개인정보보호위원회가 쿠팡의 개인정보 유출 사고와 무단 개인정보 수집에 대해 6200억원 이상의 과징금을 부과했다. 이는 개인정보위가 국내 기업에 부과한 과징금 가운데 역대 최대 규모로, 종전 최고액인 SK텔레콤 1348억원의 약 4.6배에 달한다.
개인정보위는 지난 10일 제11회 전체 회의에서 쿠팡의 개인정보 유출 및 침해 사안과 관련해 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다. 이와 함께 시정명령, 공표명령, 고발, 개선권고 조치도 결정했다.
이번 사건은 쿠팡이 지난해 11월 개인정보 유출 사실을 인지해 관계 당국에 신고하면서 알려졌다. 개인정보위에 따르면 해커는 로그인 과정에 필요한 대체 인증 체계를 직접 개발했던 쿠팡 전 직원으로, 지난해 4월부터 11월까지 회원 3322만2472명과 비회원 최소 433만8368명의 개인정보를 유출한 것으로 조사됐다.
개인정보위는 쿠팡이 기본적인 안전 관리 체계를 미흡하게 관리한 탓에 유출 사고가 발생했다고 판단했다. 조사 결과, 쿠팡은 인증 서명 키를 갱신하거나 폐기하지 않는 등 관리 의무를 소홀히 했고, 해커의 비정상 접근 등을 인지하지 못했다. 또한 탈퇴 회원의 주소와 계좌번호 등을 파기하지 않은 채 보관했으며, 유출 사실 역시 법정 기한인 72시간 내 통지하지 않은 것으로 나타났다.
아울러 개인정보위는 조사 과정에서 쿠팡이 증거 자료 보전 명령 이후 웹 접속 로그 일부를 수동으로 삭제하고, 개인정보보호책임자(CPO)의 조사 대응을 방해한 사실도 확인했다고 밝혔다.
개인정보위는 개인정보 유출을 초래한 행위에 대해 과징금 4235억7500만원을 부과하고, 개인정보 유출 통지 및 파기 의무를 위반한 행위에 대해 과태료 1680만원을 부과하기로 결정했다.
개인정보위는 또 쿠팡의 웹이나 앱에 접속한 회원 약 1117만명의 타사 온라인 활동 기록을 무단 수집해 이용자 개인을 식별할 수 있는 상태로 데이터베이스(DB)에 저장한 사실도 확인했다. 수집된 정보에는 이용자의 URL이나 앱 이름 등 방문 기록과 접속 일시, 접속 IP 등이 포함됐다.
또 부정 광고(납치 광고)를 게재하는 광고 파트너를 적절히 관리·감독하지 않아 이용자 의사에 반하여 쿠팡 서비스 이용 기록이 수집되도록 한 사실도 함께 추가로 확인됐다. 개인정보위는 이 같은 위반 행위에 대해서도 과징금 2011억600만원을 부과했다.
개인정보위는 재발 방지를 위해 안전 조치를 강화하고, 회원이 아닌 정보 주체 대상에 유출 사실을 통지하며, CPO의 실질적 역할을 보장할 것을 시정 명령했다. 이와 함께 탈퇴 회원 개인정보 처리 체계와 관련하여 개선 권고해 3개월 내 이행 및 조치 결과를 확인할 예정이라고 밝혔다.
이번 제재는 개인정보위가 국내 기업에 부과한 과징금 가운데 역대 최대 규모다. 업계에서는 3367만건에 달하는 유출 규모와 사고 대응 논란 등을 고려할 때 중징계가 불가피할 것으로 예상했다.
현행법상 개인정보 유출 사고에는 매출액의 최대 3% 범위에서 과징금을 부과할 수 있는데, 쿠팡의 지난해 매출(45조5000억원)을 기준으로 한 법정 상한은 1조3650억원 수준이다. 다만 실제 부과액은 위반 정도와 피해 규모, 사고 이후 조치 등을 종합적으로 고려해 결정된다.
한편 개인정보위는 전날 회의에서 쿠팡풀필먼트서비스(CFS)의 개인정보 수집·이용 및 민감정보 처리 제한 위반을 확인하고 과징금 2억4800만원을 부과했다. CFS는 앞서 물류센터에 근무한 이력이 없는 경찰청 출입 기자 71명의 명단을 수집해 취업제한 목록에 등록, 관리했는데, 개인정보위는 이를 개인정보 수집, 이용에 위반한다고 판단했다.
또 CFS가 '임직원 건강 관리'를 목적으로 보유·관리 중인 근로자의 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출한 것 역시 민감 정보 처리 위반이라고 판단했다.