으로 관리한 행위와 근로자 체중정보를 산업재해 소송 과정에서 활용한 행위 등이 개인정보보호법 위반으로 인정됐다.

개인정보위는 "대규모의 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 그에 상응하는 책임이 따른다"면서 "국내 소비자의 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 것이 원칙"이라고 말했다.

yjjoe@fnnews.com 조윤주 기자