3750만명 개인정보 유출 쿠팡에 과징금 6246억…역대 최대 규모

▲송경희 개인정보보호위원장이 11일 서울 종로구 정부서울청사에서 제11회 전체회의 결과를 발표하고 있다. 개보위는 10일 제11회 전체회의를 열고 개인정보보호 법규를 위반한 쿠팡 주식회사에 총 6246억 8100만원의 과징금 및 1680만원의 과태료를 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결했다. 신태현 기자 holjjak@

3750여만명의 개인정보가 유출된 쿠팡이 역대 최대 과징금인 6246억원을 부과받았다. SK텔레콤의 1347억원을 훌쩍 뛰어넘은 것이다. 개인정보보호위원회는 쿠팡의 기본적인 안전관리 체계가 미흡했다고 판단했다. 쿠팡이 이용자 동의 없이 타사 웹·앱 방문기록을 수집한 사실도 함께 적발됐다.

송경희 개인정보보호위원장은 11일 서울 종로구 정부서울청사에서 브리핑을 열고 개인정보 보호 법규를 위반한 쿠팡에 대해 과징금 총 6246억8100만원과 과태료 1680만원 부과와 함께 시정 명령, 공표 및 공표 명령 등을 의결했다고 밝혔다.

개인정보 유출 과징금은 4235억7500만원이지만 법적 근거 없이 개인정보를 수집·이용한 행위가 드러나면서 과징금 2011억600만원이 더해졌다. 개인정보위 추가 조사 결과 쿠팡은 이용자의 동의 없이 총 1117만613명의 타사 온라인 활동 기록을 무단으로 수집·저장한 것으로 나타났다. 쿠팡이 수집한 정보에는 타사 웹·앱 방문 기록(URL·앱 이름), 접속 일시, 접속 인터넷 프로토콜(IP) 등이 포함됐다.

개인정보위는 한국인터넷진흥원과 집중조사 태스크포스(TF)를 구성하고 관련 조사를 진행했다. 해커는 과거 쿠팡 근무 당시 대체 인증을 직접 개발했던 전직 직원으로 대체 인증 서명키를 획득한 이후 회원정보 수정 페이지, 배송지 관리 및 주문목록 페이지 등을 조회하며 개인정보를 빼돌렸다.

TF 조사 결과 총 3322만2472명의 회원 개인정보와 최소 433만8368명의 비회원 개인정보가 유출됐다. 회원정보 수정 페이지에선 3305만7012명 회원의 이름, 이메일이 유출됐다. 이름, 전화번호, 주소, 공동현관 비밀번호 등 최소 2237만5359명 회원의 배송지 정보와 27만2470건의 주문일, 상품명, 수량, 가격 등 주문내역이 유출됐다.

송 위원장은 “이번 사건은 고도의 해킹 방법이 아닌 쿠팡의 기본적인 안전 관리 체계 미비 및 관리 소홀로 인해 발생했다”며 “개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡했고 탐지된 다수의 이상 행위를 탐지하지 못해 사전에 유출사고를 차단할 수 있는 기회를 놓친 사실도 확인됐다”고 설명했다.

유출 이후 대응도 문제가 됐다. 개인정보위는 쿠팡 회원이 아닌 정보주체의 개인정보가 해킹된 사실에 대해 쿠팡에 유출 통지를 이행할 것을 4차례 촉구했으나 쿠팡은 이를 이행하지 않았다. 배송지 관리 페이지를 통해 회원 약 16만명의 개인정보가 추가 유출된 사실을 1월 30일 인지하고도 법령에서 정한 72시간이 경과한 2월 5일에서야 유출 사실을 통지했다.

개인정보위는 접속 로그기록을 삭제하는 등 조사를 어렵게 한 쿠팡을 수사기관에 고발할 예정이다. 개인정보위가 사고 관련 접속기록 등 각종 증거자료의 보전을 명령했지만 쿠팡은 약 5개월 분량의 웹 접속 로그를 수동 삭제한 것으로 확인됐다.

송 위원장은 “로그 자동 삭제 정책을 중단하지 않아 애플리케이션 로그가 자동 삭제된 일이 있었다”며 “개인정보위는 확인한 사안에 대해서만 최종 처분을 낼 수밖에 없는 만큼 유출 규모 및 피해 범위 확인을 어렵게 하는 행위라고 봤다”고 말했다.

이번에 쿠팡에 부과된 과징금은 종전 최고액인 SKT 유심 정보 유출 사고 과징금 1347억9100만원의 4.6배 수준이다. 역대 최대 규모의 과징금을 의결하는 데 개인정보위는 전날 오전 10시부터 13시간 넘게 전체회의를 진행했다. 한 안건을 두고 열린 심의 중 역대 최장 시간이다.