개인정보보호위원회가 대규모 고객 개인정보 유출 사고를 낸 쿠팡에 6200억원이 넘는 역대 최대 규모 과징금을 부과했다.

개인정보위는 개인정보 유출 및 개인정보보호법 위반 혐의가 확인된 쿠팡과 계열사 쿠팡풀필먼트서비스(CFS)에 대한 제재 처분을 의결했다고 11일 밝혔다. 쿠팡에는 과징금 6246억8100만원과 과태료 1680만원을 부과하고 시정명령, 공표명령, 고발 및 개선권고를 결정했다. 개인정보보호법 위반이 확인된 CFS에도 과징금 2억4800만원이 부과됐다.

개인정보위는 지난해 11월 20일 쿠팡의 신고를 접수하고 그 다음날인 11월 21일부터 관련 조사에 착수했다. 이 과정에서 개인정보위는 추가적으로 국회 청문회, 언론보도 및 타 부처 등으로부터 납치광고, 취업 제한 목록 등과 관련된 쿠팡 및 CFS의 개인정보 침해 소지가 다수 제기됨에 따라 올해 1월 7일부터 추가적인 조사를 추진했다.

조사 결과 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3322만2472명의 ‘회원’ 개인정보(계정 기준)와 최소 433만8368명(휴대전화번호 기준)의 ‘회원이 아닌 정보주체‘(배송지 관리 페이지 내에 포함)의 개인정보가 유출된 것으로 확인됐다.

개인정보위는 “이번 사고는 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 발생한 것으로 확인됐다”며 “조사 결과 쿠팡은 인증 서명키 관리와 접근통제 등 안전조치 의무를 제대로 이행하지 않아 약 3750만명의 개인정보가 유출됐다”고 설명했다.

또한 유출 통지 의무와 개인정보 파기 의무를 위반했으며 개인정보보호책임자(CPO)의 독립성 보장 의무를 지키지 않은 것으로 나타났다.

개인정보위는 재발 방지를 위해 안전조치 강화와 회원이 아닌 정보주체에 대한 유출 통지 실시, CPO의 실질적 역할 보장 등을 명령했다. 탈퇴 회원 개인정보 처리 체계에 대해서는 개선권고를 내리고 3개월 내 이행 여부를 점검할 예정이다.

쿠팡이 자사 광고가 게재된 외부 웹사이트와 앱을 이용한 회원 약 1117만명의 온라인 활동기록을 별도 동의나 적법한 근거 없이 수집하고 저장한 사실도 드러났다. 수집된 정보에는 방문 기록과 접속 시각, 접속 IP 등이 포함됐다.

광고 파트너에 대한 관리·감독을 소홀히 해 이용자 의사와 무관하게 서비스 이용기록이 수집되는 이른바 ‘납치광고’가 이뤄지도록 방치한 사실도 확인됐다. 이에 개인정보위는 맞춤형 광고 관련 정보 제공 강화와 정보주체의 선택권 보장, 부정광고 관리·감독 강화를 시정명령에 포함했다.

쿠팡 측은 "이번 개인정보 유출 사고로 인해 고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다"며 "개인정보 보호 프레임워크를 더욱 강화하고 새로운 의지로 고객 신뢰 회복을 위해 노력하겠다"고 말했다.

이어 "작년 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점은 유감스럽게 생각한다”며 “개인정보위원회로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다"고 덧붙였다.