‘쿠팡 제휴 블로그’만 클릭해도 털렸다…불법 정보 수집 드러나

쿠팡이 자사 광고가 게재된 외부 누리집과 앱을 방문한 회원 1117만명의 온라인 활동 기록을 적법한 근거 없이 수집한 것으로 드러나면서, 쿠팡을 둘러싼 논란이 개인정보 유출을 넘어 불법 정보 수집 문제로까지 번질 조짐을 보이고 있다. 이는 지난해 말 3700만여명의 피해자가 발생한 쿠팡의 개인정보 유출 사태와는 별개의 사안이다.

개인정보보호위원회는 11일 발표한 쿠팡의 개인정보 유출 및 침해 조사 결과에서 쿠팡이 2024년 12월23일부터 올해 2월4일까지 쿠팡 광고를 게재한 외부 누리집과 앱 1564만5338곳을 방문한 회원 1117만613명의 온라인 활동 기록을 무단 수집·저장해 맞춤형 광고에 활용한 사실을 확인했다고 밝혔다. 쿠팡에 부과된 4235억7500만원(자회사 과징금 제외) 가운데 2011억600만원이 이에 대한 제재다.

논란의 핵심은 쿠팡의 제휴 마케팅 프로그램인 ‘쿠팡 파트너스’다. 이는 누리집·앱·블로그 등 온라인 광고 지면을 운영하는 개인이나 기업이 쿠팡 상품을 홍보하고, 광고 링크나 배너를 통해 구매가 발생하면 구매 금액의 3%를 수수료로 받는 광고 프로그램이다. 쿠팡에 가입한 이용자가 쿠팡 광고가 설치된 타사 누리집과 앱을 방문할 경우, 쿠팡은 이용자의 마케팅 동의 여부를 확인해야 하고, 이를 통해 이용자가 쿠팡에서 조회하거나 구매한 상품 등을 기반으로 개별 회원의 관심사와 기호 등을 분석해 맞춤형 광고를 노출하는 방식이다.

문제는 쿠팡이 광고를 클릭하지 않은 경우에도 이용자의 ‘디지털 발자국’을 광범위하게 수집했다는 점이다. 쿠팡은 이용자가 쿠팡 광고를 게시한 누리집·앱 1564만여곳에 접속만 해도 방문 기록(URL, 앱 이름)과 접속 경로, 접속 일시, 접속 아이피(IP), 운영체제(OS) 등 다양한 온라인 활동 기록을 수집했다.

이렇게 확보한 이용자 활동 기록은 쿠팡에 최초 회원가입을 할 때 부여되는 회원번호 등과 결합돼 개인을 식별할 수 있는 형태로 쿠팡의 광고 데이터베이스(DB)에 자동으로 저장됐다. 이처럼 타사 온라인 활동 기록이 장기간 누적될 경우 이용자의 사상·신념·건강 등 민감정보 추론 등 정보 주체의 권리가 침해될 위험이 크다는 게 개인정보위의 판단이다.

일부 광고 파트너가 이용자의 뜻과 관계없이 쿠팡 누리집·앱으로 강제 이동시키는 이른바 ‘납치광고’를 운영했으나 쿠팡이 이를 제대로 관리·감독하지 않은 점도 확인됐다. 쿠팡 쪽은 ‘2022년 8월부터 납치광고 적발 시 운영 정책 등에 따라 제재한다’고 소명했지만, 개인정보위 조사 결과 쿠팡은 부정 광고를 게재한 일부 파트너에게 오히려 더 높은 추가 수수료율을 적용한 사실이 적발됐다.

쿠팡이 정부 조사를 고의로 방해한 사실도 드러났다. 개인정보위는 지난해 11월21일 조사에 착수하며 쿠팡 쪽에 사고 관련 접속 기록 등 증거자료 보전을 명령했지만, 회사는 약 5개월 분량(2024년 7~11월)의 접속 로그를 수동으로 삭제하는 등 사실관계 규명을 어렵게 만들었다.

이번 조사에선 쿠팡 자회사인 쿠팡풀필먼트서비스(CFS)의 위법 행위도 드러나 2억4800만원의 과징금이 별도로 부과됐다. 개인정보위는 쿠팡풀필먼트서비스가 물류센터 근무 이력이 없는 경찰청 출입 기자 71명의 명단을 수집해 물류센터 취업 제한 목록에 등록·관리한 행위를 개인정보의 수집·이용 위반으로 판단했다. 임직원 건강관리 목적으로 보유한 물류센터 노동자의 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출한 행위도 민감정보 처리 제한 규정을 위반한 것으로 봤다.