2026.06.11 (목) 18:58
개인정보보호위원회는 지난 10일 전체회의를 열고 쿠팡에 6246억8100만원의 과징금을 부과하기로 의결했다고 11일 밝혔다.
또 과태료 1680만원 부과 및 시정명령과 공표, 공표명령, 고발 및 개선권고 등도 의결했다.
이는 개인정보 유출 등으로 지난해 8월 SK텔레콤에 부과된 과징금 1347억9100만원보다 4898억9000만원 더 많은 수준이며 단일 기업에 부과한 과징금 중에서는 역대 최고액이다.
개인정보보호법에 따르면 과징금은 중대한 개인정보 유출이 발생한 기업 매출의 3%까지 부과 가능하다.
쿠팡의 지난해 매출(약 45조5000억원)을 고려하면 이번 과징금은 약 1.37% 수준이다.
앞서 개인정보위는 지난해 11월 20일 쿠팡의 신고를 접수하고 하루 뒤부터 개인정보 유출 조사에 착수했다.
지난해 11월 30일에는 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성해 관련 사실관계, 개인정보 보호 법규 위반 여부 등을 중점 확인했다.
조사 결과 개인정보위는 인증 서명키 관리 및 접근통제 소홀 등 기본적 안전관리 체계 미흡으로 3750여만명의 개인정보가 유출됐다고 판단했다.
쿠팡에 근무 당시 대체 인증을 개발했던 해커는 쿠팡의 서비스 페이지에 접근해 총 3322만2472명 회원의 이름, 이메일 등 개인정보와 비회원 433만8368명의 개인정보를 빼냈다.
특히 해킹 당한 배송지 정보에는 회원 본인 외에도 가족·친구 등 제3자의 이름과 전화번호, 주소 등이 포함됐고 공동현관 비밀번호도 유출됐다.
유출통지·파기 의무 및 CPO(개인정보보호책임자)의 독립성 보장 위반과 조사 방해 등도 추가 확인했다.
또 개인정보위는 정보주체 권리 침해와 관련해 쿠팡에서 타사 웹과 애플리케이션에 접속한 회원 약 1117만명의 온라인 활동기록을 무단 수집해 이용자 개인을 식별한 상태로 DB에 저장한 사실을 확인했다.
부정광고 이른바 납치광고를 게재하는 광고 파트너를 적절히 관리·감독하지 않아 이용자 의사에 반해 쿠팡 서비스 이용기록이 수집되도록 한 것이다.
이에 개인정보 처리의 투명성 제고와 맞춤형 광고에 대한 정보주체의 실질적 선택권 보장, 부정광고 방지를 위한 관리·감독 강화 등을 시정 명령했다.쿠팡 계열사인 쿠팡풀필먼트서비스(CFS)에는 과징금 2억4800만원이 부과됐다.
정보주체 권리 침해 관련해 물류센터에 근무한 이력이 없는 경찰청 출입기자단 명단(71명)을 수집해 취업제한 목록에 등록·관리한 것은 개인정보 수집·이용 위반이라고 판단했다.
또 ‘임직원 건강 관리’를 목적으로 보유·관리 중인 근로자의 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출한 것은 민감정보 처리 위반으로 봤다.
한편, 개인정보위의 처분 의결서 송달 절차는 통상 1~3개월가량 소요되며, 쿠팡은 의결서를 수령한 날로부터 90일 이내에 수용 여부 등 공식 입장을 밝히거나 행정소송을 제기해야 한다.
윤용성 기자 yo1404@gwangnam.co.kr
윤용성 기자의 다른 기사 보기
