11일 개인정보보호위원회(개인정보위)는 전날인 10일 전체회의를 열고 개인정보 보호 법규를 위반한 쿠팡에 총 6246억8100만원의 과징금 및 1680만원의 과태료를 부과하고 시정명령과 공표 및 공표 명령 등을 의결했다고 밝혔다.
쿠팡의 자회사인 쿠팡풀필먼트서비스(CFS)의 개인정보 수집·이용 및 민감정보 처리 제한 위반에 대해서도 과징금 총 2억4800만원을 부과했다.
지난해 11월 쿠팡에서 3370만개에 달하는 쿠팡 회원의 성명과 주소, 연락처 등이 유출된 사실이 알려졌다. 사실상 모든 가입자의 개인정보가 유출됐다는 지적이 나왔다. 개인정보위는 같은 달 쿠팡의 신고를 접수, 조사에 착수했다. 이후 국회 청문회와 언론보도, 타 부처등으로부터 쿠팡 및 CFS의 개인정보 침해 소지가 제기 됨에 따라 추가 조사를 진행했다.
개인정보위에 따르면 이번 유출은 쿠팡 전직 직원인 해커가 대체 인증 서명키를 획득, 지난해 4월부터 11월까지 회원정보 수정 페이지, 배송지 관리 및 주문목록 페이지 등을 조회하며 발생했다. 해커는 유출한 정보를 조합해 회원별 프로필을 재구성, 두차례 협박 메일은 회원과 쿠팡 측에 발송했다.
해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근, 총 3322만2472명의 회원 개인정보와 최소 433만8368명의 회원이 아닌 정보주체의 개인정보를 유출했다. 이름과 메일, 주소, 공동현관 비밀번호 등이다.
개인정보위는 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 이같은 유출이 발생했다고 봤다. 인증 서명키 관리 및 접근 통제를 소홀히 했다는 것이다. 해커가 퇴사한 후 서명키를 즉각 갱신 또는 폐기했어야 하지만 이를 이행하지 않았다. 해커의 공격기간 중 비정상적인 접속이 있었음에도 이를 인지하지 못했다.
유출통지 의무 위반과 개인정보 파기 의무 위반도 언급됐다. 지난 1월30일 배송지 관리 페이지를 통해 회원 약 16만명의 개인정보가 추가 유출된 사실은 인지했음에도 지난 2월5일에서야 유출 사실을 통지했다. 법령이 정한 인지 후 72시간 내 신고를 넘겼다. 또한 쿠팡 회원이 아닌 정보주체에 대해서는 유출 통지를 수차례 촉구했음에도 이를 이행하지 않았다. 탈퇴 회원의 주소와 계좌번호도 파기하지 않았다.
개인정보보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가 확인됐다. 해커에 대한 조사 과정에서 CPO를 의사 결정 과정에서 배제, 관련 정보를 공유하지 않았다는 것이다. 개인정보위에서 각종 증거자료의 보전을 명령하였음에도 쿠팡은 지난 2024년 7월부터 11월까지의 웹 접속 로그를 수동 삭제했다. 개인정보위는 6개월 경과 시 삭제되는 자사의 로그 자동 삭제 정책도 중단하지 않아 조사를 방해했다고 지적했다.
개인정보위는 이같은 안전조치 의무를 소홀히 해 대규모 개인정보 유출을 초래한 행위에 대해 과징금 4235억7500만원을 부과하고 개인정보 유출통지 및 파기 의무를 위반한 행위에 대해 과태료 1680만원을 부과하기로 결정했다.
△유사 사고 재발 방지를 위한 안전조치 강화 △회원이 아닌 정보주체 대상 유출 통지 실시 △파기 정책 및 내부 거버넌스 체계 정비 등에 대해서도 시정 명령을 내렸다. 이와 동시에 탈퇴회원 개인정보 처리 체계와 관련해 개선을 권고했다.
개인정보위는 “타사의 웹·앱에 맞춤형 광고를 게재하거나 온라인 활동기록을 수집·저장하기 위해서는 이용자에게 명확히 알리고 동의를 받는 등 개인정보 처리에 관한 결정권을 충분히 행사할 수 있어야 한다”며 “쿠팡은 이용자로부터 동의를 받지 않았고 개인정보 처리 방침 및 맞춤형 광고 관련 안내 페이지 등에도 이를 명확히 알리지 않았다”고 설명했다.
이에 법적 근거 없이 무단으로 타사 온라인 활동기록을 수집, 보호법 제15조제1항을 위반해 과징금 2011억600만원을 부과하기로 결정했다. 타사 웹·앱에서도 개인을 식별한 정보가 처리되어 맞춤형 광고가 게재될 수 있다는 사실을 이용자에게 명확히 고지하고, 마케팅 관련 개인정보 수집·이용 동의도 쉽게 철회할 수 있도록 하는 등의 시정조치를 내렸다. 이와 함께 처분 받은 사실을 쿠팡이 운영 중인 홈페이지에 공표할 것을 명했다.
‘납치광고’를 게재하는 광고 파트너를 적절히 관리·감독하지 않아 쿠팡 서비스 이용기록이 수집되도록 한 사실도 함께 확인됐다. 납치광고는 웹서핑 중 본인의 의사와 상관없이 강제적으로 쇼핑몰 등의 광고 페이지로 이동되는 것을 뜻한다.
개인정보위는 이와 관련해 광고 파트너에 대한 엄격한 제재 등 관리·감독을 강화할 것을 시정명령했다.
CFS도 정보주체의 권리를 침해한 것으로 드러났다. 물류센터에 근무한 이력이 없는 경찰청 71명의 출입기자단 명단을 수집해 취업제한 목록에 등록·관리한 것은 개인정보 수집 및 이용 위반으로 판단됐다. 이에 대해 과징금 2억2000만원을 부과했다.
또한 ‘임직원 건강 관리’를 목적으로 보유·관리 중인 근로자의 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 것도 민감정보 처리 위반으로 판단, 과징금 2800만원이 부과됐다.
개인정보위는 “국내 소비자의 소중한 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용돼야 한다는 원칙을 다시 한번 명확히 했다”며 “대규모 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 그에 상응하는 책임이 따른다는 점을 분명히 했다”고 강조했다.
송경희 개인정보위 위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바라며, 개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다”라고 밝혔다.
이소연 기자 soyeon@kukinews.com
![“13시간 회의 끝 결론 냈다”…역대급 6000억대 과징금 처분 받은 쿠팡 [현장+]](/data/kuk/image/2026/06/11/kuk20260611000145.253x158.0.jpg)
