개인정보보호위원회가 쿠팡 한국 법인에 지난해 SK텔레콤을 넘어선 역대 최대의 과징금을 부과한 것은 3756만여명이란 전례 없는 대규모 개인정보 유출 피해 규모, 거의 모든 경제활동인구가 이용하는 온라인 플랫폼인 점 등을 감안한 것으로 보인다. 쿠팡이 회원들의 다른 웹사이트와 애플리케이션(앱) 방문 기록을 몰래 들여다보고 저장한 것도 ‘사생활 침해’로 규정돼 과징금이 부과됐다.
◆“보안관리 미흡 탓 개인정보 유출”
11일 개인정보위에 따르면 개인정보위는 전날 전체 회의에서 “쿠팡이 기본적인 내부 보안 관리에 미흡해 (중국인으로 추정되는) 전 직원의 개인정보 처리 시스템 침입을 탐지하는 데 실패했다”고 결론 내렸다. 쿠팡이 운영하는 토큰 기반의 인증 체계는 유출에 취약하다. 전자 서명 검증만으로 인증을 허용해서다. 이 때문에 서명에 쓰이는 키 관리에 실패하면 전체 회원 계정에 무단 접근을 허용하게 되는 위험성이 있다.
◆“국내외 기업 동일 기준 적용”
쿠팡이 역대 최대 과징금을 부과받은 배경엔 개인정보위 조사를 방해한 탓도 크다. 쿠팡은 2024년 7∼11월 약 5개월 분량의 웹 접속 로그를 지난해 11월 수동 삭제해 최초 유출 시점 등 사실관계 규명을 어렵게 했다. 6개월 경과 시 삭제되는 로그 자동 삭제 정책도 중단하지 않았다.
쿠팡이 회원들의 사생활 정보를 침해한 사실도 불리하게 작용했다. 쿠팡은 2024년 12월∼2026년 2월 1564만5338개의 웹페이지(URL) 또는 앱을 방문해 사용한 회원 1117만613명에 대한 타사 온라인 활동 기록을 무단 수집하고 데이터베이스(DB)에 저장했다. 온라인 활동 기록이란 URL·앱 이름, 접속 일시·IP 등을 말한다.
이에 대해 개인정보위는 “기기 식별자, 회원 번호와 함께 광고 DB에 저장돼 그 자체로도 개인 식별이 가능한 사생활 정보”라며 “사상, 신념, 건강 등 민감 정보의 추론 가능성도 있어 정보 주체의 권리 침해 위험 가능성이 크다”고 봤다.
이에 따라 과징금은 현행법상 쿠팡의 사고 직전 3개 사업 연도 평균 매출액인 약 30조원을 기준으로 3%를 초과하지 않는 범위에서 산정됐다. 여기서 위반 행위와 관련 없는 쿠팡플레이, 쿠팡이츠, 기업 간 거래(B2B) 매출액은 제하고 가중과 감경이 이뤄졌다.
송경희 개인정보위 위원장은 이날 정부서울청사에서 가진 브리핑에서 ‘쿠팡 모회사인 쿠팡Inc가 미국 기업이라 차별하는 것 아니냐’는 논란에 “국내 소비자의 소중한 개인정보를 다루는 기업이라면 국내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용돼야 하고, 다른 영향은 고려하지 않았다”고 일축했다. 전날 오전 10시 시작된 회의는 오후 11시30분이 돼서야 끝나는 등 개인정보위는 장고를 거듭했다. 개인정보위는 다크웹 불법 유통 등 2차 피해와 관련해서도 확인되지 않았을 뿐 유출된 정보들이 회수되지 않아 사이버 범죄에 악용될 가능성이 있는 만큼 “경각심이 필요하다”고 당부했다.