개인정보보호위원회(이하 개보위)가 쿠팡에 역대 최대 규모인 약 6247억원의 과징금을 부과하면서 유통업계가 긴장하고 있다. 최근 CU 택배 서비스와 CJ ENM(035760) 티빙 등에서도 개인정보 유출 사고가 잇따른 가운데 개보위는 정보 유출 규모뿐 아니라 수집·관리 체계 전반에 대한 책임도 함께 물었다. 특히 이번 사고를 고도의 해킹 공격이 아닌 기본적인 안전 관리 체계 미흡에 따른 문제로 판단했다.

11일 업계에 따르면, 개보위는 전날 전체 회의를 열고 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다. 이는 개보위가 부과한 역대 최대 과징금이다. 기존 최대 과징금은 지난해 SK텔레콤(017670) 유심 정보 유출 사고에 부과한 1348억원이다.

서울 송파구 쿠팡 본사. /뉴스1

유통업계는 이번 제재가 개인정보 유출 사고를 넘어 기업의 정보 보호 체계 전반에 대한 책임을 물은 사례라는 점에 주목하고 있다. 개보위가 개인정보 유출뿐 아니라 법적 근거 없는 개인정보 수집 등을 함께 문제 삼으면서 대규모 회원 정보를 보유한 유통 기업들의 경각심이 커지는 분위기다.

최근 유통업계에서는 개인정보 유출 사고가 연이어 발생했다. 지난 8일 BGF리테일(282330) 편의점 CU의 택배 서비스를 운영하는 BGF네트웍스는 개인정보 유출 사실을 공지했다. 신원 미상의 외부 공격에 따른 것으로, 유출된 정보는 아이디, 비밀번호, 이름, 성별, 주소 등이다.

앞서 CJ ENM의 자회사 온라인 동영상 서비스(OTT) '티빙'은 개인정보를 저장하는 데이터베이스(DB)에 비인가 접근이 발생해 아이디, 이름, 생년월일 등 개인정보가 유출됐다고 3일 밝혔다.

개보위는 쿠팡의 개인정보 유출 사고가 고도의 해킹이 아닌 회사의 기본적인 안전 관리 체계 미비 및 관리 소홀로 발생했다고 판단했다. 유출 규모는 약 3750만명으로, 올해 2월 과학기술정보통신부의 민관합동조사단이 내놓은 3367만명보다 약 400만명 늘었다.

송경희 개인정보보호위원회 위원장이 11일 서울 종로구 세종대로 정부서울청사에서 쿠팡 및 계열사의 개인정보 유출 및 침해 제재처분 의결 발표를 하고 있다. /뉴스1

개보위는 "쿠팡이 인증 서명키 접근 권한 관리를 소홀히 했고, 공격 기간 중 개인정보가 포함된 페이지의 접속량이 평시 대비 급격히 증가하는 등 비정상적 접속이 있었음에도 쿠팡은 이를 인지하지 못했다"고 했다.

유출통지·개인정보 파기 의무 및 개인정보보호책임자(CPO)의 독립성 보장 위반, 조사 방해 행위 등도 문제 삼았다. 회원들의 개인정보 유출 사실을 인지하고 제때 통지하지 않거나 비회원에게는 아예 통지를 하지 않았다는 것이다. 탈퇴 후 90일이 지나면 회원 정보를 파기해야 한다는 내부 규정도 지키지 않았다는 지적이다.

쿠팡은 지난해 12월 해커에 대한 자체 조사를 진행하고, 그 결과를 홈페이지를 통해 공개하는 과정에서 CPO를 의사결정 과정에서 배제했고 관련 정보를 공유하지 않았다. 개보위는 "단순한 내부 소통 부재가 아니라, 개인정보 보호 체계 핵심인 CPO 제도를 형해화하는 것으로 보호법이 보장하는 CPO의 독립적인 직무 수행 권한을 실질적으로 무력화한 것"이라고 했다.

개인정보 유출 사고 외에도 쿠팡이 타사 웹사이트와 애플리케이션(앱)에 접속한 회원 약 1117만명의 온라인 활동 기록을 무단 수집한 사실도 확인했다. 이용자의 방문 기록, 접속 일시, 접속 IP 등을 개인 식별한 상태로 데이터베이스(DB)에 저장했고, 부정 광고(납치 광고)에 대한 관리·감독도 미흡했던 것으로 조사됐다.

기업들의 보안 투자와 내부 통제 강화에도 개인정보 유출 사고가 반복되면서, 개보위의 제재 기조는 강화하는 추세다. 고의 또는 중대한 과실로 대규모 개인정보 유출이 발생할 경우 매출의 최대 10%까지 과징금을 부과할 수 있도록 하는 개인정보보호법 개정안이 오는 9월 시행될 예정이다. 다만 시행 전 발생한 사건에 대해서는 소급 적용되지 않는다.

이날 개보위는 쿠팡과 별도로 계열사인 쿠팡풀필먼트서비스(CFS)도 제재했다. 물류센터 근무 이력이 없는 경찰청 출입기자단 명단을 취업 제한 목록으로 관리한 행위와 임직원 체중 정보를 산업재해 소송에 활용한 행위 등을 문제 삼아 과징금 2억4800만원을 부과했다.

◇ 쿠팡 "법적 절차 통해 사실관계 명확하게 규명할 것"

쿠팡은 개보위 제재 발표 이후 입장문을 통해 유감을 표했다. 쿠팡 측은 "이번 사고로 고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다"면서도 "작년 데이터 유출 사태와 관련, 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개보위 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다"고 했다.

향후 법적 대응도 시사했다. 쿠팡 측은 "개인정보 보호 프레임워크를 더욱 강화하고 새로운 의지로 고객 신뢰 회복을 위해 노력하겠다"며 "개보위로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다"고 덧붙였다.

하지만 과징금은 처분이 확정된 분기 실적에 비용으로 잡히는 만큼 2분기 실적에는 부담으로 작용할 전망이다. 쿠팡은 올해 1분기에도 개인정보 유출 사고 여파, 보상 비용 등의 영향으로 3545억원의 영업손실을 기록했다. 과징금 규모가 지난해 연간 영업이익(약 6790억원)에 육박하는 만큼, 중장기 수익성과 투자 계획이 차질을 빚을 수 있다는 우려도 나온다.