개보위, 쿠팡 제재…정보유출에 4천236억·회원 활동 무단수집에 2천11억 과징금

송경희 "고도의 해킹 아닌 안전관리 미비로 유출"…쿠팡 조사방해 결론·고발키로

경찰청 출입기자단 '취업제한' 관리도 적발…임직원 동의없이 건강정보 법원 제출

(서울=연합뉴스) 이지은 기자 = 송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하고 있다. 개보위는 3천750만명의 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6천246억원을 부과했다. 2026.6.11 jieunlee@yna.co.kr

(서울=연합뉴스) 양정우 기자 = 개인정보보호위원회가 3천750만명의 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6천247억원을 부과했다.

개인정보 유출에만 약 4천236억원, 1천만명이 넘는 회원의 온라인 활동을 무단 수집한 위반 행위 등에는 2천11억원의 과징금 처분을 각각 내렸다.

단일 개인정보 유출사고에 내린 과징금 규모로는 역대 최대치로, 한 기업의 여러 위반행위에 부과한 과징금 규모로도 가장 많다.

개인정보위는 10일 정부서울청사에서 전체회의를 열어 쿠팡의 개인정보 안전조치 의무 위반행위 제재안을 심의하고, 과징금 4천235억7천500만원을 부과하기로 의결했다고 11일 밝혔다.

또 신고 지연 등을 이유로 과태료 1천680만원도 처분했다. 쿠팡 측이 유출사고 조사를 어렵게 한 부분이 있다고 보고, 수사기관 고발도 병행하기로 했다.

개인정보위는 쿠팡의 인증 서명키 관리와 접근 통제 소홀 등 기본적인 안전관리 체계가 미흡해 약 3천750여만명의 개인정보가 유출된 것으로 결론 내렸다.

이는 올해 2월 과학기술정보통신부의 민관합동조사단이 내놓은 개인정보 유출 규모( 3천367만명)보다 약 400만명 가까이 더 많은 것이다.

개인정보위는 쿠팡 전 직원인 공격자(해커)가 중복 조회하거나 회원 탈퇴 등으로 데이터베이스(DB) 내 개인정보가 없는 경우를 제외하는 대신, 회원 계정 약 3천322만명 및 회원이 아닌 정보주체 최소 433만명의 정보가 유출된 것으로 판단했다.

유출된 정보 항목과 규모를 보면 해커는 쿠팡의 회원정보 수정페이지에서 3천305만명의 이름과 이메일 등 개인정보를 빼돌렸다.

배송지 관리 페이지에서는 최소 2천237만여명의 회원이 등록한 배송지 정보 6천398만건이 유출됐다. 외부로 나간 회원 배송지 정보에는 이름과 전화번호, 주소, 공동현관 비밀번호가 포함됐다.

배송지 정보에는 회원 본인 외에도 가족과 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함됐다. 회원이 아닌 정보주체는 휴대전화번호 기준으로 최소 433만명으로 확인됐다.

주문 목록 페이지에서도 회원 5만8천여명의 주문내역 27만2천건이 유출됐다.

송경희 개인정보위원장은 이날 정부서울청사에서 연 브리핑에서 "이번 쿠팡의 유출사고는 고도의 해킹이 아닌 기본적인 안전관리 체계 미비와 관리 소홀로 인해 발생한 것으로 확인했다"고 강조했다.

안전조치 의무 위반 행위로는 정보주체 인증수단을 안전하게 관리하지 못했고, 불법적인 접근 및 침해사고를 위한 접근통제를 소홀히 한 점 등이 제시됐다.

조사 과정에서 쿠팡의 개인정보 유출 통지와 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가로 확인했다.

특히 CPO가 유출사고에 대한 쿠팡 자체조사 및 의사결정 과정에서 배제되고 관련 정보가 공유되지 않은 사실을 확인했다.

개인정보위는 이를 단순한 내부 소통부재가 아닌, 개인정보 보호체계 핵심인 CPO제도를 형해화(유명무실)하는 것으로, 보호법이 보장하는 CPO의 독립적인 직무수행 권한을 실질적으로 무력화한 것으로 규정했다.

개인정보위는 쿠팡에 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 유출 통지, CPO의 실질적인 역할 보장 등의 시정명령을 내렸다.

또 탈퇴회원의 개인정보 처리체계와 관련해 개선을 권고하고, 3개월 내 이행 및 조치 결과를 확인하기로 했다.

이와 함께 개인정보위는 쿠팡에서 타사의 웹·앱에 접속한 회원 약 1천117만명의 온라인 활동기록을 무단 수집해 이용자 개인을 식별한 상태로 DB에 저장한 위반행위도 확인해 과징금 2천11억660만원을 별도 부과했다.

개인정보 유출사고에 따른 과징금 약 4천236억원을 합산하면 개인정보위가 쿠팡에 부과한 과징금 총액은 모두 6천247억원에 달한다.

아울러 개인정보위는 쿠팡의 물류센터를 운영하는 자회사인 쿠팡풀필먼트서비스(CFS)가 물류센터에 근무한 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 점도 위반행위로 판단했다.

또 '임직원 건강관리'를 목적으로 보유·관리하는 근로자 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 것도 민감정보 처리 위반으로 보고 과징금 2억4천800만원을 개별 부과했다.

eddie@yna.co.kr