쿠팡, 안전관리 미흡으로 3755만명 개인정보 유출해킹사실 지연 통지에 비회원 정보 유출 사실 감춰웹 접속 로그 삭제 등 명백한 조사 방해 사실 확인
  • ▲ ⓒ뉴데일리DB
    ▲ ⓒ뉴데일리DB
    이커머스 플랫폼 쿠팡이 개인정보 유출과 관련 역대 최대 규모의 과징금 폭탄을 맞았다. 기본적인 안전관리 체계 미흡으로 3755만명의 개인정보가 유출됐고 이용자 동의 없이 비회원 정보의 무단 수집, 조사 방해 사실 등이 무더기로 적발됐기 때문이다.

    개인정보보호위원회는 지난 10일 제11회 전체회의를 열고, 개인정보 보호 법규를 위반한 쿠팡에 과징금 6246억8100만원과 과태료 1680만 원을 부과하고 시정명령 및 공표명령을 의결했다고 11일 밝혔다. 

    아울러 물류 자회사인 쿠팡풀필먼트서비스(이하 CFS)에 대해서도 2억4800만 원의 과징금 처분을 내렸다.

    이번 사태의 핵심인 개인정보 유출 사고는 고도의 해킹이 아닌 쿠팡의 총체적인 안전관리 부실이 부른 ‘인재(人災)’로 드러났다. 

    유출을 주도한 해커는 2024년 말 퇴사한 쿠팡의 전직 직원이었다. 그는 재직 시절 직접 개발했던 ‘대체 인증 서명키’를 평문으로 보관할 수 있는 허점을 악용해 키를 탈취했다. 쿠팡은 보안의 핵심인 서명키를 퇴사자가 발생했음에도 즉각 갱신하거나 폐기하지 않고 방치했다.

    해커는 2025년 4월부터 11월까지 약 6개월간 회원정보 수정, 배송지 관리 페이지 등에 무차별 접근해 총 3322만2472명의 회원 정보와 회원이 아닌 제3자(가족, 친구 등) 433만8368명의 개인정보를 유출했다. 

    이 과정에서 1억4800만회에 달하는 비정상적인 접근(이상 트래픽)이 발생하고 존재하지 않는 가짜 인증토큰이 4400만개나 사용됐지만, 쿠팡은 해커가 협박 메일을 보내기 전까지 이를 전혀 인지하지 못했다.

    유출된 항목은 이름, 이메일, 주소, 전화번호뿐만 아니라 성인용품·속옷 구매 내역 등 극히 민감한 주문 정보와 공동현관 비밀번호까지 포함됐다.

    유출 사고 이후 쿠팡의 대응도 문제였다. 쿠팡은 대규모 추가 유출을 인지하고도 법정 시한(72시간)을 넘겨 통지했을 뿐 아니라, 수차례에 걸친 개인정보위의 촉구에도 불구하고 비회원 유출 피해자들에게 유출 사실을 알리지 않았다.

    개인정보 보호책임자(CPO)를 철저히 배제하고 정보를 공유하지 않아, CPO 제도를 유명무실하게 만든 사실이 드러나기도 했다. 내부 규정과 달리 탈퇴 회원 246만 명의 배송지 정보와 31만 명의 계좌번호를 파기하지 않고 보관해온 사실도 드러났다.

    특히 개인정보위가 조사에 착수한 직후, 쿠팡 측이 약 5개월 분량의 웹 접속 로그를 수동으로 삭제하고 자동 삭제 정책을 중단하지 않아 일부 기간의 유출 피해자를 특정하지 못하게 하는 등 명백한 ‘조사 방해’ 행위도 확인됐다. 

    개인정보위는 쿠팡의 개인정보 유출 초래 행위에 대해 과징금 4235억7500만 원을 부과하고, 개인정보 유출통지 및 파기 의무를 위반한 행위에 대해 과태료 1680만 원을 부과하기로 결정했다. 

    유출 사고와 별개로 진행된 침해 조사에서는 쿠팡의 무단 정보 수집 및 광고 파트너 관리 소홀도 적발돼 2011억600만원의 과징금이 추가되기도 했다.

    쿠팡은 제휴 마케팅인 ‘쿠팡 파트너스’를 운영하며, 이용자가 쿠팡 광고가 실린 타사의 웹이나 앱을 방문할 경우 클릭 여부와 상관없이 URL, 앱 명칭, 접속 일시 등 사생활 성향을 파악할 수 있는 ‘타사 온라인 활동 기록’을 무단 수집해 회원번호와 결합·저장했다. 조사 결과 총 1117만613명의 행태 정보가 동의 없이 수집됐다.

    아울러 클릭하지 않아도 쿠팡 앱으로 강제 전환되는 이른바 ‘납치 광고’를 게재한 불량 광고 파트너들을 인지하고도 계정 해지 등의 제재를 가하기는커녕 오히려 추가 수수료를 지급하는 등 관리·감독을 소홀히 한 사실도 밝혀졌다.

    물류 자회사인 CFS 개인정보 침해 행위로 총 2억4800만 원의 과징금 처분을 받았다. CFS는 물류센터 근무 이력이 전혀 없는 경찰청 출입 기자 71명을 동의 없이 ‘허위사실 유포’ 등의 사유를 달아 취업제한 목록(블랙리스트)에 무단 등록·관리했다.

    또한 ‘임직원 건강 관리’ 목적으로 수집한 사원 80명의 체중 수치 등 민감한 건강검진 정보를, 회사 소송 과정에서 사측의 방어권을 행사하기 위해 별도 동의 없이 법원에 증거 자료로 제출해 악용한 사실이 적발됐다.

    개인정보위는 국내 소비자의 소중한 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 원칙을 명확히 했다.

    송경희 개인정보위 위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바라며, 개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다”라고 밝혔다.