개인정보보호위원회가유출한 쿠팡에 6246억원의 과징금을 부과했다.
11일 개인정보보호위원회는 지난 10일 전체회의를 열고 개인정보 보호 법규를 위반한 쿠팡 주식회사에 과징금 6246억 8100만원과 과태료 1680만원을 부과했다고 밝혔다.
쿠팡풀필먼트서비스 유한회사에도 2억 4800만원의 과징금이 별도로 부과됐다.
작년 11월 발생한 쿠팡 개인정보 유출 사건 조사 결과, 해커는 쿠팡 전직 기술자로 확인됐다. 해당 인물은 2024년 말 퇴사 후 자신이 개발한 대체 인증 시스템의 서명키를 악용해 2025년 4월부터 11월까지 개인정보를 대량 유출했다.
해커는 2025년 1월 25일 95개 계정에 대해 위조 인증토큰을 생성한 후 범행을 시작했다. 4월 14일부터 6월 25일까지 배송지 관리 페이지에 약 1억 4800만회 접근해 이름, 전화번호, 주소 등을 탈취했다.
이어 6월 24일부터 10월 12일까지는 회원 정보 수정 페이지에 3496만 6812회 접근해 이름과 이메일 주소를 유출했다.
9월 26일부터 11월 8일까지는 배송지 수정 페이지와 주문 목록 페이지에 각각 5만474회, 8만5213회 접근해 공동현관 비밀번호와 주문정보까지 추가로 빼냈다.
해커는 11월 9~17일과 11월 25일 두 차례에 걸쳐 샘플 데이터가 포함된 협박 메일을 회원과 쿠팡에 발송했다.
이번 사건으로 유출된 개인정보는 3322만 2472명의 회원 정보와 최소 433만 8368명의 비회원 정보에 달한다.
조사 과정에서 쿠팡의 또 다른 개인정보 침해 행위도 드러났다. 쿠팡은 2018년 7월부터 운영 중인 '쿠팡 파트너스' 서비스를 통해 무단으로 개인정보를 수집했다.
타사 홈페이지 광고를 클릭한 사용자들의 온라인 활동 정보를 동의 없이 데이터베이스에 저장하고 맞춤형 광고에 활용했다.
쿠팡은 사용자가 광고를 클릭하지 않아도 온라인 방문 기록을 수집했으며, 2024년 12월 23일부터 2026년 2월 4일까지 156만 5338개 웹페이지나 앱을 방문한 1117만 613명의 활동기록을 무단 수집했다.
사용자 의도와 관계없이 웹페이지를 쿠팡 홈페이지로 자동 연결하는 '납치광고'를 통한 정보 수집도 확인됐다.
쿠팡의 물류 자회사인 쿠팡풀필먼트서비스는 2023년 9월부터 2024년 2월까지 물류센터 근무 이력이 없는 경찰청 출입기자 71명을 '허위사실유포' 명목으로 취업제한 목록에 등록해 사실상 블랙리스트를 운영했다.
이번 과징금 규모는 당초 예상됐던 1조원대보다는 낮은 수준이다.
개인정보보호위원회는 쿠팡의 작년 매출액 45조 5000억원 중 위반행위와 직접 관련 없는 쿠팡이츠, 쿠팡플레이 등의 매출을 제외하고 과징금을 산정했다고 설명했다.
개인정보보호위원회는 과징금 부과와 함께 시정명령을 내리고 비회원 정보주체에게도 유출 사실을 통지하라고 명령했다. 또한 탈퇴회원 개인정보 처리 체계 개선을 권고했으며, 3개월 내 이행 결과를 확인할 예정이다.
개인정보보호위원회 관계자는 "번 조사·처분을 통해 개인정보위는 국내 소비자의 소중한 개인정보를 다루는 기업이라면 동일한 기준과 엄격한 법적 책임이 적용된다는 원칙을 명확히 했다"며 "대규모 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 상응하는 책임이 따른다"고 강조했다.