종전 SKT 4.6배… 형평성 논란도

[대한경제=문수아 기자] 쿠팡이 지난해 11월 불거진 대규모 고객 개인정보 유출 사고 등으로 총 과징금 6250억여원을 부과받았다. 국내 개인정보 유출 제재 사상 최대 규모이자, 쿠팡Inc가 지난해 거둔 연간 영업이익(6790억원)의 80%에 달하는 수준이다.

11일 개인정보보호위원회에 따르면 개보위는 전날 13시간 30분에 걸친 전체 회의 끝에 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다. 물류 자회사 쿠팡풀필먼트서비스(CFS)에도 과징금 2억4800만원이 매겨졌다. 총 과징금은 6249억2900만원으로, 직전 최대였던 SK텔레콤 유심 정보 유출 과징금(1347억9100만원)의 4.6배, 쿠팡에 부과될 수 있는 과징금 법정 최대치(약 1조3600억원)의 46%에 해당한다.

쿠팡에 매겨진 과징금 성격은 두 가지다. 인증 서명키 관리와 접근통제를 소홀히 해 회원 3322만명과 회원이 아닌 정보주체 433만명 등 약 3755만명의 개인정보를 유출한 안전조치 의무 위반에 4235억7500만원이 부과됐다. 이용자 1117만명이 타사 웹ㆍ앱을 방문한 기록을 동의 없이 수집한 행위에는 2011억600만원이 따로 매겨졌다. 방문한 URL과 접속 IP까지 회원번호와 묶어 광고에 활용한 관행이 법적 근거 없는 수집으로 판단됐다. 유출 사실을 늦게 알리고 탈퇴회원 정보를 파기하지 않은 데 대해서는 과태료가 부과됐다. CFS는 근무 이력이 없는 경찰청 출입기자 71명을 취업제한 목록에 올리고 임직원 체중정보를 산업재해 소송에 제출한 행위로 제재 대상에 올랐다.

개보위는 이번 사고를 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비로 규정했다. 개보위 조사에 따르면 쿠팡은 키를 다뤘던 전직 직원이 2024년 말 퇴사하고 나서도 서명키를 폐기하지 않았고, 공격이 이어진 6개월 넘게 이상 트래픽조차 잡아내지 못했다. 자료 보전 명령 이후에는 접속 로그 일부를 삭제하고, 회원이 아닌 정보주체에 대한 유출 통지를 수차례 촉구받고도 이행하지 않은 점도 처분에 반영됐다.

이번 처분 수위를 두고 형평성 논란이 일 전망이다. 앞서 결혼정보업체 듀오는 재산ㆍ혼인 여부 등 24종이 유출돼 12억원대, SK텔레콤은 유심 인증키 유출로 1348억원을 부과받았다. 쿠팡 유출 규모가 사상 최대이지만, 유출 정보는 이름ㆍ주소ㆍ연락처 위주여서 민감도가 상대적으로 낮다. 아울러 최근 고객 정보 유출 사고가 일어난 CJ ENM, BGF리테일 등의 처분에도 영향을 줄 전망이다.

쿠팡은 이번 처분에 대해 법적 절차를 밟겠단 입장이다.

쿠팡 관계자는 “개인정보 유출 사고와 관련 2차 피해를 막고자 선제적 조치를 취한 것이나 명확한 사실 관계에 근거한 설명이 반영되지 못해 유감”이라며 “개인정보 보호 체제를 강화하는 동시에 법적 절차를 통해 사실 관계를 규명할 것”이라고 말했다.

문수아 기자 moon@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉