1 hour ago
1
송경희 개인정보보호위원장이 11일 서울 종로구 정부서울청사에서 제11회 전체회의 결과를 발표하고 있다. 개인정보보호위원회는 지난 10일 제11회 전체회의를 열고 개인정보 보호 법규를 위반한 쿠팡 주식회사에 총 6246억 8100만원의 과징금 및 1680만원의 과태료를 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결했다. 이동근기자 foto@etnews.com쿠팡에 부과된 6000억원대 과징금은 고도화된 해킹 기술보다 기본 보안관리 실패의 대가에 가깝다. 개인정보보호위원회가 이번 처분을 통해 기업들에 던진 메시지는 첨단 보안보다 앞서 인증키 관리, 접근통제, 이상징후 탐지 같은 기본기가 무너지면 막대한 책임을 피할 수 없다는 것이다.
◇고도 해킹 아닌 '기본 보안' 실패
개인정보위는 과학기술정보통신부 주도의 민관합동조사단과 마찬가지로 쿠팡 개인정보 유출 사고가 기본적인 안전관리 체계 미비와 관리 소홀에서 비롯됐다고 판단했다.
공격자가 전직 직원이었다는 점보다 쿠팡이 인증 서명키와 접근권한, 이상접속 탐지 체계를 제대로 관리하지 못했다는 점을 더 무겁게 본 것이다.
개인정보위에 따르면 쿠팡은 업무상 대체 인증 서명키를 볼 필요가 없는 경우에도 키를 평문으로 열람할 수 있도록 키 관리 시스템을 운영했다. 키 접근과 평문 열람이 가능했던 직원이 2024년 말 퇴사했음에도 해당 서명키를 즉시 갱신하거나 폐기하지 않았다. 개인정보위는 이 같은 관리 부실이 전체 회원 계정에 대한 무단 접근 위험을 키웠다고 봤다.
접근통제도 작동하지 않았다. 해커의 공격 기간 동안 개인정보가 포함된 회원정보 수정 페이지와 배송지 관리 페이지 접속량은 평소보다 급증했다. 실제 존재하지 않는 회원의 인증토큰 4400만여개를 이용한 비정상 접속도 다수 발생했다. 그러나 쿠팡은 해커 협박 메일을 받은 고객 민원이 접수되기 전까지 이상행위를 인지하지 못했다.
개인정보위는 개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡했고, 탐지된 이상행위에 대해서도 별도 상세 분석이 이뤄지지 않았다고 판단했다.
양청삼 개인정보위 사무처장은 “쿠팡은 대다수 국민이 이용하는 온라인 플랫폼인 만큼 개인정보 처리 시스템에 대한 침입 탐지와 대응 체계가 고도화돼 있어야 하지만, 인증 체계와 키 관리, 비정상 트래픽 탐지·분석 체계가 미흡했다”며 “이를 중대한 안전조치 의무 위반으로 보고 과징금을 산정했다”고 말했다.
◇무단수집 제재까지 더해져
과징금이 6000억원대로 불어난 것은 개인정보 유출 사고에 타사 온라인 활동기록 무단수집 사건이 더해졌기 때문이다.
개인정보위는 인증 서명키 관리와 접근통제 소홀로 대규모 유출을 초래한 행위에 과징금 4235억7500만원을 부과하고, 이용자 동의 등 법적 근거 없이 타사 웹·앱 활동기록을 수집·저장한 행위에 2011억600만원을 추가했다.
무단수집은 쿠팡이 운영하는 제휴 마케팅 프로그램 '쿠팡 파트너스'에서 확인됐다. 광고 파트너가 자신의 웹사이트나 앱에 쿠팡 광고 도구를 설치하면, 이용자가 해당 웹사이트나 앱에 접속할 때 기기식별자와 방문기록이 쿠팡 서버로 전송되는 구조였다. 수집된 정보에는 방문한 웹사이트 주소(URL)나 앱 이름, 접속 경로, 접속일시, 접속 인터넷주소(IP) 등이 포함됐다.
개인정보위는 쿠팡이 이 정보를 회원번호와 기기식별자와 결합해 광고 데이터베이스(DB)에 저장한 것으로 확인했다. 이용자가 쿠팡 밖에서 어떤 웹사이트나 앱을 이용했는지를 알아볼 수 있는 형태로 저장한 것이다.
쿠팡은 해당 정보를 의도적으로 수집한 것이 아니라고 주장했다. 그러나 개인정보위는 해당 정보가 회원번호·기기식별자와 결합돼 쉽게 이용 가능한 DB 형태로 저장됐고 실제 조회도 이뤄진 만큼 개인정보에 해당하며, 수집 의도가 없었다고 보기 어렵다고 판단했다.
◇기업 보안책임 증대
쿠팡 침해사고 피해자수는 3755만명으로 전 국민의 약 70%에 달한다. 개인정보위의 강도 높은 처분은 대규모 가입자를 보유한 플랫폼 기업의 개인정보 관리 책임을 한층 무겁게 본 결정이다.
개인정보위는 국내 소비자의 개인정보를 다루는 기업이라면 국내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용된다고 밝혔다. 또 대규모 개인정보를 다루는 플랫폼 기업이 기본적인 안전조치를 소홀히 하거나 개인정보 자기결정권을 침해할 경우 그에 상응하는 책임이 따른다는 점을 분명히 했다.
제재 수위는 앞으로 더 높아질 전망이다. 오는 9월 11일부터 시행되는 개정 개인정보보호법은 반복적이거나 중대한 개인정보 유출에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있어서다. 기존 과징금 상한이 전체 매출액의 3%였던 점을 고려하면 대규모 플랫폼 기업의 유출 사고에 적용될 수 있는 제재 한도가 크게 높아진다.
개정법은 최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우, 고의 또는 중대한 과실로 1000만명 이상 피해를 초래한 경우, 시정명령 불이행으로 개인정보 유출 사고가 발생한 경우 등을 강화된 과징금 적용 대상으로 정했다.
염흥렬 한국CPO협의회 회장은 “기업의 최대 경영 리스크가 보안 사고에 따른 개인정보 유출”이라며 “개인정보 안전조치를 전면 재점검하고, 최소한의 개인정보만 처리하는 원칙과 개인정보보호 거버넌스 강화를 위한 자원 투입이 필요하다”고 말했다.
박진형 기자 jin@etnews.com
![[포토] '제6회 AI 워크 서밋' 성황리에 개최](https://img.etnews.com/news/article/2026/06/11/news-p.v1.20260611.51d89eb920dc46a78be59af76d48d034_P1.jpg)
English (US) · 