‘개인정보 유출’ 쿠팡에 역대 최대 ‘6200억원’ 과징금 부과

개인정보 유출 쿠팡에 과징금 6200억
당초 최대 과징금의 약 5배 규모 ‘철퇴’
개인정보 유출 피해자 규모 3700만명
온라인 광고 통해 무단 수집·저장하기도
“개인정보 다루는 플랫폼, 책임도 크다”

3000만명이 넘는 사람들의 개인정보를 유출한 쿠팡에 역대 최대 규모 과징금이 부과됐다. 쿠팡은 과거 자사 직원에 해킹을 당해 개인정보를 유출한데 이어 다른 사이트 광고 배너를 클릭하거나 사용자 의도와 관계없이 자동으로 사이트로 연결되는 이른바 ‘납치광고’로 1000만명이 넘는 개인의 활동기록을 무단수집한 것으로 조사됐다.


개인정보보호위원회는 10일 전체회의를 열고 개인정보 보호 법규를 위반한 쿠팡 주식회사에 과징금 6246억 8100만원과 과태료 1680만원을 부과했다고 11일 밝혔다. 또 경찰청 출입기자 71명을 ‘허위사실유포’ 사유로 취업제한 목록에 등록한 쿠팡필먼트서비스 유한회사에도 2억 4800만원의 과징금이 부과됐다.

지난해 11월 쿠팡 개인정보 유출 사고가 터진지 7개월만에 내려진 과징금은 역대 최대 규모다. 당초 최대 과징금이 부과된 SK텔레콤 유심 정보 유출 사고 1348억원의 5배에 달한다. 다만 이번 과징금 규모는 ‘1조원을 넘을 수 있다’는 관측보다는 다소 낮다. 관측은 금융감독원 전자공시시스템 상 지난해 쿠팡의 매출액 45조 5000억원에 법정 최대율인 3%인 1조 3600억원 수준에 이를 것으로 분석됐다. 하지만 이는 위반행위와 직접적 관련이 없는 쿠팡이츠, 쿠팡플레이 등의 매출액이 포함됐다. 개인정보위는 이를 고려해 과징금 규모를 산정했다.

이번 조사에서는 그간 쿠팡의 개인정보 유출 과정이 세세히 드러났다.



조사 결과 과거 쿠팡에서 근무했던 해커는 쿠팡의 대체 인증을 직접 개발한 전직 기술자였다. 2024년 말 퇴사한 후 자신이 개발한 대체 인증의 서명키를 획득해 2025년 4월부터 11월까지 회원정보 수정 페이지, 배송관리 및 주문목록 페이지 등을 조회해 개인정보를 유출했다.

해커는 2025년 1월 25일 자신의 계정을 포함한 총 95개 계정에 대해 이전에 탈취한 인증 서명키와 회원번호를 이용해 대체 인증토큰을 만들었다. 이를 통해 회원정보 수정 페이지 101회, 배송지 관리 페이지 141회를 조회하는 등 범행을 계획했다. 4월 14일부터 6월 25일까지는 회원번호를 순차적으로 늘려 다수의 위조 인증토큰을 만들었고 배송지 관리 페이지에 약 1억 4800만회 접근하며 유효 회원번호를 파악, 이름과 전화번호, 주소 등 배송지 정보를 유출했다. 이어 6월 24일부터 10월 12일까지 회원 정보 수정 페이지에 3496만 6812회 접근해 이름과 이메일주소를 탈취했다. 9월 26일부터 11월 8일까지는 배송지 수정 페이지에 5만474회, 주문 목록 페이지에 8만5213회 접근해 공동현관 비밀번호와 주문정보를 추가로 유출했다.

해커는 유출한 정보를 조합해 11월 9~17일, 11월 25일 두 차례에 걸쳐 샘플 데이터를 포함한 협박 메일을 회원과 쿠팡 측에 발송했다.

이렇게 유출된 개인정보는 3322만 2472명의 ‘회원’ 개인정보와 최소 433만 8368명의 ‘회원이 아닌 정보주체’에 달하는 것으로 확인됐다.

조사에서 쿠팡이 온라인 광고를 통한 무단 개인정보 수집도 확인됐다. 쿠팡은 2018년 7월부터 타사 홈페이지와 앱, 블로그, 광고지면 등을 보유하거나 운영하는 개인 또는 법인에 쿠팡 상품을 광고하는 ‘쿠팡 파트너스’를 운영하고 있다.

이들은 타사 홈페이지에 띄운 광고를 클릭한 사용자들의 온라인 활동 정보를 아무런 동의도 없이 데이터베이스에 저장하고 사용자 맞춤형 광고를 게재했다. 또 이용자가 광고를 클릭하지 않아도 온라인 방문 기록을 가져가 저장·보관했다.

이들은 이같은 방식으로 2024년 12월 23일부터 2026년 2월 4일까지 156만 5338개 웹페이지 또는 앱을 방문한 쿠팡 이용자 1117만 613명의 활동기록을 무단으로 수집했다. 이들은 사용자가 원하지 않아도 저절로 웹페이지를 쿠팡 홈페이지로 바꾸는 이른바 ‘납치광고’를 통해 온라인 활동정보를 수집하기도 했는데 쿠팡은 이를 인지하고도 적절한 조치를 하지 않았다.

쿠팡의 물류센터 자회사인 쿠팡풀필먼트서비스는 2023년 9월부터 2024년 2월까지 물류센터에 근무한 이력이 없는 경찰청 출입기자 71명을 ‘허위사실유포’란 명목으로 자신들의 시스템 상 ‘취업제한목록’으로 등록하며 사실상 ‘블랙리스트’를 만들었다.

개인정보위는 과징금 부과와 함께 시정명령 및 회원이 아닌 정보주체에도 유출 사실을 통지하라고 명령했다. 또 탈퇴회원 개인정보 처리 체계를 개선하라고 권고했다. 개인정보위는 3개월 내 이행 및 조치 결과를 확인할 계획이다.

개인정보위 관계자는 “이번 조사·처분을 통해 개인정보위는 국내 소비자의 소중한 개인정보를 다루는 기업이라면 동일한 기준과 엄격한 법적 책임이 적용된다는 원칙을 명확히 했다”며 “대규모 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 상응하는 책임이 따른다”고 밝혔다.

김중래 기자