'SKT의 4.6배' 거액 때린 개인정보위

'안전관리 의무 위반' 엄중 제재

개인정보보호위원회가 쿠팡에 부과한 6247억원 과징금은 국내 개인정보 관련 규제 역사상 최대 규모다. 물류 계열사에 대한 과징금 2억여원까지 포함하면 과징금 규모는 6250억원에 육박한다. 종전 최대였던 SK텔레콤 유심정보 유출 제재(1347억9100만원)의 4.6배 수준으로, 미국 뉴욕증시에 상장된 쿠팡 본사의 지난해 영업이익(약 6790억원)에 육박하는 수준이다.

11일 개인정보위원회가 발표한 쿠팡 사태 제재안 의결에 대한 브리핑에 따르면 쿠팡의 개인정보 유출 규모보다 안전조치 의무 위반이 이번 제재에 더 많은 영향을 미친 것으로 나타났다.

쿠팡은 전직 직원이 재직 중 알게 된 인증서명키를 퇴사 후 악용한 특수 사례라는 점을 강조했지만 개인정보위는 인증체계 설계와 인증키 관리, 접근통제, 침입 탐지체계 등 쿠팡의 주요 보안체계가 제대로 작동하지 않았다고 판단했다. 공격자가 배송지 관리 페이지에 1억4000만회 이상 접근했지만 쿠팡은 이를 탐지하지 못했다.

송 위원장은 "유출 규모도 중요하지만 가장 중요하게 보는 것은 안전조치 의무 위반"이라며 "안전조치 의무를 다 지키지 않았다"고 말했다.

개인정보 유출 규모, 실제로는 더 클 가능성

쿠팡 회원 3322만명의 전화번호, 이름, 현관 비밀번호를 비롯해 가족과 지인 정보까지 털린 점도 확인됐다. 회원이 등록한 배송지 정보를 통해 가족과 친구, 지인 등 비회원 정보 유출 규모도 최소 433만명이다. 개인정보위는 확보한 로그를 기준으로 산정한 수치인 만큼 실제 피해 규모는 더 클 가능성이 있다고 봤다.

yjjoe@fnnews.com 조윤주 기자