3750만명의 개인정보를 유출한 쿠팡이 정부로부터 과징금 총 6246억8100만원을 부과받았다. 지난해 2324만명의 정보를 유출한 SK텔레콤에 부과된 과징금 1348억원을 훌쩍 뛰어넘는 역대 최대치다.
개인정보보호위원회는 지난 10일 전체회의를 열고 쿠팡의 개인정보보호법 위반에 대한 안건 3건을 상정해 총 과징금 6249억2900만원, 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다.
특히 단일 개인정보 유출사고에 내린 과징금 규모로는 역대 최대치로, 한 기업의 여러 위반행위에 부과한 과징금 규모로도 가장 많다. 또 세계적으로도 유래가 없는데 이전까지 해킹으로 인한 개인정보 유출로는 2024년 아일랜드 데이터보호위원회(DPC)가 2018년 페이스북에서 2900만명의 계정이 해킹된 데 따른 행정 처분으로 메타에 부과한 과징금 2억6500만 유로(약 4669억원)가 최고액이었다.
개인정보위는 쿠팡의 인증 서명키 관리와 접근 통제 소홀 등 기본적인 안전관리 체계가 미흡해 3750여만명의 개인정보가 유출된 것으로 결론 내렸다. 조사 과정에서 쿠팡의 개인정보 유출 통지와 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가로 확인했다.
개인정보위는 쿠팡에 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 유출 통지, CPO의 실질적인 역할 보장 등의 시정명령을 내렸다. 또 탈퇴회원의 개인정보 처리체계와 관련해 개선을 권고하고, 3개월 내 이행∙조치 결과를 확인하기로 했다.
이와 함께 개인정보위는 쿠팡에서 타사의 웹·앱에 접속한 회원 약 1117만명의 온라인 활동기록을 무단 수집해 이용자를 식별한 상태로 데이터베이스(DB)에 저장한 위반행위도 확인해 과징금 2011억660만원을 별도 부과했다.
일부 광고 파트너가 이용자 의사와 무관하게 쿠팡 서비스 이용기록이 수집되도록 하는 ‘납치광고’를 운영했는데도 이를 적절히 관리·감독하지 않은 점도 함께 지적됐다. 개인정보위는 쿠팡에 개인정보 처리의 투명성 제고와 맞춤형 광고에 대한 정보주체의 실질적 선택권 보장, 부정광고 방지를 위한 관리·감독 강화 등을 시정명령했다.
아울러 개인정보위는 쿠팡의 물류센터를 운영하는 자회사인 쿠팡풀필먼트서비스(CFS)가 물류센터에 근무한 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 점도 개인정보 수집·이용 관련 규정을 위반했다고 봤다.
이화연 기자 hylee@segye.com
