박종민 기자
3755만 명의 개인정보를 유출한 쿠팡이 역대 최대 규모인 약 6247억 원의 과징금을 부과받았다. 정부는 쿠팡의 기본적인 개인정보 안전관리 체계가 미흡했다고 결론 내렸다. 쿠팡이 1천만 명이 넘는 이용자의 온라인 활동 기록을 무단 수집한 사실도 조사에서 추가로 확인됐다.

이와 함께 쿠팡의 물류 계열사 쿠팡풀필먼트서비스(CFS)가 경찰청 출입기자단 명단을 수집해 취업 블랙리스트에 올린 사실도 드러나 2억 원 이상의 과징금이 부과됐다.

정부는 쿠팡이 사후 대처 과정에서 정부의 진상 조사를 어렵게했다고 보고 수사기관에 고발할 방침이다. 쿠팡도 정부 조사에 법적 절차를 밟겠다고 나서면서 후속 공방이 이어질 것으로 보인다.

해커가 3322만 명 개인정보 유출…쿠팡 증거인멸 정황도 확인

개인정보보호위원회는 11일 브리핑을 통해 제11회 전체회의에서 쿠팡의 안전조치 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억 8100만 원과 과태료 1680만 원 부과를 의결했다고 밝혔다. 이와 함께 시정명령과 공표 명령도 의결했다.

이는 역대 최대 규모의 개인정보 관련 과징금이다. 기존 최대 과징금은 유심 정보 유출 사고를 일으킨 SK텔레콤에 부과된 1348억 원이었다.

앞서 쿠팡은 지난해 11월 해커로부터 두 번째 협박 메일을 받은 뒤 자체 조사 결과 3300만 개 이상의 계정 정보가 유출된 사실을 인지해 정부에 신고했다. 이후 16만 5천여 개 계정 정보가 추가로 유출된 사실이 확인되자 이를 다시 신고했다.

송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡 과징금 제재 관련 브리핑을 하고 있다. 연합뉴스
개인정보위 조사 결과 해커는 지난해 4월부터 11월까지 회원정보 수정 페이지와 배송지 관리 페이지, 주문목록 페이지 등에 접근해 개인정보를 유출한 것으로 확인됐다. 과거 쿠팡의 대체 인증 시스템을 개발했던 해커는 인증 서명키와 회원번호를 탈취한 뒤 인증 토큰을 생성해 범행을 저질렀다.

해커는 배송지 관리 페이지에 1억 4800만 회 접근해 회원번호를 파악하고 배송지 정보를 유출한 것으로 나타났다. 또 회원정보 수정 페이지에 3496만 6812회 접근해 회원 이름과 이메일 주소를 유출했고, 이후 주문목록 페이지에 8만 회 이상 접근해 공동현관 비밀번호와 주문 정보를 추가로 빼낸 것으로 조사됐다.

이 정보를 바탕으로 해커는 회원별 프로필을 재구성해 쿠팡에 두 차례 협박 메일을 보냈으며, 메일에는 성인용품과 속옷 구매 내역 등 민감한 정보가 다수 포함된 것으로 나타났다.

개인정보위는 해커가 총 3322만 2472명의 회원 개인정보와 최소 433만 8368명의 비회원 개인정보를 유출한 것으로 결론 내렸다. 회원이 등록한 배송지 정보에는 본인 외에도 가족과 친구 등 제3자의 개인정보가 다수 포함된 것으로 조사됐다.

개인정보위는 쿠팡이 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 확인할 수 있도록 관리 시스템을 운영하는 등 접근권한 관리를 소홀히 했다고 판단했다. 또 해커가 퇴사한 뒤에도 서명키를 즉시 갱신하거나 폐기하지 않는 등 인증 서명키 관리도 부실했던 것으로 봤다. 개인정보가 포함된 페이지에 대한 비정상 접근 차단 기준 역시 미흡했던 것으로 조사됐다.

늑장 대응에 신고 지연까지…정부 고발전 예고

연합뉴스
또 개인정보위는 쿠팡이 유출 사고 이후 늑장 대응했으며 후속 조치 과정에서 정부 조사도 방해했다고 짚었다.

또 쿠팡은 올해 1월 약 16만 명의 개인정보가 추가로 유출된 사실을 인지했음에도 법에서 정한 기한인 72시간을 넘겨 피해자에게 이를 통지했다. 개인정보위는 수차례 통지를 촉구했지만 쿠팡이 이에 응하지 않은 것으로 나타났다.

이와 함께 쿠팡은 회원 탈퇴 후 90일이 지나면 주소와 계좌번호를 즉시 파기하도록 한 내부 규정에도 배송지 정보 246만 5592건을 삭제하지 않았고, 일부는 실제 유출로 이어졌다. 탈퇴 회원의 계좌번호 31만 8499건도 파기하지 않았으며, 탈퇴 회원 71만 7865명의 개인정보를 문자·메일 발송용 데이터베이스(DB)에 남겨둔 것으로 나타났다.

증거인멸 정황도 확인됐다. 개인정보위는 쿠팡에 증거자료 보전을 명령했지만 쿠팡이 약 5개월 분량의 웹 접속 로그를 수동으로 삭제한 것으로 조사됐다고 밝혔다. 또 자동 로그 삭제 정책도 중단하지 않아 조사에 어려움을 초래한 것으로 나타났다.

이에 개인정보위는 개인정보 유출과 관련해 과징금 4235억 7500만 원을 부과하고, 개인정보 유출 통지 및 파기 의무 위반 행위에 대해서는 과태료 1680만 원을 부과했다.

송경희 개인정보보호위원장은 브리핑에서 "(쿠팡이) 실제로 조사를 어렵게 한 행위들이 있었고 법에 따라서 요건이 충족되면 당연히 고발을 하기로 돼 있다"며 "그렇게 진행할 것"이라고 강조했다.

쿠팡 측도 이날 정부 조사에 법적 대응을 예고했다. 쿠팡 측은 입장문을 통해 "2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점 유감스럽게 생각한다"며 "법적 절차를 통해 사실 관계가 명확하게 규명되기를 기대한다"고 밝혔다.

이에 개인정보위 관계자는 쿠팡의 입장에 대해 "아직 2차 피해 사실이 확인 안 됐을 뿐 완전히 정보가 회수됐다고 판단이 안 된다"며 "(불복 소송에 대해서는) 그에 맞춰 적극적으로 대응할 것"이라고 강조했다.

이에 따라 양측은 향후 법적 공방을 이어갈 것으로 보인다.

분쟁조정 절차도 다시 진행된다. 현재까지 분쟁조정 신청은 2578명 접수됐으며 정부 조사에 따라 그동안 일시정지됐다. 개인정보위는 오는 12일부터 조정 절차를 재개할 예정이다.

1117만 명 이용자 온라인 활동 기록 무단 수집도 확인

 
쿠팡이 이용자의 온라인 활동 기록을 무단으로 수집한 사실도 추가로 드러났다.

개인정보위 조사 결과 쿠팡은 2024년 12월부터 올해 2월까지 총 1117만 613명의 이용자가 방문하거나 사용한 1564만 5338개의 웹페이지(URL) 또는 앱 정보를 수집·저장한 것으로 확인됐다.

쿠팡이 수집한 타사 온라인 활동 기록은 기기 식별자와 회원번호와 함께 광고 데이터베이스(DB)에 저장돼 있어, 그 자체로 개인을 식별할 수 있는 개인정보에 해당한다고 개인정보위는 판단했다.

개인정보위에 따르면 쿠팡은 타사 웹사이트와 앱에 맞춤형 광고를 게재하면서 이용자의 온라인 활동 기록을 수집·저장했지만 이에 대한 동의를 받지 않았다. 또 맞춤형 광고 관련 안내 페이지 등에도 이러한 사실을 명확히 고지하지 않은 것으로 나타났다.

개인정보위 관계자는 "온라인 활동 기록은 개인의 관심사와 성향 등을 폭넓게 파악할 수 있으며, 장기간 누적될 경우 개인을 프로파일링할 수 있다"며 "경우에 따라서는 사상·신념·건강 등 민감한 정보까지 추론할 수 있어 정보주체의 권리가 침해될 위험이 크다"고 지적했다.

이에 개인정보위는 쿠팡의 무단 정보 수집 행위에 대해 과징금 2011억 600만 원을 부과하기로 결정했다.

CFS, 경찰청 기자단 동의 없이 정보 취득…과징금 2.4억 원

이와 함께 개인정보위는 CFS에 대해서도 개인정보보호법 위반 사실이 확인돼 총 2억 4800만 원의 과징금 부과를 의결했다.

조사 결과 CFS는 2023년 9월부터 2024년 2월까지 물류센터 근무 이력이 없는 경찰청 출입기자 71명을 '허위사실 유포'를 이유로 자체 취업제한 목록에 등록한 것으로 나타났다. 등록 과정에서 정보주체의 동의를 받지 않았고, 등록 사실도 알리지 않은 것으로 조사됐다.

개인정보위는 적법한 근거 없이 개인정보를 수집·이용한 행위로 보고 과징금 2억 2천만 원을 부과했다.

또 개인정보위는 CFS가 2024년 3월 소송 과정에서 건강상 쟁점을 반박하기 위해 임직원 80명의 체중 수치 분석 자료 등을 법원에 제출한 행위도 법 위반으로 판단했다. 개인정보위는 CFS가 별도 동의나 법령상 근거 없이 민감정보를 처리한 것으로 보고 과징금 2800만 원을 부과했다.

송 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화로 이어지는 계기가 되기를 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 보호되고 활용될 수 있는 환경을 만들기 위해 더욱 노력하겠다"고 밝혔다.