쿠팡, 안전 소홀…정보유출 깜깜 , 해커 협박 받고야 알아 [뉴스] 개인정보보호위원회가 3750만명의 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6247억원을 부과했다. 개인정보 유출에만 약 4236억원, 1000만명이 넘는 회원의 온라인 활동을 무단 수집한 위반 행위 등에는 2011억원의 과징금 처분을 각각 내렸다. 단일 개인정보 유출사고에 내린 과징금 규모로는 역대 최대치로, 한 기업의 여러 위반행위에 부과한 과징금 규모로도 가장 많다. 또한 개보위는 쿠팡이 개보위의 조사를 방해했다고 결론내리고 고발하기로 결정했다.
개인정보 유출하고 회원의 온라인 활동을 무단수집한 쿠팡에 과징금 철퇴
개인정보위는 10일 정부서울청사에서 전체회의를 열어 쿠팡의 개인정보 안전조치 의무 위반행위 제재안을 심의하고, 과징금 4235억 7500만원을 부과하기로 의결했다고 11일 밝혔다.
또 신고 지연 등을 이유로 과태료 1680만원도 처분했다. 쿠팡 측이 유출사고 조사를 어렵게 한 부분이 있다고 보고, 수사기관 고발도 병행하기로 했다.
개인정보위는 쿠팡의 인증 서명키 관리와 접근 통제 소홀 등 기본적인 안전관리 체계가 미흡해 약 3750여만명의 개인정보가 유출된 것으로 결론 내렸다.
이는 올해 2월 과학기술정보통신부의 민관합동조사단이 내놓은 개인정보 유출 규모(3367만명)보다 약 400만명 가까이 더 많은 것이다.
개인정보위는 쿠팡 전 직원인 공격자(해커)가 중복 조회하거나 회원 탈퇴 등으로 데이터베이스(DB) 내 개인정보가 없는 경우를 제외하는 대신, 회원 계정 약 3322만명 및 회원이 아닌 정보주체 최소 433만명의 정보가 유출된 것으로 판단했다.
유출된 정보 항목과 규모를 보면 해커는 쿠팡의 회원정보 수정페이지에서 3305만명의 이름과 이메일 등 개인정보를 빼돌렸다.
배송지 관리 페이지에서는 최소 2237만여명의 회원이 등록한 배송지 정보 6398만건이 유출됐다. 외부로 나간 회원 배송지 정보에는 이름과 전화번호, 주소, 공동현관 비밀번호가 포함됐다.
배송지 정보에는 회원 본인 외에도 가족과 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함됐다. 회원이 아닌 정보주체는 휴대전화번호 기준으로 최소 433만명으로 확인됐다.
주문 목록 페이지에서도 회원 5만 8000여명의 주문내역 27만 2000건이 유출됐다.
안전조치 의무 위반 행위로는 정보주체 인증수단을 안전하게 관리하지 못했고, 불법적인 접근 및 침해사고를 위한 접근통제를 소홀히 한 점 등이 제시됐다.
송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하고 있다. 개보위는 3천750만명의 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6천246억원을 부과했다. 2026.6.11, 연합뉴스
조사 과정에서 쿠팡의 개인정보 유출 통지와 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가로 확인했다.
개인정보위는 쿠팡에 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 유출 통지, CPO의 실질적인 역할 보장 등의 시정명령을 내렸다.
또 탈퇴회원의 개인정보 처리체계와 관련해 개선을 권고하고, 3개월 내 이행 및 조치 결과를 확인하기로 했다.
이와 함께 개인정보위는 쿠팡에서 타사의 웹·앱에 접속한 회원 약 1117만명의 온라인 활동기록을 무단 수집해 이용자 개인을 식별한 상태로 DB에 저장한 위반행위도 확인해 과징금 2011억 660만원을 별도 부과했다.
개인정보 유출사고에 따른 과징금 약 4236억원을 합산하면 개인정보위가 쿠팡에 부과한 과징금 총액은 모두 6247억원에 달한다.
아울러 개인정보위는 쿠팡의 물류센터를 운영하는 자회사인 쿠팡풀필먼트서비스(CFS)가 물류센터에 근무한 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 점도 위반행위로 판단했다.
또 임직원 건강관리 를 목적으로 보유·관리하는 근로자 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 것도 민감정보 처리 위반으로 보고 과징금 2억 4800만원을 개별 부과했다.
주요기업 개인정보 보호 위반 과징금 규모, 자료 : 개인정보보호위원회
쿠팡 소송시 적극 대응하겠다는 송경희 개인정보보호위원장
이날 개인정보위 브리핑에서는 작년 SK텔레콤 제재와 비교해 형평성에 문제는 없는지를 묻는 질의가 나왔다.
이에 양청삼 개인정보위 사무처장은 개별 사건마다 사건의 성격과 위반행위의 내용, 적용 법조 등이 모두 다르다”며 이를 단순 비교해 형평성을 논하는 것은 쉽지 않다”고 강조했다.
고의 또는 중대한 과실로 대규모 개인정보 유출이 발생한 경우 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 이른바 징벌적 과징금 제도를 담은 개인정보보호법 개정안은 오는 9월 시행돼 이번 쿠팡 유출사고에는 적용되지 않았다.
일각에서는 쿠팡이 개인정보위 처분에 불복해 행정소송에 나설 가능성이 크다는 관측이 나온다.
이에 대해 송경희 개인정보위원장은 만약 소송이 제기된다면 적극적으로 대응할 것”이라며 이번 처분은 법과 원칙에 근거해 면밀한 검토와 충분한 숙고 끝에 내린 타당한 처분이라고 생각한다”고 피력했다.
개인정보위는 KT 등 현재 조사 중인 개인정보 유출 사건에 대한 심의도 이어갈 방침이다.
송 위원장은 KT 건은 이미 사전통지가 이뤄졌고 의견 제출을 받아 현재 검토 중”이라며 그렇게 멀지 않은 시기에 처분을 내리려고 한다”고 알렸다.
송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡 과징금 제재 관련 브리핑을 하고 있다. 개보위는 3천750만명의 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6천246억원을 부과했다. 2026.6.11, 연합뉴스
개보위 발표에 따라 민낯 드러난 쿠팡
11일 개인정보보호위원회가 쿠팡에 6천억원대 역대 최대 과징금 부과와 함께 위반행위 내용을 상세하게 공개하면서 이용자 개인정보 보호를 도외시해온 쿠팡의 민낯이 드러나게 됐다.
11일 개인정보위 등에 따르면 쿠팡 전 직원의 해킹 공격으로 쿠팡에서 유출된 개인정보는 모두 3756만명에 달하는 것으로 조사됐다. 여기에는 회원 3322만명은 물론 회원이 아닌 정보주체도 최소 434만명이 포함됐다.
개인정보 유출규모는 올해 2월 과학기술정보통신부 민관합동조사단이 내놓은 조사결과 보다 약 400만명 가까이 늘어난 것이다.
이날 개인정보위는 쿠팡 유출 사고의 주된 이유로 고도의 해킹공격이 아닌 기본적인 안전조치 소홀을 짚었다.
해커의 능력이 뛰어나 개인정보를 대규모로 빼돌린 것이 아니라 쿠팡 측의 안전관리 체계 미비와 관리 소홀이 유출 사고의 원인이라는 것이다.
쿠팡이 운영하는 토큰 기반의 인증체계는 전자서명 검증만으로 인증을 허용하는 방식이다. 서명에 사용되는 키 관리에 실패할 경우 전체 회원계정에 대한 무단 접근 위험성이 높아져 엄격한 관리가 필수였으나 쿠팡은 그러지 못했다.
쿠팡은 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 키 관리 시스템을 운영하는 등 접근권한 관리를 소홀히 했다.
전직 직원이 퇴사한 뒤에도 서명키를 즉각 갱신·폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않은 것으로 조사됐다.
해커의 공격 기간 과도한 트래픽이 발생하는 등 비정상적 접속이 있었지만, 쿠팡은 해커의 협박 메일을 받기 전까지는 유출 사고에 깜깜이 였다는 게 개인정보위 설명이다.
쿠팡은 유출사고를 인지한 뒤로도 개인정보보호법에서 정한 72시간 내 신고의무도 지키지 않았다. 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보가 존재해 이들에 대해 유출통지를 하라는 수차례 촉구도 외면했다.
조사를 통해서는 쿠팡의 웹 접속 로그기록 등 자료 폐기도 확인됐다.
개인정보위는 쿠팡이 약 5개월 분량의 웹 접속 로그를 수동 삭제해 최초 유출 시점 등 사실관계 규명을 어렵게 하는 등 조사방해 행위가 있었다고 봤다.
개인정보보호위원회가 11일 3천750만명의 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6천246억원을 부과했다.단일 개인정보 유출 사고에 내린 과징금 규모로는 역대 최대치로, 한 기업의 여러 위반행위에 부과한 과징금 규모로도 가장 많다.사진은 이날 서울의 한 쿠팡 물류센터에서 대기하는 배송 트럭 모습. 2026.6.11, 연합뉴스
개보위 처분에 법적 대응하겠고 천명한 쿠팡
한편 쿠팡은 지난해 개인정보 유출과 관련해 11일 개인정보보호위원회로부터 6200억원대의 과징금을 부과받은 데 대해 법적 절차를 통해 사실 관계가 명확하게 규명되기를 기대한다”고 밝혔다.
쿠팡은 이날 공식 입장을 내고 작년 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점 유감스럽게 생각한다”며 이같이 주장했다.
다만 이번 개인정보 유출 사고로 인해 고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다”며 개인정보 보호 프레임워크를 더욱 강화하고 새로운 의지로 고객 신뢰 회복을 위해 노력하겠다”며 재차 사과의 뜻을 밝혔다.
쿠팡이 일전 불사를 선언한만큼 결국 개보위 처분의 효력은 법원에서 적정 여부를 다툴 것으로 보인다.이태경 편집위원, 토지+자유연구소 부소장 red1968@naver.com
Top
