[투어코리아=조성란 기자] 국내 개인정보보호 제재 역사상 가장 큰 과징금이 쿠팡에 부과됐다. 개인정보보호가 3,750만명 개인정보 유출 사고를 낸 쿠팡에 6,249억원대 과징금을 처분했다.

이번 과징금은 앞서 SK텔레콤 유심 정보 유출 사고에 부과됐던 1,347억9,100만원의 4배를 훌쩍 넘는다.

단순히 유출 인원이 많았기 때문만은 아니다. 개인정보위는 쿠팡의 인증서명키 관리와 접근통제 소홀, 조사 과정의 로그 삭제·보전 미흡, 법적 근거 없는 온라인 활동기록 수집, 물류 자회사 쿠팡풀필먼트서비스(CFS)의 개인정보 처리 위반까지 종합적으로 고려했다.

개인정보위는 쿠팡이 연간 매출 30조원을 웃도는 대규모 개인정보처리자임에도 기본적인 안전조치와 내부 통제 체계를 충분히 갖추지 못했고, 그 결과 회원 3,322만명과 회원이 아닌 정보주체 최소 434만명의 개인정보가 유출됐다고 판단했다.

개인정보위는 10일 전체회의를 열고 쿠팡과 쿠팡풀필먼트서비스에 대한 처분안을 심의했다. 그 결과 쿠팡에는 개인정보 유출 사고와 관련해 과징금 4,235억7,500만원과 과태료 1,680만원이 부과됐다.

타사 웹·앱 이용자의 온라인 활동기록을 법적 근거 없이 수집한 행위에 대해서는 과징금 2,011억600만원이 의결됐다. CFS에는 개인정보 처리 위반과 관련해 과징금 2억4,800만원이 별도로 부과됐다.

과징금 규모가 역대 최대 수준으로 불어난 첫 번째 이유는 유출 규모다. 개인정보위에 따르면 쿠팡에서는 지난해 4월부터 11월까지 회원 3,322만명과 회원이 아닌 정보주체 최소 434만명의 개인정보가 유출됐다. 전체 유출 규모는 약 3,756만명으로, SK텔레콤 유심 정보 유출 사고 당시 2,324만명보다 1,400만명 이상 많다.

두 번째 이유는 쿠팡의 매출 규모다. 개인정보 유출 사고 과징금은 위반행위의 중대성과 함께 사업자의 매출 규모가 산정에 반영된다. 개인정보위는 쿠팡의 사고 직전 3개 사업연도 평균 매출액이 약 36조원에 달한 점을 고려했다. 현행 개인정보보호법상 개인정보 유출 사고에 부과할 수 있는 과징금 상한은 전체 매출액의 최대 3% 이내다. 이번 처분액은 상한선으로 거론된 1조3,637억원의 절반 수준이다.

개인정보위가 본 핵심 문제는 쿠팡의 개인정보 보호 관리 체계였다. 개인정보위는 쿠팡이 인증 시스템과 인증서명키 관리, 접근통제 등 기본적인 안전조치를 충분히 이행하지 않았다고 판단했다. 대규모 개인정보를 처리하는 플랫폼 사업자임에도 이상 행위를 제때 탐지하지 못했고, 그 결과 대규모 유출 사고로 이어졌다는 설명이다.

조사 과정에서 확인된 로그 삭제와 보전 미흡도 제재 수위에 영향을 미쳤다. 개인정보위에 따르면 쿠팡은 조사 착수 직후 사고 관련 접속기록 등 증거자료 보전 명령을 받았지만, 약 5개월치 웹 접속 로그를 수동 삭제했다. 또 6개월이 지나면 로그가 자동 삭제되는 내부 정책을 중단하지 않아 일부 애플리케이션 로그가 삭제되도록 방치한 것으로 조사됐다.

개인정보위는 이로 인해 최초 유출 시점과 피해 규모, 피해 범위를 확인하는 데 제약이 생겼다고 봤다. 삭제된 기간 공격자의 배송지 관리 페이지 접속 횟수는 약 1,900만회로, 전체 접속 횟수의 약 13%에 달했다. 해당 기간 실제 어떤 정보주체의 개인정보가 유출됐는지 특정하는 데도 한계가 발생했다는 설명이다.

유출 통지 의무 위반과 개인정보 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 보장 위반도 함께 지적됐다. 개인정보위 조사 결과 쿠팡은 해킹 사고와 관련한 자체 조사 결과를 공개하는 과정에서 CPO를 의사결정 과정에서 배제하고 관련 정보를 충분히 공유하지 않은 것으로 파악됐다.

이번 처분에서 또 다른 축은 온라인 활동기록 수집 문제다. 개인정보위는 쿠팡이 타사 웹사이트와 애플리케이션에 접속한 회원 약 1,117만명의 온라인 활동기록을 동의 없이 수집하고, 이용자를 식별할 수 있는 형태로 데이터베이스에 저장했다고 판단했다. 수집된 정보에는 타사 웹·앱 방문 기록인 URL과 앱 명칭, 접속 일시, 접속 IP 등이 포함됐다.

개인정보위는 여러 서비스와 웹·앱에 걸친 온라인 활동기록이 장기간 축적되면 개인의 관심사와 소비 성향을 분석할 수 있다고 지적했다. 경우에 따라 건강 상태나 정치적 성향, 종교 등 민감한 정보까지 추론될 수 있어 정보주체의 권리 침해 우려가 크다는 것이다. 개인정보위는 쿠팡에 개인정보 처리 투명성 제고, 맞춤형 광고에 대한 정보주체의 실질적 선택권 보장, 부정광고 방지를 위한 관리·감독 강화를 시정명령했다.

물류 자회사 CFS도 제재 대상에 올랐다. 개인정보위는 CFS가 물류센터에 근무한 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 점을 개인정보 수집·이용 기준 위반으로 판단했다. 또 임직원 건강관리를 목적으로 보유하던 근로자의 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 행위도 민감정보 처리 기준 위반으로 봤다.

개인정보위는 쿠팡에 유사 사고 재발 방지를 위한 안전조치 강화와 회원이 아닌 정보주체에 대한 유출 통지, CPO의 실질적 역할 보장 등을 명령했다. 탈퇴회원 개인정보 처리 체계 개선도 권고했으며, 3개월 안에 이행 및 조치 결과를 확인할 계획이다.

쿠팡은 개인정보위 처분과 관련해 사과와 유감을 동시에 밝혔다. 쿠팡은 11일 입장문을 통해 “이번 개인정보 유출 사고로 인해 고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다”며 “개인정보 보호 프레임워크를 더욱 강화하고 새로운 의지로 고객 신뢰 회복을 위해 노력하겠다”고 했다.

다만 쿠팡은 개인정보위 결정에 일부 이견도 드러냈다. 쿠팡은 “작년 데이터 유출 사태와 관련해 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다”고 밝혔다.

온라인 활동기록 수집 논란과 관련해서는 쿠팡 파트너스의 성격을 강조했다. 쿠팡은 “쿠팡 파트너스는 수천 명의 국내 크리에이터, 블로거, 소상공인들이 상품을 추천하고 수익을 창출하는 프로그램”이라며 “다른 글로벌 기업들과 동일한 제휴 모델을 사용해 고객 데이터를 보호하고 적법하게 운영하고 있다”고 설명했다.

이어 쿠팡은 “개인정보위원회로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다”고 밝혔다. 개인정보위 처분을 그대로 수용하기보다는 향후 법적 절차에서 사실관계와 제재 범위를 다투겠다는 뜻으로 풀이된다.