'대규모 개인정보 유출' 쿠팡, 과징금 6247억 철퇴⋯"법과 원칙 따라 처분" [일문일답]

[아이뉴스24 안세준·박은경 기자] 개인정보보호위원회(위원장 송경희)가 쿠팡의 대규모 개인정보 유출·개인정보 침해 행위에 대해 총 6246억8100만원의 과징금을 부과했다. 개인정보위가 부과한 과징금 가운데 역대 최대 규모다. 개인정보위는 국내외 기업 여부와 무관하게 개인정보보호법 위반 사실과 조사 결과에 근거해 처분을 의결했다고 밝혔다.

개인정보위는 11일 정부서울청사에서 브리핑을 열고 쿠팡과 쿠팡풀필먼트서비스(CFS)에 대한 제재 처분을 이같이 의결했다고 발표했다. 개인정보위는 이 안건과 관련해 전날 오전 10시부터 13시간 넘게 회의를 진행했다. 한 안건을 두고 열린 전체회의로는 역대 최장 시간이다.

구체적으로 개인정보위는 쿠팡에 과징금 6246억8100만원과 과태료 1680만원, 시정명령과 공표명령 등을 부과하기로 했다. CFS에 대해서도 개인정보 수집·이용 및 민감정보 처리 제한 위반으로 과징금 2억4800만원을 부과했다.

쿠팡 개인정보 유출 사고는 전직 직원이 대체 인증 서명키를 이용해 위조 인증토큰을 생성하면서 발생했다. 해커는 2025년 4월부터 11월까지 회원정보 수정 페이지, 배송지 관리 페이지, 주문목록 페이지 등에 접근했다. 이 과정에서 회원 3322만여명 개인정보와 회원이 아닌 정보주체 최소 433만명의 개인정보가 유출된 것으로 확인됐다.

개인정보위는 이번 사고를 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀에 따른 사고로 판단했다. 쿠팡이 인증 서명키를 안전하게 관리하지 않았고, 해커 퇴사 이후에도 키를 즉각 갱신하거나 폐기하지 않았다는 것이다. 개인정보가 포함된 페이지에 대한 이상 트래픽을 제때 탐지하지 못했고, 조사 착수 이후 일부 로그가 삭제돼 피해 범위 확인도 어려워졌다고 봤다.

쿠팡의 제휴 마케팅 프로그램인 '쿠팡 파트너스' 운영 과정에서 타사 온라인 활동기록을 무단 수집한 점도 별도 제재 대상이 됐다. 개인정보위는 쿠팡이 이용자 1117만명의 타사 웹·앱 방문기록을 회원 식별정보와 결합해 광고DB에 저장했다고 판단했다. CFS는 경찰청 출입기자 71명을 취업제한 목록에 등록하고, 임직원 체중 변화 정보를 소송 과정에서 법원에 제출한 점이 위법하다고 봤다.

다음은 송경희 개인정보위 위원장, 양청삼 개인정보위 사무처장 등과의 일문일답이다.

-과징금 산정 기준이 된 쿠팡의 매출액은 얼마인가.

(송경희 위원장) 처분 대상은 한국의 쿠팡 주식회사다. 쿠팡 주식회사 매출액은 다트(DART) 공시 자료와 사업자가 제출한 자료를 기준으로 확인했다. 개인정보 유출 사고는 법상 사고 발생 직전 3개년도 평균 매출액을 적용해 약 30조원, 타사 온라인 활동기록 무단 수집 등 침해 사고는 발생 시점을 기준으로 직전 3개년도 평균 매출액을 적용해 약 36조원으로 산정했다.

다만 전체 매출액을 그대로 적용한 것은 아니다. 쿠팡플레이, 쿠팡이츠, B2B 사업 등 위반 행위와 직접적·간접적 관련이 없는 독립적인 매출은 제외했다. 유출 사고와 침해 사고 모두 개인정보 처리 행위와 관련된 매출만을 기준으로 과징금을 산정했다.

-전체 매출액의 몇 %를 과징금으로 부과한 것인가.

(송 위원장) 어느 정도 기준을 썼느냐에 대해서는 내부 절차에 따라 이후 정리돼 공개될 예정이다. 그때 참고해 달라.

-쿠팡이 타사 온라인 활동기록을 어떻게 수집했다는 것인가.

(송 위원장) 이용자가 쿠팡 광고 도구가 게재된 사이트에 방문하면 방문 일시, URL 등에 관한 정보가 쿠팡으로 전송됐다. 그 방문 기록이 개인을 식별할 수 있는 형태, 즉 회원 일련번호와 결합된 상태로 쿠팡 DB에 저장됐다. 일부는 직전에 방문했던 사이트 기록도 함께 포함됐다.

-회원이 아닌 정보주체 유출 규모를 '최소 433만명'이라고 한 이유는 무엇인가.

(송 위원장) 433만명은 저희가 확인할 수 있었던 규모다. 앱 로그 기록 몇 개월분이 삭제돼 사실상 전체 확인은 어려웠다. 접속 횟수와 공격자 이메일 등을 종합적으로 고려하면 더 있을 개연성도 상당히 높다고 보이지만, 기록상 증거로 확인할 수 있었던 규모가 433만명이다.

-유출 규모보다 안전조치 의무 위반을 더 중요하게 본 것인가.

(송 위원장) 그렇다. 결국 안전조치 의무를 다 지키지 않아 이런 사고가 일어난 것이다. 가장 중요하게 보는 것은 안전조치 의무 위반이다. 다만 국민에게 미치는 영향과 전체 유출 규모도 당연히 중요하게 고려했다.

-쿠팡이 이번 제재를 미국과의 외교 통상 문제로 연결하려는 움직임이 있었다. 전체회의에서도 논의됐나.

(송 위원장) 저희는 쿠팡 주식회사가 위반한 개인정보보호법 위반 사실과 증거, 조사 결과에 집중해 결론을 내렸다. 국내 회사냐 해외 회사냐, 또 이를 둘러싼 다른 영향은 고려하지 않았다.

-이번 사안과 관련해 고발도 진행하나.

(송 위원장) 고발은 진행된다. 실제로 조사를 어렵게 한 행위들이 있었다. 이런 행위가 있어 법상 요건이 충족되면 당연히 고발하도록 돼 있기 때문에 그렇게 진행될 것이다.

-조사 방해 행위? 구체적으로 무엇인가.

(송 위원장) 쿠팡의 접속 로그 기록 삭제가 있었다. 조사를 개시하고 자료보전명령을 내렸는데도 이후 삭제가 된 적이 있었다. 또 자동 삭제 시스템도 중단하지 않아 자동 삭제되는 일이 있었다. 이 때문에 조사를 어렵게 한 행위가 있었다.

-전날 관련 안건 논의 회의가 13시간 넘게 길어진 이유는 무엇인가.

(송 위원장) 위원들 간 논의는 이미 사전 회의를 통해 여러 번 있었다. 어제는 실제로 피심인 측의 의견을 충분히 듣기 위한 목적이 컸다. 유출의 경우 약 5시간, 침해의 경우 약 3시간 가까이 피심인들의 의견 진술과 질의응답 과정이 있었다.

-향후 징벌적 과징금 제도가 시행되면 과징금 수위가 더 높아질 수 있나.

(송 위원장) 징벌적 과징금은 9월 11일부터 발효된다. 중대하고 반복적인 사고, 1000만명 이상의 이용자 정보 유출, 시정명령을 이행하지 않아 사고가 발생한 경우 등 법적 요건이 있다. 이 요건에 해당하면 중대한 과실이나 고의 여부를 판단하게 된다. 최고 10% 이내에서 결정하게 되겠지만, 요건에 해당한다면 과징금 액수나 심각성은 더 커질 것이라고 생각한다.

-쿠팡 측 소명 중 받아들여진 부분이 있나.

(송 위원장) 쿠팡 측 의견은 사실 여부를 면밀하게 확인했고, 조사 결과와도 여러 번 대비했다. 사실과 부합하는 것은 감안된 게 있다. 다만 어제 새롭게 반영됐다기보다는 그전에 의견서를 받았고 상당 기간 면밀한 검토를 거쳤다. 어제는 현장에서 확인하고 질의응답하는 과정이었다.

-쿠팡이 소송에 나설 가능성이 있다. 어떻게 대응할 계획인가.

(송 위원장) 소송이 제기된다면 적극 대응하겠다. 이번 처분은 법과 원칙에 근거해 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 처분이라고 생각한다.

-KT 개인정보 유출 관련 처분은 언제쯤 나오나.

(송 위원장) 이미 사전통지가 돼 있고, 의견 제출을 받아 현재 검토 중이다. 그렇게 멀지 않은 시기에 처분을 내리려고 한다.

-과징금이 역대 최대 규모다. 어떤 부분을 가장 엄중하게 봤나.

(양청삼 사무처장) 안전조치 의무 위반은 크게 두 가지로 봤다. 하나는 인증체계와 관련된 부분이다. 이번에 문제가 된 것은 비상시에 작동되는 대체 인증 시스템이다. 이 대체 인증 시스템에서 마스터키가 잘못 관리되면 전체 회원 개인정보에 접근할 수 있는 가능성이 생기기 때문에 키 관리와 접근권한 통제가 굉장히 중요하다. 쿠팡은 인증토큰 기반 권한관리 시스템을 쓰면서도 필수적인 키 관리에 실패했다고 봤다.

또 쿠팡은 국민 경제활동인구가 거의 모두 이용하는 국민적 온라인 플랫폼이다. 개인정보처리시스템에 대한 침입 탐지와 대응·분석 체계가 어느 사업자보다도 높게 요구된다. 그런데 일반 상품 페이지와 개인정보 페이지의 비정상 트래픽 임계치를 동등하게 설정하는 등 배송지 관리 페이지, 회원정보 수정 페이지, 주문목록 페이지에 대한 침입 탐지에 실패했다고 판단했다. 이런 부분을 중대한 위반행위로 봤다.

-쿠팡은 사실관계가 충분히 반영되지 않았다고 주장하는데.

(양 사무처장) 쿠팡은 유출 사고와 침해 사고 모두 상당히 긴 시간 의견 진술과 질의응답 기회를 가졌다. 그 이전에도 수백 페이지에 달하는 의견서를 제출했다. 개인정보위는 관련 내용을 면밀하게 검토했고 위원들의 심의·의결 과정에서도 충분히 참작됐다고 본다.

-쿠팡의 5만원 쿠폰팩 등 보상 프로그램은 감경 사유로 반영됐나.

(양 사무처장) 심의 과정에서 쿠팡이 시행한 프로그램이 어느 정도 이용자들에게 이용됐는지 확인하는 것이 중요했다. 위원이 질의한 바 있지만 쿠팡이 구체적으로 답변하지 않아 정확히 얼마가 집행됐는지 확인되지 않았다. 다만 종합적인 가중·감경 판단에서 일부 고려됐다.

-쿠팡은 2차 피해가 발생하지 않았다고 주장한다.

조사 과정에서 쿠팡에서 유출된 정보가 2차 피해에 활용됐다는 사실이 확인되지 않았을 뿐이다. 정보가 완전히 회수됐거나 위험이 해소됐다고 판단할 수는 없다. 해커 협박 메일을 보면 발표된 유출 규모보다 훨씬 큰 규모의 정보가 유출된 정황도 있다. 추후 사이버 범죄에 활용될 가능성이 여전히 남아 있어 경각심이 필요하다.

-SKT, 구글·메타 등 과거 처분과 비교해 쿠팡 과징금이 큰 이유는 무엇인가.

(양 사무처장) 개별 사건마다 성격, 위반행위의 내용, 적용 법조가 달라 일일이 비교하기는 쉽지 않다. 쿠팡은 유출 규모가 3700만명 수준이고, 회원 규모가 우리나라 경제활동인구 전체를 커버한다. 배송지 주소만 해도 공격자 주장에 따르면 1억2000만개의 주소가 관리되고 있었다. 국민 일상생활과 밀접한 온라인 플랫폼이라는 점을 고려해 엄중하게 처분했다. 보호법이 정한 법과 원칙의 테두리에서 국내외 사업자 차별 없이 처분했다.

-과징금을 피해자 지원에 활용하는 방안은 있나.

(양 사무처장) 정부 차원에서 신고와 포상을 장려하는 기금을 기획하고 있다. 개인정보위도 참여해 정보주체 피해 지원을 위한 사업에 활용하는 방안을 검토 중이다. 정보주체 권리 보호를 위한 정책 기능도 획기적으로 강화해야 한다고 보고 관련 사업과 업무 추진체계를 정비해 나가려 한다.