[앵커]쿠팡이 개인정보 유출 사고와 관련해 역대 최대 규모인 6200억 원대 과징금을 부과받았습니다.
정부는 수천만 명의 개인정보가 유출된 데 이어 이용자의 온라인 활동 기록까지 무단 수집한 사실을 확인했다고 밝혔습니다.
계열사의 이른바 '취업 블랙리스트' 운영 사실도 적발됐습니다.
정책부 김기용 기자 연결해 자세히 알아보겠습니다. 김 기자.
[기자]네.
[앵커]우선 과징금 규모가 상당합니다. 기존 사례와 비교하면 어느 정도입니까?
[기자]네. 개인정보보호위원회가 오늘 쿠팡에 부과하기로 결정한 과징금은 6246억 8천만 원입니다.
국내 개인정보 침해 사건 가운데 역대 최대 규모인데요.
기존 최고액이었던 SK텔레콤 유심 정보 유출 사고 과징금 1348억 원보다도 4배 이상 많은 금액입니다.
개인정보위는 쿠팡이 개인정보 보호를 위한 기본적인 안전조치를 제대로 하지 않았고, 사고 이후 대응 과정에서도 여러 법적 의무를 위반했다고 판단했습니다.
송경희 개인정보보호위원장 발언 들어보시죠.
[인서트1]
"이번 사고는 고도의 해킹 방법이 아닌 쿠팡의 기본적인 안전 관리 체계 미비 및 관리 소홀로 인해 발생하였습니다."
[앵커]실제 유출 규모는 어느 정도로 확인됐습니까?
[기자]정부 조사 결과 회원 3322만여 명, 비회원 최소 433만여 명의 개인정보가 유출된 것으로 판단됐습니다.
합치면 3755만 명이 넘는 규모인데요.
유출된 정보에는 이름과 이메일 주소뿐 아니라 배송지 주소와 전화번호, 공동현관 출입 비밀번호, 주문 정보 등이 포함됐습니다.
특히 회원들이 등록한 배송지 정보에는 가족이나 지인 등 제3자의 개인정보도 포함돼 있어 실제 영향 범위는 더 넓을 수 있다는 분석이 나옵니다.
해커는 지난해 4월부터 11월까지 여러 서비스 페이지에 반복적으로 접근해 정보를 빼낸 것으로 조사됐습니다.
이후 확보한 정보를 바탕으로 회원별 프로필을 재구성해 쿠팡에 협박 메일까지 보낸 것으로 파악됐습니다.
[앵커]사고 원인도 구체적으로 공개됐죠?
[기자]네. 개인정보위에 따르면 해커는 과거 쿠팡의 인증 시스템 개발에 관여했던 인물로 파악됐습니다.
문제는 쿠팡이 인증 서명키를 충분히 안전하게 관리하지 못했다는 점인데요.
퇴사 이후에도 악용 가능성이 있는 인증 정보를 즉시 폐기하거나 교체하지 않았고, 접근 권한 관리 역시 미흡했던 것으로 조사됐습니다.
또 개인정보가 저장된 페이지에 대한 비정상 접근 탐지와 차단 체계도 충분하지 않았다는 게 개인정보위 판단입니다.
결국 정부는 이번 사고를 외부 해킹에 더해 기업의 보안 관리 부실이 겹쳐 발생한 사고로 보고 있습니다.
[앵커]그런데 이번 제재가 단순히 개인정보 유출 때문만은 아니라고요?
[기자]그렇습니다.
개인정보위는 조사 과정에서 쿠팡이 이용자의 온라인 활동 기록을 별도 동의 없이 수집한 사실도 확인했다고 밝혔습니다.
지난해 말부터 올해 초까지 1100만 명이 넘는 이용자가 어떤 웹사이트와 앱을 이용했는지에 대한 기록을 수집해 광고 데이터베이스에 저장했다는 겁니다.
관련 설명 들어보시죠.
[인서트2]
"URL과 앱 이름 등의 정보가 쿠팡으로 전송되도록 하였고, 이를 회원 계정 정보와 함께 개인을 식별할 수 있는 형태로 DB에 저장하였습니다."
개인정보위는 이런 정보가 단순 접속 기록을 넘어 개인의 관심사와 소비 성향, 행동 패턴을 분석할 수 있는 개인정보에 해당한다고 판단했습니다.
특히 장기간 누적될 경우 특정 개인을 프로파일링하거나 민감한 성향까지 추론할 수 있다고 설명했는데요.
이 부분에만 별도로 2천억 원이 넘는 과징금이 부과됐습니다.
[앵커]계열사인 쿠팡풀필먼트서비스, CFS 문제도 함께 적발됐죠?
[기자]네. 개인정보위는 쿠팡 물류 계열사인 CFS가 경찰청 출입기자단 명단을 확보해 자체 취업제한 명단, 이른바 블랙리스트에 올린 사실을 확인했다고 밝혔습니다.
대상은 70여 명 규모로 조사됐는데요.
정보 주체 동의 없이 개인정보를 수집하고 활용한 것으로 판단했습니다.
[앵커]정부가 고발 방침도 밝혔는데, 어떤 배경입니까?
[기자]개인정보위는 쿠팡이 사고 이후 대응 과정에서도 여러 문제를 드러냈다고 보고 있습니다.
대표적으로 추가 유출 사실을 인지하고도 법정 기한 내에 피해자에게 통지하지 않았고, 탈퇴 회원 개인정보도 상당수 삭제하지 않은 것으로 조사됐습니다.
또 정부가 증거 보전을 요구한 이후에도 일부 웹 접속 기록이 삭제된 정황이 확인됐는데요.
개인정보위는 이런 행위가 조사와 사실 확인을 어렵게 만들었다고 판단했습니다.
개인정보위는 고발 요건이 충족됐다고 보고 수사기관 고발 절차를 진행할 방침이라고 밝혔습니다.
한편 쿠팡은 개인정보위 결정에 유감을 표하며 법적 절차를 통해 사실관계를 다투겠다는 입장을 밝혔습니다.
개인정보 유출 자체에 대해서는 재차 사과했지만 온라인 활동 기록 수집과 관련해서는 글로벌 기업들과 동일한 방식으로 적법하게 운영해 왔다고 반박했습니다.