쿠팡, 개인정보 위반으로 역대 최대 과징금 6,246억원 철퇴
개인정보보호위원회(이하 개인정보위)가 3,750여만 명의 개인정보를 유출하고 1,000만 명이 넘는 회원의 온라인 활동기록을 무단 수집한 쿠팡에 역대 최대 규모인 총 6,246억8,100만원의 과징금을 부과했다.
개인정보위는 11일 전날(10일) 정부서울청사에서 전체회의를 열어 쿠팡의 개인정보 안전조치 의무 위반 제재안을 심의·의결했다고 밝혔다. 부과된 과징금은 개인정보 유출사고에 따른 4,235억7,500만원과 온라인 활동기록 무단 수집에 따른 2,011억660만원을 합산한 수치다.
단일 개인정보 유출사고 기준 역대 최대이자, 한 기업의 복수 위반행위에 부과된 과징금 중에서도 최고 기록이다. 개인정보위는 과태료 1,680만원도 함께 처분했다.
안전관리 허술…3,750만명 정보 줄줄 샜다
개인정보위 조사 결과, 쿠팡은 인증 서명키 관리와 접근 통제 등 기본적인 안전관리 체계를 소홀히 해 약 3,750여만 명의 고객 개인정보를 유출한 것으로 결론 내려졌다. 조사 과정에서는 개인정보 유출 통지 및 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 보장 위반, 조사 방해 행위 등 추가 위반사항도 확인됐다.
개인정보위는 이에 따라 유사 사고 재발 방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 대한 유출 통지, CPO의 실질적 역할 보장 등을 시정명령했다. 탈퇴 회원의 개인정보 처리체계에 대해서는 개선을 권고하고, 3개월 이내 이행 여부를 확인하기로 했다.
앞서 지난해 11월 불거진 쿠팡 개인정보 유출 사고와 관련해, 올해 2월 과학기술정보통신부 민관합동조사단은 쿠팡의 ‘내 정보 수정 페이지’ 취약점을 통해 성명·이메일·주소 등이 포함된 고객 정보 3,367만3,817건이 유출된 사실을 확인한 바 있다.
1,117만명 활동기록 무단 수집…과징금 2,011억 별도 부과
개인정보위는 쿠팡이 타사 웹·앱에 접속한 회원 약 1,117만명의 온라인 활동기록을 법적 근거 없이 수집한 위반행위도 확인했다. 수집된 정보에는 타사 웹·앱 방문 기록(URL·앱 이름 등), 접속 일시, 접속 IP 등이 포함됐으며, 이용자 개인을 식별한 상태로 데이터베이스에 저장된 것으로 파악됐다. 이에 대해 과징금 2,011억660만원이 별도 부과됐다.
또 이른바 ‘납치광고’로 불리는 부정광고를 게재한 광고 파트너를 쿠팡이 적절히 관리·감독하지 않아, 이용자 의사에 반한 서비스 이용기록이 수집된 사실도 확인됐다. 개인정보위는 쿠팡에 개인정보 처리의 투명성 제고, 맞춤형 광고에 대한 정보주체의 실질적 선택권 보장, 부정광고 방지를 위한 관리·감독 강화 등의 시정명령을 내렸다.
경찰청 기자단 블랙리스트 등재·근로자 체중 정보 소송 제출도 위반
이번 조사에서는 쿠팡 자회사인 쿠팡풀필먼트서비스(CFS)가 자사 물류센터 근무 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 행위도 개인정보 수집·이용 규정 위반으로 적시됐다.
아울러 ‘임직원 건강관리’ 목적으로 보유하던 근로자의 체중 정보를 산업재해 소송 과정에서 법원에 제출한 행위는 민감정보 처리 위반으로 판단돼, 별도 과징금 2억4,800만원이 부과됐다.
업계에서는 이번 처분이 향후 개인정보 유출 사고에 대한 정부의 주요 판단 기준이 될 것으로 보고 있다. 최근 티빙과 편의점 CU의 개인정보 유출 사고가 연이어 발생한 가운데, 이번 쿠팡 제재가 기업들의 개인정보 관리 수준을 가늠하는 사실상의 기준선으로 작용할 것이라는 전망이 나온다.
