정보유출 쿠팡에 역대 최대 ‘6247억원’ 과징금…‘회원 활동기록 수집’도 적발

개인정보보호위원회가 대규모 개인정보 유출 및 침해 사고를 일으킨 쿠팡과 계열사에 총 6246억8100만원의 과징금과 1680만원의 과태료를 부과했다. 개인정보위가 국내외 기업에 처분한 제재 가운데 역대 최대 규모다. 쿠팡이 회원 1117만여명의 온라인 활동기록을 적법한 근거 없이 수집·저장한 사실도 적발됐다.

개인정보위는 쿠팡이 내부 시스템 접속에 사용되는 인증 서명키를 부실하게 관리해 퇴사 직원인 해커의 공격을 받아 회원 3322만명과 비회원 433만명 등 모두 3755만명의 개인정보가 유출된 것으로 확인됐다고 11일 밝혔다. 지난 2월 정부 민관합동조사단이 발표한 피해 규모(약 3367만건)보다 388만명 늘어난 수치다.

개인정보위 조사에선 비회원 피해가 대거 확인됐다. 배송지 관리 페이지에 등록된 가족, 친구 등의 이름·전화번호·주소, 비식별화된 공동현관 비밀번호 등 배송지 정보 6398만건이 유출됐으며, 일부 페이지에선 비식별화되지 않은 공동현관 비밀번호 4226건이 그대로 해커 손에 들어갔다.

이와 함께 약 5만8천명의 주문 내역(주문일·상품명·수량·가격) 27만건이 외부에 노출된 것으로 조사됐다. 지난해 11월 해커가 쿠팡에 보낸 2차 협박 메일에는 회원이 주문한 성인용품, 속옷 구매 내역 등 민감한 주문 정보가 다수 포함됐다.

그런데도 쿠팡은 지난해 12월 해커에 대한 자체 조사 과정에서 해커의 진술에만 의존해 사실관계 검증 없이 3천명의 정보만 유출됐다는 자체 조사 결과를 발표해 사회적 혼란을 일으켰다.

아울러 개인정보위는 쿠팡의 불법적인 개인정보 수집 행위도 적발했다. 이번 조사에서 쿠팡은 자사 광고가 게재된 외부 누리집과 앱에 접속한 회원 1117만613명의 온라인 활동기록을 적법한 근거 없이 수집·저장한 사실이 확인됐다.

쿠팡은 이날 입장문을 내어 “ 2차 피해를 막기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위의 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다”며 과징금 처분에 불복해 행정소송 등 법적 대응에 나설 뜻을 내비쳤다.