기본적 안전관리 체계 미비 규정

광고사업 이용자 정보 무단수집

개보위 자료 보전 명령 직후에도

6개월분 웹접속 로그 수동 삭제 

전체 공격접속 기록 13% 사라져

멤버십 끼워팔기 등도 과징금 거론

[대한경제=문수아 기자] 쿠팡이 개인정보 유출 사고뿐 아니라 조사 과정에서 추가 정보침해 사안이 밝혀지며 개인정보 관련 국내 최대 과징금을 부과받았다.

전체 과징금 중 가장 큰 비중은 유출 사고가 차지한다. 쿠팡은 토큰 기반 인증체계를 운영하면서 대체 인증 서명키를 업무상 불필요한 경우에도 평문으로 열람할 수 있도록 방치했다. 이 키를 다뤘던 전직 직원이 2024년 말 퇴사하고 나서도 키를 갱신ㆍ폐기하지 않았다. 이 직원은 위조 인증토큰을 만들어 회원정보 수정ㆍ배송지 관리 페이지를 1억4800만 차례 넘게 훑었다. 이 과정에서 회원 3322만명과 회원이 아닌 정보주체 433만명 등 약 3755만명의 이름ㆍ이메일ㆍ주소ㆍ전화번호가 빠져나갔다. 개보위는 안전조치 의무 위반으로 보고  4235억7500만원을 부과했다.

광고 사업에서 무단으로 정보를 수집한 것도 과징금 대상이 됐다. 쿠팡은 제휴 마케팅 ‘쿠팡 파트너스’를 운영하며 이용자 1117만명이 타사 웹ㆍ앱을 방문한 기록을 동의 없이 수집해 광고 데이터베이스(DB)에 쌓아 왔다. 방문한 URL과 앱 이름, 접속 IP까지 회원번호와 묶여 저장된 만큼 그 자체로 개인을 식별할 수 있는 정보라는 게 개보위 판단이다. 클릭하지 않아도 쿠팡으로 강제 전환되는 ‘납치광고’를 게재한 광고 파트너를 제재하지 않고 오히려 추가 수수료를 지급한 사실도 드러났다. 개보위는 법적 근거 없는 수집ㆍ이용으로 보고 2011억600만원을 매겼다. 2022년 같은 유형으로 구글ㆍ메타에 부과한 약 1000억원의 두 배다.

물류 자회사 쿠팡풀필먼트서비스(CFS)의 개인정보 침해도 더해졌다. 근무 이력이 없는 경찰청 출입기자 71명을 취업제한 목록에 올리고, 임직원 건강관리 목적으로 받은 체중정보를 산업재해 소송 과정에서 법원에 제출한 행위로 2억4800만원이 부과됐다.

개인정보 침해 사실 자체보다도 사고 발생 이후 쿠팡의 대처가 처분 수위를 끌어올렸다. 개보위가 자료 보전을 명령한 직후 쿠팡은 약 5개월분 웹 접속 로그를 수동 삭제했고, 6개월이 지나면 로그가 자동 삭제되는 정책도 멈추지 않았다. 그 결과 전체 공격 접속의 13%에 해당하는 기록이 사라져 피해자 일부를 특정하지 못했다. 자체 조사 과정에서 개인정보 보호책임자(CPO)를 배제하고, 회원이 아닌 정보주체 대상 유출 통지를 네 차례 촉구받고도 이행하지 않은 점도 함께 지적됐다.

▲쿠팡, 개보위서 설명했지만 반영 안 돼 당혹… 영업손실 불가피
쿠팡은 당혹스럽다는 입장이다. 전날 개보위 전원회의에서 2차 피해가 발견되지 않았고, 개인정보 회수 노력에 최선을 다했다는 점 등을 설명했지만, 국내 최대 규모의 과징금으로 돌아와서다. 특히, 이번 개인정보 유출 관련 과징금 외에도 쿠팡은 앞으로 줄줄이 규제 심판대에 서게 되는 것도 부담이다. 공정거래위원회는 와우 멤버십 끼워팔기와 쿠팡이츠 최혜대우 요구, 직매입 대금 지연이자 미지급 등 세 건을 심사 중이다. 각각 1000억원대 과징금이 거론된다. 국토교통부는 전국 물류센터 적층식랙(메자닌층) 전수조사 결과를 앞두고 있어, 원상복구 명령이 내려지면 대규모 자금 소요가 불가피하다. 국세청도 2021~2025년 법인세ㆍ부가세 세무조사를 벌이고 있다.

총 조 단위의 과징금과 규제 리스크가 가시화되면서 재무 타격도 불가피하다. 쿠팡Inc는 2024년 공정위 과징금(1627억원)을 영업비용으로 처리해 해당 분기 적자(342억원)를 낸 바 있다. 이번 과징금은 지난해 연간 영업이익(약 4억9800만달러)의 80%보다 많고, 같은 해 순이익의 두 배에 가깝다. 증권가가 올해 영업손실 전환을 점쳐 온 가운데 이번 비용까지 반영되면 손실 폭은 1조원 안팎으로 벌어진다. 행정소송으로 불복하더라도 회계상 충당부채는 즉시 잡혀 실적 반영을 피하기 어렵다. 앞서 1분기에는 정보 유출 보상 바우처로 1조원대를 매출에서 차감한 터라 부담이 누적되는 구조다.

해외에서는 행정 과징금보다 집단소송과 민사 합의로 더 큰 비용을 무는 사례가 많다. 5억명대 정보가 유출된 메타가 아일랜드 당국에서 약 3800억원을 부과받았지만, 1억4700만명이 유출된 에퀴팩스는 과징금의 네 배가 넘는 소비자 배상에 합의했다. 쿠팡도 한국과 미국 법원에서 집단소송에 직면해 있어, 실제 부담은 과징금보다 더 커질 수 있다.

각종 과징금 처분에 따라 쿠팡이 다시‘만년 적자기업’으로 돌아가게 되면 예정된 투자에도 차질이 빚어질 전망이다. 쿠팡은 2014년부터 로켓배송 물류망에 투자를 시작해 2023년까지 6조원 이상을 투입했다. 2024년부터 올해까지도 3조원을 추가 투입해 물류 인프라를 구축 중이다. 이를 통해 창출된 일자리만 9만명에 달해 국내 고용 2위 기업에 올랐다.

특히, 도서 산간 인구감소 지역 중심으로 물류망을 확대하고 현지 청년 일자리 창출로 연결되고 있어서 지역경제에도 타격을 줄 전망이다. 업계 관계자는 “미분양 산업단지의 90% 이상이 지방에 집중된 상황에서 쿠팡이 빠른 속도로 물류센터를 구축하면서 상당한 고용을 달성했다”며 “쿠팡의 투자 속도에 차질이 생기면 배송은 물론 지방 중심으로 일자리, 중소상공인 판로 확보에 어려움이 생길 수 있다”고 말했다.

뉴욕증시에 상장된 쿠팡(CPNG) 주가도 사고 이후 약세를 이어가며 15.12달러 선까지 내렸다. 사고 발생 직후(27.89달러) 대비 반토막 수준까지 떨어졌고, 증권가의 평균 목표주가(26달러)와의 격차가 벌어지며 기업가치 훼손 우려가 커지고 있다.

문수아 기자 moon@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉