쿠팡, 개인정보 유출로 과징금 6246억…역대 최대

|스마트투데이=황태규 기자| 개인정보보호위원회(개인정보위)가 개인정보 보호법을 위반한 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 결정했다고 11일 밝혔다. 지난해 8월 SK텔레콤에 부과된 1347억9100만원을 크게 웃도는 역대 최대 규모다.

개인정보위는 지난해 11월 20일 쿠팡의 신고를 접수한 뒤 한국인터넷진흥원과 집중조사 태스크포스(TF)를 꾸려 조사를 진행해 왔다.

조사 결과 해커는 쿠팡 퇴사자로, 재직 당시 대체 인증 시스템을 직접 개발한 전직 직원인 것으로 드러났다. 그는 재직 중 습득한 대체 인증 서명키를 이용해 위조 토큰을 만들었고, 정상 로그인 절차 없이 쿠팡 시스템에 접근해 개인정보를 빼냈다. 지난해 1월 유출 테스트를 마친 뒤 4월부터 11월까지 회원정보 수정 페이지, 배송지 관리 페이지, 주문 목록 페이지 등을 집중 공략했다.

이 과정에서 배송지 관리 페이지에 약 1억4800만번, 회원정보 수정 페이지에 3496만여 번 접근하는 등 총 유출 피해자는 회원 3322만2472명, 비회원 최소 433만8368명 등 3755만명을 넘어선 것으로 확인됐다. 비회원 피해자는 쿠팡 회원이 배송지 목록에 등록한 가족·지인들로, 이름·전화번호·주소 정보가 함께 유출됐다.

개인정보위는 이번 사고를 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀로 발생한 사고로 판단했다. 쿠팡은 인증 서명키를 암호화하지 않고 평문 상태로 관리했고, 해당 키에 접근 권한이 있던 직원이 퇴사한 뒤에도 이를 즉시 교체하거나 폐기하지 않았다. 해커가 단 16개의 IP주소로 1억4800만 번의 공격을 감행하는 동안 트래픽이 급증하고 존재하지 않는 유령 회원 토큰 4400만 개를 이용한 비정상 접속이 무더기로 발생했음에도 쿠팡은 민원이 접수되기 전까지 이를 감지하지 못했다.

사고 이후 대응도 총체적으로 부실했다는 것이 위원회의 판단이다. 쿠팡은 추가 유출 사실을 인지하고도 법정 시한(72시간)을 초과한 6일 만에 통지했다. 비회원에 대해서는 위원회가 4차례 통지를 촉구했음에도 끝내 이행하지 않아 2차 피해 예방 기회를 박탈했다는 지적이다.

특히 위원회가 조사 착수 직후 증거 자료 보전을 명령했음에도 쿠팡은 2024년 7~11월 5개월 치 웹 접속 로그를 수동으로 삭제해 사실관계 규명을 어렵게 한 것으로 드러났다.

개인정보위는 유출 사고 외에 쿠팡이 고객 동의 없이 온라인 활동 기록을 무단 수집한 사실도 별도로 적발했다. 조사 결과 쿠팡은 2024년 12월 23일부터 올해 2월 4일까지 이용자 1117만여 명이 웹페이지·앱 1564만여 개를 방문·이용한 기록을 수집·저장해 맞춤형 광고에 활용한 것으로 확인됐다. 이에 대해 위원회는 과징금 2011억600만원을 추가 부과했다.

한편, 이번 과징금은 쿠팡의 이커머스 서비스 매출을 기준으로 산정됐으며, 개인정보보호법상 매출액의 최대 3% 한도 내에서 법 위반의 중대성과 피해 규모 등을 고려해 최종 결정됐다. 부과액은 지난해 쿠팡의 연간 영업이익(6790억원)에 맞먹는 수준으로, 2분기 실적에 대규모 손실로 반영될 전망이다.

송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 기업들의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "앞으로도 플랫폼 내에서 국민의 개인정보를 안전하게 보호할 수 있는 환경을 만들기 위해 강력하게 대응하겠다"고 강조했다.