3750만명 털린 쿠팡에 과징금 6246억…인증 서명키 관리, 접근 통제 소홀

수정 2026-06-11 11:03

입력 2026-06-11 11:00

김연진 기자

기자 이름을 클릭하면
더 자세한 정보를
확인할 수 있어요!

북마크 되었습니다.
마이페이지에서 확인하세요.

기사 듣기

00:00 /

가장작게
작게
기본
크게
가장크게

▲송경희 개인정보보호위원회 위원장이 5월 13일 오후 서울 종로구 정부서울청사에서 개최된 2026년 제9회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. (사진제공=개인정보위)

3750여만명의 개인정보가 유출된 쿠팡이 역대 최대 과징금인 6246억원을 부과받았다. 역대 최대 규모로 꼽힌 SK텔레콤의 과징금 1348억을 뛰어넘은 금액이다. 개인정보보호위원회는 쿠팡의 기본적인 안전관리 체계가 미흡했다고 판단했다. 쿠팡이 이용자 동의 없이 타사 웹·앱 방문기록을 수집한 사실도 함께 적발됐다.

송경희 개인정보보호위원장은 11일 서울 종로구 정부서울청사에서 브리핑을 열고 전날(10일) 11회 전체회의에서 개인정보 보호 법규를 위반한 쿠팡에 대해 과징금 총 6246억8100만원과 과태료 1680만원 부과와 함께 시정 명령, 공표 및 공표 명령 등을 의결했다고 밝혔다. 과징금은 개인정보 유출 관련 4235억 7500만 원, 법적 근거 없이 개인정보를 수집·이용한 행위 관련 2011억600만원이 부과됐다.

특히 개인정보위 추가 조사 결과 쿠팡이 이용자의 동의 없이 타사 온라인 활동 기록을 무단으로 수집·저장한 것이 드러났다. 쿠팡은 2024년 12월 23일부터 올해 2월 4일까지 1564만5338개의 웹페이지(URL) 또는 앱을 방문·사용한 쿠팡 이용자 총 1117만613명의 타사 온라인 활동기록을 수집했다. 이에 보호법 제15조(개인정보의 수집·이용)제1항을 위반한 쿠팡에 대해 과징금 2011억600만원이 부과됐다.

개인정보위는 한국인터넷진흥원과 집중조사 태스크포스(TF)를 구성해 관련 사실관계, 개인정보 보호 법규 위반 등을 중점 확인했다. 지난해 11월 21일 조사에 착수한 이후 납치광고, 취업 제한 목록 등과 관련된 쿠팡 및 CFS의 개인정보 침해 소지가 다수 제기됨에 따라 1월 7일 추가적인 조사를 추진했다.

해커는 과거 쿠팡 근무 당시 대체 인증을 직접 개발했던 전직 직원으로 대체 인증 서명키를 획득한 이후 회원정보 수정 페이지, 배송지 관리 및 주문목록 페이지 등을 조회하며 개인정보를 유출했다. TF 조사 결과 총 3322만2472명의 회원 개인정보(계정 기준)와 최소 433만8368명(휴대전화번호 기준)의 ‘회원이 아닌 정보주체’(배송지 관리 페이지 내에 포함)의 개인정보가 유출됐다.

구체적으로 회원정보 수정 페이지에서 3305만7012명의 회원 개인정보(이름, 이메일)가 유출된 것으로 확인됐다. 배송지 관리 페이지에서는 최소 2237만5359명의 회원이 등록한 배송지 정보(이름, 전화번호, 주소, 공동현관 비밀번호(마스킹)) 6398만6351건, 주문 목록 페이지에서는 회원 5만8349명의 주문내역(주문일, 상품명, 수량, 가격) 27만2470건이 유출됐다.

개인정보위는 쿠팡이 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 하는 등 접근권한 관리를 소홀히 하고, 전직 직원인 해커가 퇴사한 이후에도 서명키를 즉각 갱신 또는 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않았다고 봤다. 해커의 공격 기간 중 평시 대비 과도한 트래픽이 발생하고, 존재하지 않는 회원 계정으로의 비정상 접속 시도가 발생했는데도 쿠팡이 공격자의 유출 시도를 6개월 이상 인지하지 못하는 등 접근통제가 충분하지 않았다고 판단했다.

유출 이후 대응도 문제가 됐다. 개인정보위는 쿠팡 회원이 아닌 정보주체의 개인정보가 해킹된 사실에 대해 쿠팡에 유출 통지를 이행할 것을 4차례 촉구했으나 쿠팡은 이를 이행하지 않았다. 자체 조사를 진행하고 홈페이지에 관련 내용을 공개한 쿠팡은 개인정보보호책임자(CPO)를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않은 것으로 확인됐다.

뿐만 아니라 배송지 관리 페이지를 통해 회원 약 16만명의 개인정보가 추가 유출된 사실을 1월 30일 인지하고도 법령에서 정한 72시간이 경과한 2월 5일에서야 유출 사실을 통지했다.

쿠팡은 회원정보는 탈퇴 후 90일 경과 시 주소·계좌번호를 탈퇴 즉시 파기하도록 하는 내부 규정에도 불구하고 탈퇴회원이 등록했던 배송지 정보 246만5592건을 파기하지 않았으며 일부는 유출로 이어졌다. 탈퇴회원의 계좌번호 31만8499건도 즉시 파기하지 않은 사실이 확인됐다.

개인정보위가 사고 관련 접속기록 등 각종 증거자료의 보전을 명령하였음에도 쿠팡은 약 5개월 분량의 웹 접속 로그를 수동 삭제해 최초 유출 시점 등 사실관계 규명을 어렵게 했다. 6개월 경과 시 삭제되는 자사의 로그 자동 삭제 정책을 중단하지 않아 어플리케이션 로그가 자동 삭제되어 유출 규모 및 피해 범위 확인도 어렵게 했다.

송 위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다”며 “개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다”고 말했다.